# Le chemin d'acces aux certificats des clients, au certificat
# de la machine et a sa clef privee.
path certificate "/etc/racoon/certs";

# Les interfaces reseau sur lesquelles ecouter. Dans mon cas
# je n'ecoute que sur l'interface WiFi.
listen {
    isakmp 192.168.3.3;
}

# Definition de la phase 1 de l'echange (etablissement de la SA
# pour l'echange de clefs).
# 'anonymous' ici signifie que cette regle est valable pour
# n'importe quel hote.
remote anonymous {
    exchange_mode aggressive,main;
    
    my_identifier asn1dn;
    peers_identifier asn1dn;

    certificate_type x509 "routeur.public" "routeur.private";
    
    lifetime time 2 hours;
    initial_contact off;
    proposal_check strict;

    # OK, cette option pause trop de problemes si elle est
    # activee, bye
    generate_policy off;

    # On dirait que laisser cette option a "on" pose de gros
    # gros problemes
    passive off;

    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method rsasig;
        dh_group 2;
    }
}

sainfo anonymous {
    pfs_group 1;
    lifetime time 2 hours;
    encryption_algorithm 3des;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}