brouillon_ipsec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
brouillon_ipsec [2009/06/28 01:22] – thierry | brouillon_ipsec [2009/06/30 00:27] – thierry | ||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
*http:// | *http:// | ||
*http:// | *http:// | ||
+ | *http:// | ||
*ipsec-tools | *ipsec-tools | ||
Ligne 20: | Ligne 21: | ||
Son fonctionnement est au niveau de la couche 3 , donc IP . | Son fonctionnement est au niveau de la couche 3 , donc IP . | ||
- | C'est a dire que les applications n'ont pas conscience que l'IP utilisé est chiffré: c'est transparent. | + | C'est a dire que les applications n'ont pas conscience que l'IP utilisé est authentifiée et/ou chiffrée: c'est transparent. |
Protocoles: | Protocoles: | ||
Ligne 33: | Ligne 34: | ||
*tunnel : authentifier/ | *tunnel : authentifier/ | ||
- | **'' | + | |
+ | **'' | ||
+ | |||
+ | Voir package **'' | ||
===== ipsec-tools ===== | ===== ipsec-tools ===== | ||
Ligne 354: | Ligne 359: | ||
Et oui: du WAN arrive des IP locales... | Et oui: du WAN arrive des IP locales... | ||
- | ===== LAN-2-LAN ===== | + | ==== avec IKE ==== |
- | Lien: http://wiki.debian.org/ | + | ou plutot, avec **'' |
+ | En fait, il faut juste laisser les politiques, et supprimer les protocoles souhaités. | ||
- | ==== Test sur le même LAN ==== | + | Et bien sur, démarrer **'' |
- | === exemple === | + | Voila. |
- | Soit 2 becannes sur le même LAN, mais souhaitant partagé " | ||
- | PC-A (" | + | ===== Tips ===== |
- | IP: 172.16.0.33 | + | ==== Route et MTU ==== |
- | LAN SECRET: 192.168.50/24 | + | On doit parfois jouer avec les routes... |
- | PC-B (" | + | Mais aussi avec la MTU. |
- | IP: 172.16.0.39 | + | |
- | LAN SECRET: aucun | + | |
- | Sur PC-A: | + | Pour mémoire, on peut utiliser ce format de commande par exemple: |
- | # cat / | + | # ip route add < |
- | | + | Par exemple: |
- | | + | # ip route add 192.168.1.0/24 via default src 192.168.0.49 mtu 1415 |
- | # cat /etc/ipsec.conf | + | Ainsi, ce qui est a destination de la classe "192.168.1.0/24" prendra pour source "192.168.0.49" et la MTU 1415 |
- | version 2.0 # conforms to second version of ipsec.conf specification | + | |
- | + | ||
- | config setup | + | |
- | nhelpers=0 | + | |
- | + | ||
- | conn mynet | + | |
- | authby=secret | + | |
- | left=172.16.0.33 | + | |
- | | + | |
- | right=172.16.0.39 | + | |
- | auto=start | + | |
- | + | ||
- | include / | + | |
- | Copier **'' | ||
- | Inverser les IP dans le fichier **'' | + | ==== iptables ==== |
- | 172.16.0.39 172.16.0.33 : PSK " | + | |
- | Puis, sur chacun des PC: | + | $IPTABLES -A INPUT -i eth0 -p esp -j ACCEPT |
- | # / | + | |
+ | $IPTABLES -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT | ||
- | Un test montre que les requetes ARP passent aussi !? | + | Faire des bizarreries, |
- | === explications === | + | ==== ike-scan |
- | + | ||
- | (sous réserve d' | + | |
- | + | ||
- | *" | + | |
- | *" | + | |
- | *" | + | |
- | *" | + | |
- | + | ||
- | Les 2 ne sont pas obligés de partager... | + | |
- | + | ||
- | + | ||
- | === pluto === | + | |
- | # cat / | + | |
- | Jun 24 11:43:29 xxxxxx ipsec__plutorun: | + | |
- | Jun 24 11:43:29 xxxxxx ipsec__plutorun: | + | |
- | + | ||
- | === ike-scan === | + | |
# aptitude install ike-scan | # aptitude install ike-scan | ||
Ligne 431: | Ligne 403: | ||
VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) | VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) | ||
- | ==== Test sur 2 IP Public | + | ===== Openswan ===== |
- | Faire partager un reseau local, entre 2 IP public. | + | Lien: http://wiki.debian.org/ |
- | === conf === | + | Malgré tout les tutoriaux, rien ne fonctionne comme voulu.\\ |
- | + | ||
- | " | + | |
- | + | ||
- | Sur " | + | |
- | + | ||
- | # cat ipsec.secrets | + | |
- | IP_PUBLIC_20 IP_PUBLIC_15 : PSK " | + | |
- | + | ||
- | # cat ipsec.conf | + | |
- | version 2.0 # conforms to second version of ipsec.conf specification | + | |
- | + | ||
- | config setup | + | |
- | nat_traversal=yes | + | |
- | nhelpers=0 | + | |
- | + | ||
- | conn mynet | + | |
- | authby=secret | + | |
- | left=IP_PUBLIC_20 | + | |
- | leftsubnet=192.168.1.0/ | + | |
- | leftnexthop=IP_PUBLIC_15 | + | |
- | right=IP_PUBLIC_15 | + | |
- | rightnexthop=IP_PUBLIC_20 | + | |
- | auto=start | + | |
- | + | ||
- | include / | + | |
- | + | ||
- | Sur IP_PUBLIC_15 : \\ | + | |
- | (Simple inversion) | + | |
- | # cat ipsec.secrets | + | |
- | IP_PUBLIC_15 IP_PUBLIC_20 : PSK " | + | |
- | Et " | + | |
- | + | ||
- | === detaillons === | + | |
- | Au niveau IP, c'est un peu étrange... | + | |
- | + | ||
- | Sur IP_PUBLIC_A : | + | |
- | # route -n | + | |
- | Table de routage IP du noyau | + | |
- | Destination | + | |
- | IP_PUBLIC_15 | + | |
- | 192.168.1.0 | + | |
- | ... | + | |
- | + | ||
- | Sur IP_PUBLIC_B : | + | |
- | # route -n | + | |
- | Table de routage IP du noyau | + | |
- | Destination | + | |
- | 192.168.1.0 | + | |
- | ... | + | |
- | + | ||
- | Au niveau du firewall IP_PUBLIC_A : | + | |
- | WAN_IF=eth0 | + | |
- | WIFI_IF=eth1 | + | |
- | + | ||
- | # ipsec test | + | |
- | + | ||
- | $IPTABLES -A INPUT -i $WAN_IF -p 50 -s IP_PUBLIC_15 -j ACCEPT | + | |
- | $IPTABLES -A INPUT -i $WAN_IF -p 51 -s IP_PUBLIC_15 -j ACCEPT | + | |
- | + | ||
- | $IPTABLES -A INPUT -i $WAN_IF -s IP_PUBLIC_15 -d 192.168.1.0/ | + | |
- | $IPTABLES -A OUTPUT -o $WAN_IF -d IP_PUBLIC_15 -s 192.168.1.0/ | + | |
- | + | ||
- | $IPTABLES -A FORWARD -i $WAN_IF -o $WIFI_IF -j ACCEPT | + | |
- | $IPTABLES -A FORWARD -i $WIFI_IF -o $WAN_IF -j ACCEPT | + | |
+ | Donc, j' | ||
+ | Et finalement, " |
brouillon_ipsec.txt · Dernière modification : 2009/07/04 21:46 de thierry