[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Documentation/network/ipsec/rasvpn.xml: 1.2 -> 1.6
以下のページの更新をしました。ツッコミをお願いします。
Documentation/network/ipsec/rasvpn.xml: 1.2 -> 1.6
月曜日までに異議がなければ、 commit します。
変更点は以下のとおりで、マークアップ以外で変更されたのは、
racoon.conf およびサンプルスクリプトのパスと、
訳に影響のない typo 修正のみです。
> revision 1.6
> date: 2005/06/02 21:56:09; author: manu; state: Exp; lines: +3 -3
> Fix an error in this document: racoon sample files are in
> /usr/share/examples/racoon, and not in /usr/share/examples/ipsec-tools
> ----------------------------
> revision 1.5
> date: 2005/06/02 21:33:37; author: heinz; state: Exp; lines: +24 -28
> Fixed two typos pointed out by Joseph A.Dacuma.
> While here, I changed the DOCTYPE to the new public identifier for NetBSD,
> changed the id attribute of <webpage> to the new format suggested by
> Hiroki Sato and replaced <code> by <filename> for all filenames.
> ----------------------------
> revision 1.4
> date: 2005/05/15 13:44:54; author: symka; state: Exp; lines: +8 -8
> Fixed:
> - racoon config file should be in /etc/racoon/ directory, not in /etc/ directly,
> so s/etc\/racoon.conf/etc\/racoon\/racoon.conf/
>
> XXX - also when in server mode, we use "adminsock disabled;" racoon process
> will grow and grow, eating cpu, because of:
> racoon: ERROR: failed to accept admin command: Socket operation on non-socket
> that error also confuses syslog, so syslogd process also eats ~70% of cpu.
> I think we need check that option.
> ----------------------------
> revision 1.3
> date: 2005/05/10 21:54:48; author: jschauma; state: Exp; lines: +3 -3
> point backlink up to ipsec instead of networking
以下、訳と原文の差分です。
--- Documentation/network/ipsec/rasvpn.xml.orig 2006-02-26 18:58:08.000000000 +0900
+++ Documentation/network/ipsec/rasvpn.xml 2006-02-26 18:58:08.000000000 +0900
@@ -1,18 +1,14 @@
<?xml version="1.0" encoding="ISO-2022-JP"?>
<!DOCTYPE webpage
- PUBLIC "-//Norman Walsh//DTD Website V2.2//EN"
- "http://docbook.sourceforge.net/release/website/2.2/website.dtd" [
+ PUBLIC "-//NetBSD//DTD Website-based NetBSD Extension//EN"
+ "http://www.NetBSD.org/XML/htdocs/lang/share/xml/website-netbsd.dtd">
-<!ENTITY % man-refs.ent SYSTEM "../../../../share/xml/man-refs.ent"> %man-refs.ent;
-
-]>
-
-<webpage id="ja-remote-user-vpn">
+<webpage id="ja-Documentation-network-ipsec-rasvpn">
<config param="desc" value="リモートユーザーアクセス VPN の構築方法"/>
-<config param="cvstag" value="$NetBSD: rasvpn.xml,v 1.2 2005/05/10 18:42:05 jschauma Exp $"/>
+<config param="cvstag" value="$NetBSD: rasvpn.xml,v 1.6 2005/06/02 21:56:09 manu Exp $"/>
<!-- Based on english version: -->
-<!-- NetBSD: rasvpn.xml,v 1.2 2005/05/10 18:42:05 jschauma Exp -->
-<config param="rcsdate" value="$Date: 2005/05/10 18:42:05 $"/>
+<!-- NetBSD: rasvpn.xml,v 1.6 2005/06/02 21:56:09 manu Exp -->
+<config param="rcsdate" value="$Date: 2005/06/02 21:56:09 $"/>
<head>
<!-- Copyright (c) 2005 Emmanuel Dreyfus. ALL RIGHTS RESERVED. -->
@@ -292,7 +288,7 @@
<para>
以下のコマンドを使って、IPv4 パケットフォワーディングを有効化する必要があります。
