Différences

Ci-dessous, les différences entre deux révisions de la page.

--- brouillon_ipsec [2009/06/30 00:25] – thierry
+++ brouillon_ipsec [2009/06/30 00:26] – thierry
@@ Ligne 410: / Ligne 410: @@
 Donc, j'abadonne **''openswan''** ...
-==== Test sur le même LAN ====
-=== exemple ===
-Soit 2 becannes sur le même LAN, mais souhaitant partagé "secretement" un reseau ...
-PC-A ("serveur") :
- IP: 172.16.0.33
- LAN SECRET: 192.168.50/24
-PC-B ("client") :
- IP: 172.16.0.39
- LAN SECRET: aucun
-Sur PC-A:
-  # cat /etc/ipsec.secrets
-.16.0.33 172.16.0.39 : PSK "le_mot_de_passe_secret"
-  # cat /etc/ipsec.conf
-  version 2.0     # conforms to second version of ipsec.conf specification
-  config setup
-        nhelpers=0
-  conn mynet
-        authby=secret
-        left=172.16.0.33
-        leftsubnet=192.168.50.0/24
-        right=172.16.0.39
-        auto=start
-  include /etc/ipsec.d/examples/no_oe.conf
-Copier **''ipsec.secrets''** et **''ipsec.conf''** sur le "PC_B".
-Inverser les IP dans le fichier **''ipsec.secrets''** , afin d'avoir:
-.16.0.39 172.16.0.33 : PSK "le_mot_de_passe_secret"
-Puis, sur chacun des PC:
-  # /etc/init.d/ipsec start   (ou restart)
-Un test montre que les requetes ARP passent aussi !?
-=== explications ===
-(sous réserve d'avoir bien compris!)
-  *"left" : c'est "soi-même", ou plus exactement: l'IP a gauche dans **''ipsec.secrets''** .
-  *"leftnexthop" : c'est la gateway . Par defaut: "%direct"  ( On peut mettre aussi "%defaultroute" )
-  *"leftsubnet" : le reseau a partager
-  *"right" : c'est l'autre
-Les 2 ne sont pas obligés de partager...
-=== pluto ===
-  # cat /var/log/syslog | grep pluto
-  Jun 24 11:43:29 xxxxxx ipsec__plutorun: 104 "mynet" #1: STATE_MAIN_I1: initiate
-  Jun 24 11:43:29 xxxxxx ipsec__plutorun: ...could not start conn "mynet"
-=== ike-scan ===
-  # aptitude install ike-scan
-  # /etc/init.d/ipsec stop
-  # ike-scan -M 172.16.0.33
-  Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
-.16.0.33     Main Mode Handshake returned
-        HDR=(CKY-R=46746e295468b2d5)
-        SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
-        VID=4f45606c50487c5662707575
-        VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
-==== Test sur 2 IP Public ====
-Faire partager un reseau local, entre 2 IP public.
-=== conf ===
-"IP_PUBLIC_20" et "IP_PUBLIC_15" sont a remplacer respectivement par les IP public.
-Sur "PUBLIC_20":
-  # cat ipsec.secrets
-  IP_PUBLIC_20 IP_PUBLIC_15 : PSK "le_mot_de_passe_secret"
-  # cat ipsec.conf
-  version 2.0     # conforms to second version of ipsec.conf specification
-  config setup
-        nat_traversal=yes
-        nhelpers=0
-  conn mynet
-        authby=secret
-        left=IP_PUBLIC_20
-        leftsubnet=192.168.1.0/24
-        leftnexthop=IP_PUBLIC_15
-        right=IP_PUBLIC_15
-        rightnexthop=IP_PUBLIC_20
-        auto=start
-  include /etc/ipsec.d/examples/no_oe.conf
-Sur IP_PUBLIC_15 : \\
-(Simple inversion)
-  # cat ipsec.secrets
-  IP_PUBLIC_15 IP_PUBLIC_20 : PSK "le_mot_de_passe_secret"
-Et "ipsec.conf" identique.
-=== detaillons ===
-Au niveau IP, c'est un peu étrange...
-Sur IP_PUBLIC_A :
-  # route -n
-  Table de routage IP du noyau
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
-  IP_PUBLIC_15    0.0.0.0         255.255.255.255 UH    0      0        0 eth0
-.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
-  ...
-Sur IP_PUBLIC_B :
-  # route -n
-  Table de routage IP du noyau
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
-.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
-  ...
-Au niveau du firewall IP_PUBLIC_A :
-  WAN_IF=eth0
-  WIFI_IF=eth1
-  # ipsec test
-  $IPTABLES -A INPUT -i $WAN_IF -p 50 -s IP_PUBLIC_15 -j ACCEPT      ; # ESP
-  $IPTABLES -A INPUT -i $WAN_IF -p 51 -s IP_PUBLIC_15 -j ACCEPT      ; # AH
-  $IPTABLES -A INPUT -i $WAN_IF -s IP_PUBLIC_15 -d 192.168.1.0/24 -j ACCEPT
-  $IPTABLES -A OUTPUT -o $WAN_IF -d IP_PUBLIC_15 -s 192.168.1.0/24 -j ACCEPT
-  $IPTABLES -A FORWARD -i $WAN_IF -o $WIFI_IF -j ACCEPT
-  $IPTABLES -A FORWARD -i $WIFI_IF -o $WAN_IF -j ACCEPT