# Le chemin d'acces aux certificats des clients, au certificat
# de la machine et a sa clef privee.
path certificate "/etc/racoon/certs";

# Les interfaces reseau sur lesquelles ecouter. Dans mon cas
# je n'ecoute que sur l'interface WiFi.
listen {
    isakmp 192.168.3.3;
}

# Definition de la phase 1 de l'echange (etablissement de la SA
# pour l'echange de clefs).
# 'anonymous' ici signifie que cette regle est valable pour
# n'importe quel hote.
remote anonymous {
    # le mode d'echange utilise par Racoon.
    exchange_mode aggressive,main;
    
    # l'identifiant qu'enverra Racoon pour se presenter.
    # asn1dn signifie que le DN du certificat de la machine
    # sera envoye
    my_identifier asn1dn;
    # l'identifiant attendu de la part des correspondants
    peers_identifier asn1dn;

    # La certificat de la machine, *puis* sa clef privee
    certificate_type x509 "machine.public" "machine.private";

    # La duree de vie de la SA ISAKMP
    lifetime time 2 minutes;
    
    # Est-ce que Racoon prend l'initiative de demarrer un nouvel echange ?
    # Dans le cas du client, oui.
    passive off;
    
    # Mode par defaut pour l'acceptation de la proposition de duree de vie
    # des SAs
    proposal_check strict;

    
    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        dh_group 2;
        
        # Nous demandons une identification par certificats x509
        authentication_method rsasign;
    }
}

# Comment sont definies les SAs par Racoon
sainfo anonymous {
    pfs_group 1;
    lifetime time 2 minutes;
    encryption_algorithm 3des;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}