El ejemplo siguiente muestra un archivo ifcfg para una conexión de red-a-red IPsec para la LAN A. El nombre único para identificar la conexión en este ejemplo es ipsec1, por lo que el archivo resultante se llama /etc/sysconfig/network-scripts/ifcfg-ipsec1.
TYPE=IPsec ONBOOT=yes IKE_METHOD=PSK SRCNET=192.168.1.0/24 DSTNET=192.168.2.0/24 DST=X.X.X.X
En el ejemplo anterior, X.X.X.X es la dirección IP enrutable públicamente del enrutador IPsec de destino.
A continuación se presenta un listado de los parámetros configurables para una interfaz IPsec:
donde <dirección> es la dirección IP del host o enrutador IPsec destino. Esto se utiliza tanto para configuraciones IPsec host-a-host como para configuraciones red-a-red.
donde <red> es la dirección de red de la red IPsec destino. Esto solamente se utiliza para configuraciones de red-a-red IPsec.
donde <dirección> es la dirección IP del enrutador o host fuente IPsec. Esta configuración es opcional y solamente es utilizada para las configuraciones IPsec host-a-host.
donde <red> es la dirección de red de la red IPsec fuente. Esto solamente se utiliza para las configuraciones IPsec de red-a-red.
donde <tipo-interfaz> es IPSEC. Ambas aplicaciones son parte del paquete ipsec-tools.
Si se utiliza la encriptación de llaves manual con IPsec, consulte /usr/share/doc/initscripts-<número-versión>/sysconfig.txt (reemplace <número-versión> con la versión del paquete initscripts instalado) para los parámetros de la configuración.
El demonio de manejo de llaves IKEv1 racoon negocia y configura un conjunto de parámetros para IPSec. Puede utilizar llaves previamente compartidas, firmas RSA o GSS-API. Si se utiliza racoon para manejar automáticamente la encriptación de llaves, se requieren las opciones siguientes:
donde <método-encriptación> es, o bien PSK, X509 o GSSAPI. Si se especifica PSK, también se debe configurar el parámetro IKE_PSK. Si se especifica X509, se debe especificar el parámetro IKE_CERTFILE.
donde <llave-compartida> es el valor secreto y compartido para el método PSK (llaves pre-compartidas).
donde <archivo-cert> es un archivo de certificado X.509 válido para el host.
donde <archivo-cert> es un certificado X.509 válido para el host remoto.
donde <respuesta> es yes. El demonio racoon recupera el certificado X.509 del host remoto a través de DNS. Si se especifica IKE_PEER_CERTFILE, no incluya este parámetro.
Para más información sobre los algoritmos de encriptación disponibles para IPsec, consulte la página man de setkey. Para más información sobre racoon, consulte las páginas man de racoon y de racoon.conf.