tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_ipsec

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
brouillon_ipsec [2009/06/30 00:15] thierrybrouillon_ipsec [2009/06/30 00:26] thierry
Ligne 371: Ligne 371:
  
 ===== Tips ===== ===== Tips =====
 +==== Route et MTU ====
 +On doit parfois jouer avec les routes...
 +
 +Mais aussi avec la MTU.
 +
 +Pour mémoire, on peut utiliser ce format de commande par exemple:
 +  # ip route add <NETWORK> via <gateway> src <SRC> [mtu X]
 +Par exemple:
 +  # ip route add 192.168.1.0/24 via default src 192.168.0.49 mtu 1415
 +Ainsi, ce qui est a destination de la classe "192.168.1.0/24" prendra pour source "192.168.0.49" et la MTU 1415
 +
 +
 +==== iptables ====
 +
 +  $IPTABLES -A INPUT -i eth0 -p esp -j ACCEPT                    ; # ESP (ou -p 50)
 +  $IPTABLES -A INPUT -i eth0 -p ah -j ACCEPT                     ; # AH (ou -p 51)
 +  $IPTABLES -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT        ; # pour IKE/racoon/pluto
 +
 +Faire des bizarreries, comme autoriser les IP locales (192.168/16 10/8...) a voyager vers Internet... (sans oublier qu'en fait, ca passe par un tunnel!)
 +
 ==== ike-scan ==== ==== ike-scan ====
  
Ligne 462: Ligne 482:
         VID=4f45606c50487c5662707575         VID=4f45606c50487c5662707575
         VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)         VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
- 
-==== Test sur 2 IP Public ==== 
- 
-Faire partager un reseau local, entre 2 IP public. 
- 
-=== conf === 
- 
-"IP_PUBLIC_20" et "IP_PUBLIC_15" sont a remplacer respectivement par les IP public. 
- 
-Sur "PUBLIC_20": 
- 
-  # cat ipsec.secrets 
-  IP_PUBLIC_20 IP_PUBLIC_15 : PSK "le_mot_de_passe_secret" 
- 
-  # cat ipsec.conf 
-  version 2.0     # conforms to second version of ipsec.conf specification 
-   
-  config setup 
-        nat_traversal=yes 
-        nhelpers=0 
-   
-  conn mynet 
-        authby=secret 
-        left=IP_PUBLIC_20 
-        leftsubnet=192.168.1.0/24 
-        leftnexthop=IP_PUBLIC_15 
-        right=IP_PUBLIC_15 
-        rightnexthop=IP_PUBLIC_20 
-        auto=start 
-   
-  include /etc/ipsec.d/examples/no_oe.conf 
- 
-Sur IP_PUBLIC_15 : \\ 
-(Simple inversion) 
-  # cat ipsec.secrets 
-  IP_PUBLIC_15 IP_PUBLIC_20 : PSK "le_mot_de_passe_secret" 
-Et "ipsec.conf" identique. 
- 
-=== detaillons === 
-Au niveau IP, c'est un peu étrange... 
- 
-Sur IP_PUBLIC_A : 
-  # route -n 
-  Table de routage IP du noyau 
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface 
-  IP_PUBLIC_15    0.0.0.0         255.255.255.255 UH    0      0        0 eth0 
-  192.168.1.0     0.0.0.0         255.255.255.0            0        0 eth1 
-  ... 
- 
-Sur IP_PUBLIC_B : 
-  # route -n 
-  Table de routage IP du noyau 
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface 
-  192.168.1.0     0.0.0.0         255.255.255.0            0        0 eth0 
-  ... 
- 
-Au niveau du firewall IP_PUBLIC_A : 
-  WAN_IF=eth0 
-  WIFI_IF=eth1 
-   
-  # ipsec test 
- 
-  $IPTABLES -A INPUT -i $WAN_IF -p 50 -s IP_PUBLIC_15 -j ACCEPT      ; # ESP 
-  $IPTABLES -A INPUT -i $WAN_IF -p 51 -s IP_PUBLIC_15 -j ACCEPT      ; # AH 
-   
-  $IPTABLES -A INPUT -i $WAN_IF -s IP_PUBLIC_15 -d 192.168.1.0/24 -j ACCEPT 
-  $IPTABLES -A OUTPUT -o $WAN_IF -d IP_PUBLIC_15 -s 192.168.1.0/24 -j ACCEPT 
-   
-  $IPTABLES -A FORWARD -i $WAN_IF -o $WIFI_IF -j ACCEPT 
-  $IPTABLES -A FORWARD -i $WIFI_IF -o $WAN_IF -j ACCEPT 
  
  
brouillon_ipsec.txt · Dernière modification : 2009/07/04 21:46 de thierry