brouillon_ipsec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
brouillon_ipsec [2009/06/28 01:02] – thierry | brouillon_ipsec [2009/06/30 00:26] – thierry | ||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
*http:// | *http:// | ||
*http:// | *http:// | ||
+ | *http:// | ||
*ipsec-tools | *ipsec-tools | ||
Ligne 20: | Ligne 21: | ||
Son fonctionnement est au niveau de la couche 3 , donc IP . | Son fonctionnement est au niveau de la couche 3 , donc IP . | ||
- | C'est a dire que les applications n'ont pas conscience que l'IP utilisé est chiffré: c'est transparent. | + | C'est a dire que les applications n'ont pas conscience que l'IP utilisé est authentifiée et/ou chiffrée: c'est transparent. |
Protocoles: | Protocoles: | ||
Ligne 33: | Ligne 34: | ||
*tunnel : authentifier/ | *tunnel : authentifier/ | ||
- | **'' | + | |
+ | **'' | ||
+ | |||
+ | Voir package **'' | ||
===== ipsec-tools ===== | ===== ipsec-tools ===== | ||
Ligne 291: | Ligne 296: | ||
==== simple ==== | ==== simple ==== | ||
+ | Liens: | ||
+ | *http:// | ||
- | ===== LAN-2-LAN ===== | + | On va faire un tunnel trés simple __sans racoon__ . |
+ | |||
+ | PC-A veut mettre en tunnel le réseau: 192.168.0.0/ | ||
+ | PC-B veut mettre en tunnel le réseau: 192.168.1.0/ | ||
+ | |||
+ | Donc, si nécessaire, | ||
+ | # / | ||
+ | |||
+ | Sur PC-A, editer **''/ | ||
+ | flush; | ||
+ | spdflush; | ||
+ | |||
+ | add < | ||
+ | add < | ||
+ | |||
+ | # Tunnel | ||
+ | # PC-A -> PC-B | ||
+ | spdadd 192.168.0.0/ | ||
+ | esp/ | ||
+ | |||
+ | # PC-A <- PC-B | ||
+ | spdadd 192.168.1.0/ | ||
+ | esp/ | ||
+ | Et puis: | ||
+ | # / | ||
+ | |||
+ | Maintenant sur PC-B, editer **''/ | ||
+ | flush; | ||
+ | spdflush; | ||
+ | |||
+ | add < | ||
+ | add < | ||
+ | |||
+ | # Tunnel | ||
+ | # PC-B -> PC-A | ||
+ | spdadd 192.168.1.0/ | ||
+ | esp/ | ||
+ | |||
+ | # PC-B <- PC-A | ||
+ | spdadd 192.168.0.0/ | ||
+ | esp/ | ||
+ | Et puis: | ||
+ | # / | ||
+ | |||
+ | Pour tester, c'est plus compliqué: | ||
+ | *il faut que l'IP source soit dans l'un des LAN, et que l'IP destinataire soit dans l'un des autres LAN. | ||
+ | *il faut activer le forward entre interface (si on fait un test a partir d'un autre poste) | ||
+ | *il faut autoriser le firewall a balancer des IP local sur le WAN ! | ||
+ | |||
+ | Soit le cas de figure suivant: | ||
+ | *PC-A a une IP 192.168.0.x | ||
+ | *PC-B a une IP 192.168.1.y | ||
+ | Alors on peut faire: | ||
+ | # nc -s 192.168.0.x 192.168.1.y 22 | ||
+ | SSH-2.0-OpenSSH_5.1p1 Debian-5 | ||
+ | |||
+ | Dans le genre bizarre, il a fallut autoriser (vite fait) le firewall avec un règle comme cela: | ||
+ | $IPTABLES -A INPUT -i $WAN_IF -d 192.168.0.0/ | ||
+ | Et oui: du WAN arrive des IP locales... | ||
+ | |||
+ | ==== avec IKE ==== | ||
+ | |||
+ | ou plutot, avec **'' | ||
+ | |||
+ | En fait, il faut juste laisser les politiques, et supprimer les protocoles souhaités. | ||
+ | |||
+ | Et bien sur, démarrer **'' | ||
+ | |||
+ | Voila. | ||
+ | |||
+ | |||
+ | ===== Tips ===== | ||
+ | ==== Route et MTU ==== | ||
+ | On doit parfois jouer avec les routes... | ||
+ | |||
+ | Mais aussi avec la MTU. | ||
+ | |||
