Outils pour utilisateurs

Outils du site


brouillon_ipsec

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
brouillon_ipsec [2009/06/30 00:15] thierrybrouillon_ipsec [2009/07/04 21:46] (Version actuelle) thierry
Ligne 32: Ligne 32:
 2 modes de fonctionnement: 2 modes de fonctionnement:
   *transport : authentifier/chiffrer les communications entre 2 IP (public ou local)   *transport : authentifier/chiffrer les communications entre 2 IP (public ou local)
-  *tunnel : authentifier/chiffer un tunnel entre 2 LAN+  *tunnel : authentifier/chiffrer un tunnel entre 2 LAN
  
  
Ligne 371: Ligne 371:
  
 ===== Tips ===== ===== Tips =====
-==== ike-scan ====+==== Route et MTU ==== 
 +On doit parfois jouer avec les routes...
  
-  # aptitude install ike-scan +Mais aussi avec la MTU.
-  # /etc/init.d/ipsec stop +
-  # ike-scan -M 172.16.0.33 +
-  Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/+
-  172.16.0.33     Main Mode Handshake returned +
-        HDR=(CKY-R=46746e295468b2d5) +
-        SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) +
-        VID=4f45606c50487c5662707575 +
-        VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)+
  
-===== Openswan =====+Pour mémoire, on peut utiliser ce format de commande par exemple: 
 +  # ip route add <NETWORK> via <gateway> src <SRC> [mtu X] 
 +Par exemple: 
 +  # ip route add 192.168.1.0/24 via default src 192.168.0.49 mtu 1415 
 +Ainsi, ce qui est a destination de la classe "192.168.1.0/24" prendra pour source "192.168.0.49" et la MTU 1415
  
-Lien: http://wiki.debian.org/HowTo/openswan 
  
-Malgré tout les tutorials, aucun ne fonctionne comme voulu.\\+==== iptables ====
  
-Donc, j'abadonne **''openswan''** ... +  $IPTABLES -A INPUT -i eth0 -p esp -ACCEPT                    ; # ESP (ou -p 50) 
 +  $IPTABLES -A INPUT -i eth0 -p ah -j ACCEPT                     ; # AH (ou -p 51) 
 +  $IPTABLES -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT        ; # pour IKE/racoon/pluto
  
-==== Test sur le même LAN ====+Faire des bizarreries, comme autoriser les IP locales (192.168/16 10/8...) a voyager vers Internet... (sans oublier qu'en fait, ca passe par un tunnel!)
  
-=== exemple === +==== ike-scan ====
- +
-Soit 2 becannes sur le même LAN, mais souhaitant partagé "secretement" un reseau ... +
- +
-PC-A ("serveur") : +
- IP: 172.16.0.33 +
- LAN SECRET: 192.168.50/24 +
- +
-PC-B ("client") : +
- IP: 172.16.0.39 +
- LAN SECRET: aucun +
- +
-Sur PC-A: +
-  # cat /etc/ipsec.secrets +
-  172.16.0.33 172.16.0.39 : PSK "le_mot_de_passe_secret" +
-   +
-  # cat /etc/ipsec.conf +
-  version 2.0     # conforms to second version of ipsec.conf specification +
-   +
-  config setup +
-        nhelpers=0 +
-   +
-  conn mynet +
-        authby=secret +
-        left=172.16.0.33 +
-        leftsubnet=192.168.50.0/24 +
-        right=172.16.0.39 +
-        auto=start +
-   +
-  include /etc/ipsec.d/examples/no_oe.conf +
- +
-Copier **''ipsec.secrets''** et **''ipsec.conf''** sur le "PC_B"+
- +
-Inverser les IP dans le fichier **''ipsec.secrets''** , afin d'avoir: +
-  172.16.0.39 172.16.0.33 : PSK "le_mot_de_passe_secret" +
- +
-Puis, sur chacun des PC: +
-  # /etc/init.d/ipsec start   (ou restart) +
- +
-Un test montre que les requetes ARP passent aussi !? +
- +
-=== explications === +
- +
-(sous réserve d'avoir bien compris!) +
- +
-  *"left" : c'est "soi-même", ou plus exactement: l'IP a gauche dans **''ipsec.secrets''** . +
-  *"leftnexthop" : c'est la gateway . Par defaut: "%direct"  ( On peut mettre aussi "%defaultroute"+
-  *"leftsubnet" : le reseau a partager +
-  *"right" : c'est l'autre +
- +
-Les 2 ne sont pas obligés de partager... +
- +
- +
-=== pluto === +
-  # cat /var/log/syslog | grep pluto +
-  Jun 24 11:43:29 xxxxxx ipsec__plutorun: 104 "mynet" #1: STATE_MAIN_I1: initiate +
-  Jun 24 11:43:29 xxxxxx ipsec__plutorun: ...could not start conn "mynet" +
- +
-=== ike-scan ===+
  