<programlisting># sysctl -w net.inet.ip.forwarding=1</programlisting>
-<code>/etc/sysctl.conf</code> に以下の行を追加して、
+<filename>/etc/sysctl.conf</filename> に以下の行を追加して、
リブート時に自動的に実行することができます。
<programlisting>net.inet.ip.forwarding=1</programlisting>
</para>
@@ -342,7 +338,7 @@
<sect3 id="config">
<title>&man.racoon.8; の設定</title>
<para>
-以下に <code>/etc/racoon.conf</code> ファイルの例を示します。
+以下に <filename>/etc/racoon/racoon.conf</filename> ファイルの例を示します。
<programlisting>path certificate "/etc/openssl/certs";
listen {
@@ -393,18 +389,18 @@
と在庫のサイズ (<code>pool_size</code>) により定義しています。<code>auth_source</code>
は、ログイン名とパスワードをどうやって検証するかを表します。ここで指定できる値は、
システムユーザーデータベースをもとに検証する <code>system</code>、Pluggable Authentication Module (PAM)
-システム (<code>/etc/pam.d/racoon</code> が使われます) を使う <code>pam</code>、
+システム (<filename>/etc/pam.d/racoon</filename> が使われます) を使う <code>pam</code>、
RADIUS をもとにログインを検証する <code>radius</code> です。
</para>
<para>
-<code>/etc/racoon.conf</code> ファイルの準備ができれば、
+<filename>/etc/racoon/racoon.conf</filename> ファイルの準備ができれば、
&man.racoon.8; を実行することができます。
<programlisting># racoon</programlisting>
</para>
<para>
ブート時に &man.racoon.8; を起動するためには、
-<code>/etc/rc.conf</code> に以下のように書きます。
+<filename>/etc/rc.conf</filename> に以下のように書きます。
<programlisting>
racoon=YES
</programlisting>
@@ -425,15 +421,15 @@
探索にまつわる問題が起きるかもしれません。これに対する解決策は、
最大セグメント長 (Maximum Segment Size, MSS)
の調節を使うことです。払い出し用の VPN 内部アドレスの範囲が 10.99.99.0/24 であるとすると、
-<code>/etc/ipnat.conf</code> に以下のように書けばよいです。
+<filename>/etc/ipnat.conf</filename> に以下のように書けばよいです。
<programlisting>map ex0 10.99.99.0/24 -> 0/0 mssclamp 552</programlisting>
この設定を有効にするために、以下のようにタイプします。
<programlisting># ipf -E; ipnat -f /etc/ipnat.conf</programlisting>
起動時にこのコマンドを実行するには、
-<code>/etc/rc.conf</code> に以下のように書きます。
+<filename>/etc/rc.conf</filename> に以下のように書きます。
<programlisting>ipfilter=YES
ipnat=YES</programlisting>
-注意: <code>/etc/ipf.conf</code> ファイルがない場合は、<code>ipfilter=YES</code>
+注意: <filename>/etc/ipf.conf</filename> ファイルがない場合は、<code>ipfilter=YES</code>
とするとシステムが起動しません。 IP フィルタリングが一切必要ない場合は、
空のファイルを作っておけばよいです。
</para>
@@ -457,7 +453,7 @@
<para>
RADIUS は、ログインの検証、IP アドレスの割り当てと、
アカウンティングに使うことができます。以下に示すのは、
-<code>/etc/racoon.conf</code> ファイルの <code>mode_cfg</code> セクションで、
+<filename>/etc/racoon/racoon.conf</filename> ファイルの <code>mode_cfg</code> セクションで、
RADIUS を使うようにするための例です。
<programlisting>mode_cfg {
pool_size 253; # IPv4 アドレス在庫のサイズ
@@ -473,7 +469,7 @@
<para>
この設定のほか、RADIUS サーバーのアドレスと RADIUS サーバーとの共有鍵を含んだ
-<code>/etc/radius.conf</code> ファイルを作る必要があります。
+<filename>/etc/radius.conf</filename> ファイルを作る必要があります。
このファイルは、共有鍵を安全に保つために、
root の所有としてパーミッションを 0600 にしなければなりません。
以下に例を示します。詳細は &man.radius.conf.5; をご覧ください。
@@ -504,8 +500,8 @@
<title>クライアントとしての &man.racoon.8; : 設定例</title>
<para>
&man.racoon.8; はクライアントとして使うことができます。
-CA 証明書を <code>/etc/openssl/certs/ca.crt</code> にインストールし、
-<code>/etc/racoon.conf</code> を以下のように設定する必要があります。
+CA 証明書を <filename>/etc/openssl/certs/ca.crt</filename> にインストールし、
+<filename>/etc/racoon/racoon.conf</filename> を以下のように設定する必要があります。
<programlisting>path certificate "/etc/openssl/certs";