+ | Pour mémoire, on peut utiliser ce format de commande par exemple: | ||
+ | # ip route add < | ||
+ | Par exemple: | ||
+ | # ip route add 192.168.1.0/ | ||
+ | Ainsi, ce qui est a destination de la classe " | ||
+ | |||
+ | |||
+ | ==== iptables ==== | ||
+ | |||
+ | $IPTABLES | ||
+ | $IPTABLES -A INPUT -i eth0 -p ah -j ACCEPT | ||
+ | $IPTABLES -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT | ||
+ | |||
+ | Faire des bizarreries, | ||
+ | |||
+ | ==== ike-scan ==== | ||
+ | |||
+ | # aptitude install ike-scan | ||
+ | # / | ||
+ | # ike-scan -M 172.16.0.33 | ||
+ | Starting ike-scan 1.9 with 1 hosts (http:// | ||
+ | 172.16.0.33 | ||
+ | HDR=(CKY-R=46746e295468b2d5) | ||
+ | SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2: | ||
+ | VID=4f45606c50487c5662707575 | ||
+ | VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) | ||
+ | |||
+ | ===== Openswan | ||
Lien: http:// | Lien: http:// | ||
+ | Malgré tout les tutorials, aucun ne fonctionne comme voulu.\\ | ||
+ | |||
+ | Donc, j' | ||
==== Test sur le même LAN ==== | ==== Test sur le même LAN ==== | ||
Ligne 368: | Ligne 482: | ||
VID=4f45606c50487c5662707575 | VID=4f45606c50487c5662707575 | ||
VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) | VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) | ||
- | |||
- | ==== Test sur 2 IP Public ==== | ||
- | |||
- | Faire partager un reseau local, entre 2 IP public. | ||
- | |||
- | === conf === | ||
- | |||
- | " | ||
- | |||
- | Sur " | ||
- | |||
- | # cat ipsec.secrets | ||
- | IP_PUBLIC_20 IP_PUBLIC_15 : PSK " | ||
- | |||
- | # cat ipsec.conf | ||
- | version 2.0 # conforms to second version of ipsec.conf specification | ||
- | | ||
- | config setup | ||
- | nat_traversal=yes | ||
- | nhelpers=0 | ||
- | | ||
- | conn mynet | ||
- | authby=secret | ||
- | left=IP_PUBLIC_20 | ||
- | leftsubnet=192.168.1.0/ | ||
- | leftnexthop=IP_PUBLIC_15 | ||
- | right=IP_PUBLIC_15 | ||
- | rightnexthop=IP_PUBLIC_20 | ||
- | auto=start | ||
- | | ||
- | include / | ||
- | |||
- | Sur IP_PUBLIC_15 : \\ | ||
- | (Simple inversion) | ||
- | # cat ipsec.secrets | ||
- | IP_PUBLIC_15 IP_PUBLIC_20 : PSK " | ||
- | Et " | ||
- | |||
- | === detaillons === | ||
- | Au niveau IP, c'est un peu étrange... | ||
- | |||
- | Sur IP_PUBLIC_A : | ||
- | # route -n | ||
- | Table de routage IP du noyau | ||
- | Destination | ||
- | IP_PUBLIC_15 | ||
- | 192.168.1.0 | ||
- | ... | ||
- | |||
- | Sur IP_PUBLIC_B : | ||
- | # route -n | ||
- | Table de routage IP du noyau | ||
- | Destination | ||
- | 192.168.1.0 | ||
- | ... | ||
- | |||
- | Au niveau du firewall IP_PUBLIC_A : | ||
- | WAN_IF=eth0 | ||
- | WIFI_IF=eth1 | ||
- | | ||
- | # ipsec test | ||
- | |||
- | $IPTABLES -A INPUT -i $WAN_IF -p 50 -s IP_PUBLIC_15 -j ACCEPT | ||
- | $IPTABLES -A INPUT -i $WAN_IF -p 51 -s IP_PUBLIC_15 -j ACCEPT | ||
- | | ||
- | $IPTABLES -A INPUT -i $WAN_IF -s IP_PUBLIC_15 -d 192.168.1.0/ | ||
- | $IPTABLES -A OUTPUT -o $WAN_IF -d IP_PUBLIC_15 -s 192.168.1.0/ | ||
- | | ||
- | $IPTABLES -A FORWARD -i $WAN_IF -o $WIFI_IF -j ACCEPT | ||
- | $IPTABLES -A FORWARD -i $WIFI_IF -o $WAN_IF -j ACCEPT | ||
brouillon_ipsec.txt · Dernière modification : 2009/07/04 21:46 de thierry