   # aptitude install ike-scan   # aptitude install ike-scan
Ligne 463: Ligne 403:
         VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)         VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
  
-==== Test sur 2 IP Public ====+===== Openswan =====
  
-Faire partager un reseau local, entre 2 IP public.+Lien: http://wiki.debian.org/HowTo/openswan
  
-=== conf === +Malgré tout les tutoriaux, rien ne fonctionne comme voulu.\\
- +
-"IP_PUBLIC_20" et "IP_PUBLIC_15" sont a remplacer respectivement par les IP public. +
- +
-Sur "PUBLIC_20": +
- +
-  # cat ipsec.secrets +
-  IP_PUBLIC_20 IP_PUBLIC_15 : PSK "le_mot_de_passe_secret" +
- +
-  # cat ipsec.conf +
-  version 2.0     # conforms to second version of ipsec.conf specification +
-   +
-  config setup +
-        nat_traversal=yes +
-        nhelpers=0 +
-   +
-  conn mynet +
-        authby=secret +
-        left=IP_PUBLIC_20 +
-        leftsubnet=192.168.1.0/24 +
-        leftnexthop=IP_PUBLIC_15 +
-        right=IP_PUBLIC_15 +
-        rightnexthop=IP_PUBLIC_20 +
-        auto=start +
-   +
-  include /etc/ipsec.d/examples/no_oe.conf +
- +
-Sur IP_PUBLIC_15 : \\ +
-(Simple inversion) +
-  # cat ipsec.secrets +
-  IP_PUBLIC_15 IP_PUBLIC_20 : PSK "le_mot_de_passe_secret" +
-Et "ipsec.conf" identique. +
- +
-=== detaillons === +
-Au niveau IP, c'est un peu étrange... +
- +
-Sur IP_PUBLIC_A : +
-  # route -n +
-  Table de routage IP du noyau +
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface +
-  IP_PUBLIC_15    0.0.0.0         255.255.255.255 UH    0      0        0 eth0 +
-  192.168.1.0     0.0.0.0         255.255.255.0            0        0 eth1 +
-  ... +
- +
-Sur IP_PUBLIC_B : +
-  # route -n +
-  Table de routage IP du noyau +
-  Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface +
-  192.168.1.0     0.0.0.0         255.255.255.0            0        0 eth0 +
-  ... +
- +
-Au niveau du firewall IP_PUBLIC_A : +
-  WAN_IF=eth0 +
-  WIFI_IF=eth1 +
-   +
-  # ipsec test +
- +
-  $IPTABLES -A INPUT -i $WAN_IF -p 50 -s IP_PUBLIC_15 -j ACCEPT      ; # ESP +
-  $IPTABLES -A INPUT -i $WAN_IF -p 51 -s IP_PUBLIC_15 -j ACCEPT      ; # AH +
-   +
-  $IPTABLES -A INPUT -i $WAN_IF -s IP_PUBLIC_15 -d 192.168.1.0/24 -j ACCEPT +
-  $IPTABLES -A OUTPUT -o $WAN_IF -d IP_PUBLIC_15 -s 192.168.1.0/24 -j ACCEPT +
-   +
-  $IPTABLES -A FORWARD -i $WAN_IF -o $WIFI_IF -j ACCEPT +
-  $IPTABLES -A FORWARD -i $WIFI_IF -o $WAN_IF -j ACCEPT+
  
 +Donc, j'abadonne **''openswan''** ... 
  
 +Et finalement, "ipsec-tools" me suffit amplement.
brouillon_ipsec.1246320907.txt.gz · Dernière modification : 2009/06/30 00:15 de thierry