path pre_shared_key "/etc/racoon/psk.txt";
@@ -544,19 +540,19 @@
}</programlisting>
</para>
<para>
-二つのスクリプト <code>phase1-up.sh</code> と <code>phase1-down.sh</code> は、
+二つのスクリプト <filename>phase1-up.sh</filename> と <filename>phase1-down.sh</filename> は、
それぞれ IKE phase 1 の確立時と終了時、つまり VPN 接続時と切断時に呼ばれます。
このスクリプトは IPsec Security Policies (SP), VPN IP アドレス、
ルーティングエントリーの設定と消去を受け持っています。
サンプルスクリプトのままでも必要なことはできるはずですが、
各自の必要に応じてカスタマイズすることもできます。
-<programlisting># cp /usr/share/examples/ipsec-tools/roadwarrior/client/*.sh /etc/racoon/</programlisting>
+<programlisting># cp /usr/share/examples/racoon/roadwarrior/client/*.sh /etc/racoon/</programlisting>
</para>
<para>
この準備ができれば、 &man.racoon.8; を起動できます。
<programlisting># racoon</programlisting>
-ブート時に &man.racoon.8; を起動するには、<code>/etc/rc.conf</code> に
+ブート時に &man.racoon.8; を起動するには、<filename>/etc/rc.conf</filename> に
<code>racoon=YES</code> を書き加えます。
</para>
</sect3>
@@ -589,9 +585,9 @@
</para>
<para>
-&man.racoon.8; ソケット <code>/var/racoon/racoon.sock</code> への読み書き権限がある人なら、
+&man.racoon.8; ソケット <filename>/var/racoon/racoon.sock</filename> への読み書き権限がある人なら、
誰でも VPN の起動や停止をすることができます。
-このソケットの所有者とアクセス権限は、<code>/etc/racoon.conf</code> の
+このソケットの所有者とアクセス権限は、<filename>/etc/racoon/racoon.conf</filename> の
<code>listen</code> セクションで、<code>adminsock</code> ステートメントを使って設定できます。
</para>
</sect3>
@@ -600,13 +596,13 @@
<title>Xauth パスワードの保存</title>
<para>
Xauth パスワードの入力を省略したい場合、このパスワードを racoon の事前共有鍵 (PSK)
-ファイルに保持することができます。<code>/etc/racoon.conf</code> の
+ファイルに保持することができます。<filename>/etc/racoon/racoon.conf</filename> の
<code>remote</code> セクションに、以下の記述を追加します。
<programlisting>xauth_login "username";</programlisting>
</para>
<para>
-そして、 <code>/etc/racoon/psk.txt</code> に、
+そして、 <filename>/etc/racoon/psk.txt</filename> に、
ログイン名とパスワードを一行で書き足します。
<programlisting>username password</programlisting>
</para>
@@ -621,5 +617,5 @@
</sect2>
</sect1>
-<parentsec url="../" text="NetBSD ドキュメンテーション: ネットワーク"/>
+<parentsec url="./" text="NetBSD ドキュメンテーション: NetBSD IPSec"/>
</webpage>
Index: Documentation/network/ipsec/rasvpn.xml
===================================================================
RCS file: /cvsroot/htdocs/Documentation/network/ipsec/rasvpn.xml,v
retrieving revision 1.2
retrieving revision 1.6
diff -u -r1.2 -r1.6
--- Documentation/network/ipsec/rasvpn.xml 10 May 2005 18:42:05 -0000 1.2
+++ Documentation/network/ipsec/rasvpn.xml 2 Jun 2005 21:56:09 -0000 1.6
@@ -1,16 +1,12 @@
<?xml version="1.0"?>
<!DOCTYPE webpage
- PUBLIC "-//Norman Walsh//DTD Website V2.2//EN"
- "http://docbook.sourceforge.net/release/website/2.2/website.dtd" [
+ PUBLIC "-//NetBSD//DTD Website-based NetBSD Extension//EN"
+ "http://www.NetBSD.org/XML/htdocs/lang/share/xml/website-netbsd.dtd">
-<!ENTITY % man-refs.ent SYSTEM "../../../share/xml/man-refs.ent"> %man-refs.ent;
-
-]>
-
-<webpage id="remote-user-vpn">
+<webpage id="Documentation-network-ipsec-rasvpn">
<config param="desc" value="How to build a remote user access VPN"/>
