userapps/opensource/ipsec-tools/src/racoon/samples/roadwarrior/README

   1 This directory contains sample configurations files used for roadwarrior
   2 remote access using hybrid authentication. In this setup, the VPN
   3 gateway authenticate to the client using a certificate, and the client
   4 authenticate to the VPN gateway using a login and a password.
   5
   6 Moreover, this setup makes use of ISAKMP mode config to autoconfigure
   7 the client. After a successful login, the client will receive an
   8 internal address, netmask and DNS from the VPN gateway.
   9
  10
  11 Server setups
  12 =============
  13 The server setups need racoon built with the following options:
  14 configure --enable-natt --enable-frag --enable-hybrid --enable-dpd \
  15           --with-libradius --sysconfdir=/etc/racoon
  16
  17 The first server setup, in server/racoon.conf, is for a VPN gateway
  18 using authentication against the system password database, and using
  19 a locally configured pool of addresses.
  20
  21 The second setup, server/racoon.conf-radius, uses a RADIUS server for
  22 authentication, IP allocation and accounting. The address and secret
  23 to be used for the RADIUS server are configured in /etc/radius.conf,
  24 see radius.conf(5).
  25
  26 Both config file use the server/phase1-down.sh script, which is used to
  27 workaround a bug in automatically generated SAD and SPD flush in
  28 racoon. This script will not be needed anymore the day this problem
  29 will be fixed.
  30
  31 Both configurations can be used with the Cisco VPN client if it
  32 is setup to use hybrid authentication (aka mutual group authentication,
  33 available in Cisco VPN client version 4.0.5 and above). The group
  34 password configured in the Cisco VPN client is unused by racoon.
  35
  36 Once you will have installed /etc/racoon/racoon.conf and
  37 /etc/racoon/phase1-down.sh, you will also have to install a server
  38 certificate and key in /etc/openssl/certs/server.crt and
  39 /etc/openssl/certs/server.key
  40
  41
  42 Client setup
  43 ============
  44 The client setup needs racoon built with the following options:
  45 configure --enable-natt --enable-frag --enable-hybrid --enable-dpd \
  46           --enable-adminport --sysconfdir=/etc/racoon --localstatedir=/var
  47
  48 You need to copy client/racoon.conf, client/phase1-up.sh and
  49 client/phase1-down.sh to /etc/racoon, and you need to copy the
  50 certificate authority that signed the VPN gateway certificate in
  51 /etc/openssl/certs/root-ca.crt
  52
  53 Once this is done, you can run racoon, and then you can start
  54 the VPN using racoonctl:
  55 racoonctl vc -u username vpn-gateway.example.net
  56
  57 Where username is your login, and vpn-gateway.example.net is
  58 the DNS or IP address of the VPN gateway. racoonctl will prompt
  59 you for the password.
  60
  61 The password can be stored in the psk.txt file. In that situation,
  62 add this directive to the remote section of racoon.conf:
  63          xauth_login "username";
  64 Where username is your login.
  65
  66 Note that for now there is no feedback in racoonctl if the authentication
  67 fails. Peek at racoon logs to discover what goes wrong.
  68
  69 In order to disconnect from the VPN, do this:
  70 racoonctl vd vpn-gateway.example.net
  71
  72 This configuration should be compatible with the Cisco VPN 3000 using
  73 hybrid authentication, though this has not been tested.