Installazione di Super FreeS/WAN da sorgenti

Super FreeS/WAN è una versione di FreeS/WAN con incluse alcune delle patch non ufficiali più richieste quali supporto certificati x509, transversal NAT per gestire tunnel anche attraverso connessioni nattate, algoritmi di criptazione aggiuntivi oltre al 3DES di default, notifica e cancellazione delle SA.
Di fatto, pur presentando alcune feature sperimentali, è la soluzione necessaria per creare tunnel con device di terzi tramite certificati x 509 o per situazioni particolari in cui uno dei due estremi del tunnel viene a sua volta nattato da un firewall.

Come per la versione ufficiale di FreeS/WAN, anche questa versione "con gli steroidi" può essere comodamente installata tramite gli RPM (compatibili RedHat 7 e 8) forniti sul sito.
Per chi è pratico di compilazioni di kernel, comunque, il patching è una procedura piuttosto semplice.
cd /usr/src/
wget http://download.freeswan.ca/super-freeswan/super-freeswan-1.99.5.1.tar.gz
tar -zxvf super-freeswan-1.99.5.1.tar.gz
cd super-freeswan-1.99.5.1/

Si scarica, si scompatta, si entra nella directory creata, in cui sono presenti varie sottodirectory e file tra cui:
doc/ Directory con abbondante documentazione (che si trova anche online)
klips/ pluto/ Directory con i sorgenti per i moduli kernel e le userland utilities
rpm-in File di specs per costruire un RPM

make menugo
Con questo comando si apre il familiare menu di configurazione del kernel con già aggiunti, sotto la voce Networking options, i moduli aggiuntivi relativi a FreeS/WAN e con le altre opzioni del kernel precedentmente impostate in una compilazione precedente (è buona cosa operare sulle configurazioni di un kernel già testato, di cui si è certi che funzioni la parte di networking per normali operazioni in rete). Ovviamente, a prescindere da dove si trova la directory super-freeswan-1.99.5.1 da cui si lancia make menugo (il giusto posto sarebbe /usr/src/super-freeswan-1.99.5.1/) ci si aspetta di avere i sorgenti del kernel che si vuole patchare in /usr/src/linux). I moduli preimpostati di FreeS/WAN vanno generalmente bene, a questi si possono aggiungere alcuni algoritmi di criptazione opzionali, che vengono caricati come sotto-moduli (notare che 3DES è incluso di default come algoritmo principale e può essere incluso anche come modulo aggiuntivo).
Dopo la scelta dei moduli si può uscire, salvando la configurazione, e automaticamente viene lanciata la ricompilazione del kernel e dei moduli, tanto che alla fine basterà copiare l'immagine del kernel ottenuta (/usr/src/linux/arch/i386/boot/bzImage) e configurare il LILO o GRUB del caso.
Il Makefile fornito è piuttosto completo e oltre a fornire l'opzione tutto-fare make menugo presenta altre opzioni parziali come make menumod per ricompilare solo i moduli IPsec aggiuntivi.
Terminata la compilazione del nuovo kernel e dei suoi moduli, installato il kernel e aggiornato il file di configurazione del boot loader, è possibile riavviare la macchina e iniziare a lanciarsi nel criptico mondo di IPsec.

I dettagli sulla configurazione sono spiegati altrove, ma è utile sarebe le posizioni dei file che contano:
/etc/ipsec.conf E' il file di configurazione. Ne viene creato uno di esempio che deve ovviamente essere modificato.
/etc/ipsec.secrets Contiene le chiavi e le eventuali password per gestire le autenticazioni fra gli estremi del tunnel
/etc/ipsec.d/ E' una directory in cui si trovano certificati e chiavi
/usr/local/sbin/ipsec E' il comando ipsec (uno script shell) con cui si può gestire praticamente ogni aspetto di FreeS/WAN
/usr/local/lib/ipsec Contiene i vari sotto-comandi di ipsec, che possono essere anche eseguiti direttamente (meglio evitare, dal momento che il comando ipsec imposta anche un environment adeguato, prima di eseguire i sottocomandi)
man ipsec e man ipsec_sottocomando Fornisce ottima e puntuale documentazione

Privacy Policy