-<config param="cvstag" value="$NetBSD: rasvpn.xml,v 1.2 2005/05/10 18:42:05 jschauma Exp $"/>
-<config param="rcsdate" value="$Date: 2005/05/10 18:42:05 $"/>
+<config param="cvstag" value="$NetBSD: rasvpn.xml,v 1.6 2005/06/02 21:56:09 manu Exp $"/>
+<config param="rcsdate" value="$Date: 2005/06/02 21:56:09 $"/>
<head>
<!-- Copyright (c) 2005 Emmanuel Dreyfus. ALL RIGHTS RESERVED. -->
@@ -294,7 +290,7 @@
You need to enable IPv4 packet forwarding, by using the following command:
<programlisting># sysctl -w net.inet.ip.forwarding=1</programlisting>
This can be automatically executed on reboot by adding this line
-to <code>/etc/sysctl.conf</code>:
+to <filename>/etc/sysctl.conf</filename>:
<programlisting>net.inet.ip.forwarding=1</programlisting>
</para>
</sect3>
@@ -344,7 +340,7 @@
<sect3 id="config">
<title>Configuring &man.racoon.8;</title>
<para>
-Here is a sample <code>/etc/racoon.conf</code> file:
+Here is a sample <filename>/etc/racoon/racoon.conf</filename> file:
<programlisting>path certificate "/etc/openssl/certs";
listen {
@@ -395,19 +391,19 @@
and a pool size (<code>pool_size</code>). <code>auth_source</code> explains how
the login and passwrod are validated. Possible values are <code>system</code>,
to validate against the system user database, <code>pam</code> to use the
-Pluggable Authentication Module (PAM) system (<code>/etc/pam.d/racoon</code>
+Pluggable Authentication Module (PAM) system (<filename>/etc/pam.d/racoon</filename>
will be used), and <code>radius</code> to
validate logins against RADIUS.
</para>
<para>
-Once your <code>/etc/racoon.conf</code> file is ready, you can launch
+Once your <filename>/etc/racoon/racoon.conf</filename> file is ready, you can launch
&man.racoon.8;:
<programlisting># racoon</programlisting>
</para>
<para>
In order to have &man.racoon.8; started up at boot time, you need the following
-in <code>/etc/rc.conf</code>:
+in <filename>/etc/rc.conf</filename>:
<programlisting>
racoon=YES
</programlisting>
@@ -428,23 +424,23 @@
size through the tunnel. However, there is a special case for TCP, which
may have trouble with Path Maximum Transmission Unit (PMTU) discovery.
The solution is to use Maximum Segment Size (MSS) clamping. This can be
-done in <code>/etc/ipnat.conf</code>, assuming your VPN internal address
+done in <filename>/etc/ipnat.conf</filename>, assuming your VPN internal address
pool is 10.99.99.0/24:
<programlisting>map ex0 10.99.99.0/24 -> 0/0 mssclamp 552</programlisting>
And type the following to enable that configuration:
<programlisting># ipf -E; ipnat -f /etc/ipnat.conf</programlisting>
In order to have those commands executed on startup, you need
-the following in <code>/etc/rc.conf</code>:
+the following in <filename>/etc/rc.conf</filename>:
<programlisting>ipfilter=YES
ipnat=YES</programlisting>
Note that the system will not boot with <code>ipfilter=YES</code> if the
-<code>/etc/ipf.conf</code> file is missing. You can create a blank file
+<filename>/etc/ipf.conf</filename> file is missing. You can create a blank file
if you do not need any IP filtering.
</para>
</sect3>
<sect3 id="firewall">
-<title>Interraction with firewalls</title>
+<title>Interaction with firewalls</title>
<para>
In this VPN solution, the client needs to send UDP packets to ports 500
and 4500 of the VPN gateway. The first packets are exchanged on port 500,
@@ -461,7 +457,7 @@
<para>
RADIUS can be used for login validation, IP addresses allocation and
accounting. Here is a sample <code>mode_cfg</code> section for
-<code>/etc/racoon.conf</code> that enforces RADIUS usage:
+<filename>/etc/racoon/racoon.conf</filename> that enforces RADIUS usage:
<programlisting>mode_cfg {
pool_size 253; # IPv4 pool size
auth_source radius; # login validated against RADIUS
@@ -475,7 +471,7 @@
</para>
<para>
-Additionnaly, you need to create a <code>/etc/radius.conf</code> file that
+Additionally, you need to create a <filename>/etc/radius.conf</filename> file that
contains the RADIUS server address and the secret shared with the RADIUS
server. This file must be owned by root and mode 0600 in order to keep
the shared secret secure. Here is an example, see &man.radius.conf.5; for
@@ -508,8 +504,8 @@
<title>&man.racoon.8; as the client: configuration example </title>
<para>
It is also possible to use &man.racoon.8; as a client. You need to install the
-CA certificate in <code>/etc/openssl/certs/ca.crt</code>, and the configuration
-below in <code>/etc/racoon.conf</code>
+CA certificate in <filename>/etc/openssl/certs/ca.crt</filename>, and the configuration
+below in <filename>/etc/racoon/racoon.conf</filename>
<programlisting>path certificate "/etc/openssl/certs";
path pre_shared_key "/etc/racoon/psk.txt";
@@ -548,20 +544,20 @@
}</programlisting>
</para>
<para>
-The <code>phase1-up.sh</code> and <code>phase1-down.sh</code> scripts are called
+The <filename>phase1-up.sh</filename> and <filename>phase1-down.sh</filename> scripts are called
when the IKE phase 1 is established and terminated, that is, at VPN
connection and disconnect time. They are responsible for setting up
and deleting the IPsec Security Policies (SP), VPN IP address, and
routing entries. The sample scripts should do what you need, but you can
customize them to fit your particular needs.
-<programlisting># cp /usr/share/examples/ipsec-tools/roadwarrior/client/*.sh /etc/racoon/</programlisting>
+<programlisting># cp /usr/share/examples/racoon/roadwarrior/client/*.sh /etc/racoon/</programlisting>
</para>
<para>
Once this is ready, you can start &man.racoon.8;:
<programlisting># racoon</programlisting>
In order to have it started at boot time, add <code>racoon=YES</code> to
-<code>/etc/rc.conf</code>.
+<filename>/etc/rc.conf</filename>.
</para>
</sect3>
@@ -594,9 +590,9 @@
<para>
Anyone with read/write rights to the &man.racoon.8; socket
-<code>/var/racoon/racoon.sock</code> can start or stop the VPN. The
+<filename>/var/racoon/racoon.sock</filename> can start or stop the VPN. The
ownership and rights to the socket can be set using the <code>adminsock</code>
-statement in the <code>listen</code> section of <code>/etc/racoon.conf</code>.
+statement in the <code>listen</code> section of <filename>/etc/racoon/racoon.conf</filename>.
</para>
</sect3>
@@ -605,12 +601,12 @@
<para>
If you want to avoid typing the Xauth password, you can store it in
racoon's Pre-Shared Key (PSK) file. Add the following statement in
-the <code>remote</code> section of <code>/etc/racoon.conf</code>:
+the <code>remote</code> section of <filename>/etc/racoon/racoon.conf</filename>:
<programlisting>xauth_login "username";</programlisting>
</para>
<para>
-Then add a line in <code>/etc/racoon/psk.txt</code> with the login and the
+Then add a line in <filename>/etc/racoon/psk.txt</filename> with the login and the
password:
<programlisting>username password</programlisting>
</para>
@@ -625,5 +621,5 @@
</sect2>
</sect1>
-<parentsec url="../" text="NetBSD Documentation: Network"/>
+<parentsec url="./" text="NetBSD Documentation: NetBSD IPSec"/>
</webpage>