4 203
modifications
« IPsec sous debian avec strongswan » : différence entre les versions
Aller à la navigation
Aller à la recherche
→Automatisation
| (17 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[[Category:serveur]] | |||
[[Category:debian]] | |||
[[Category:networking]] | |||
[[Category:VPN]] | |||
[[Category:IPsec]] | |||
<pre> | <pre> | ||
aptitude install strongswan strongswan-swanctl | aptitude install strongswan strongswan-swanctl | ||
</pre> | </pre> | ||
=Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | |||
Basé sur https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN <br><br> | |||
Dans <code>/etc/strongswan.d/charon.conf</code>, ajoutez l'option suivante : | |||
<pre>install_routes = no</pre> | |||
==Définition des clés RSA== | |||
Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | ||
<pre> | <pre> | ||
| Ligne 14 : | Ligne 27 : | ||
Il faut définir la clé privé dans <code>/etc/ipsec.secrets</code> sous le format <code>ID : TYPE KEY</code>. L'ID peut être vide, contenir une ip, un FQDN, user@FQSN, %any ou any6. TYPE est PSK ou RSA. KEY peut être soit une clé, soit un chemin vers une clé. | Il faut définir la clé privé dans <code>/etc/ipsec.secrets</code> sous le format <code>ID : TYPE KEY</code>. L'ID peut être vide, contenir une ip, un FQDN, user@FQSN, %any ou any6. TYPE est PSK ou RSA. KEY peut être soit une clé, soit un chemin vers une clé. | ||
<pre>: RSA /etc/ipsec.d/private/mykey.key</pre> | <pre>: RSA /etc/ipsec.d/private/mykey.key</pre> | ||
==ipsec.conf== | ==ipsec.conf== | ||
| Ligne 66 : | Ligne 73 : | ||
rightsubnet = 10.66.10.1 | rightsubnet = 10.66.10.1 | ||
mark = 42 | mark = 42 | ||
</pre> | </pre> | ||
| Ligne 77 : | Ligne 83 : | ||
ipsec status | ipsec status | ||
ipsec statusall | ipsec statusall | ||
</pre> | |||
Vous pouvez observer l'état des politiques de sécurité installés : | |||
<pre> | |||
ip xfrm state | |||
ip xfrm policy | |||
</pre> | </pre> | ||
==création de l'interface== | ==création de l'interface== | ||
Afin de simplifier les règles, définissez les variables suivantes dans votre shell : | |||
<pre> | <pre> | ||
LOCAL_IP=211.124.34.153 | LOCAL_IP=211.124.34.153 | ||
| Ligne 85 : | Ligne 98 : | ||
LOCAL_TUNNEL=10.66.10.2 | LOCAL_TUNNEL=10.66.10.2 | ||
REMOTE_TUNNEL=10.66.10.1 | REMOTE_TUNNEL=10.66.10.1 | ||
</pre> | |||
Création du tunnel VTI linux : | |||
<pre> | |||
ip tunnel add ipsec0 local $LOCAL_IP remote $REMOTE_IP mode vti okey 42 ikey 42 | ip tunnel add ipsec0 local $LOCAL_IP remote $REMOTE_IP mode vti okey 42 ikey 42 | ||
ip link set ipsec0 up | ip link set ipsec0 up | ||
| Ligne 110 : | Ligne 126 : | ||
Dans ipsec.conf : | Dans ipsec.conf : | ||
* maintenez <code>installpolicy = yes</code> | * maintenez <code>installpolicy = yes</code> | ||
* Modifiez | * Modifiez leftsubnet et rightsubnet en y ajoutant <code>0.0.0.0/0</code> : | ||
<pre> | |||
leftsubnet = 10.66.10.2/30,0.0.0.0/0 | |||
rightsubnet = 10.66.10.1,0.0.0.0/0 | |||
</pre> | |||
Note : c'est de cette manière que sont définis left|rightsubnet dans la configuration ipsec de pfsense. | |||
===Note=== | |||
Dans les faits, la documentation recommande de définir <code>left|rightsubnet=0.0.0.0/0</code>. Cette configuration est tout à fait valable du moment que vous montez un tunnel dans lequel vous maîtrisez totalement la configuration des deux démons ipsec. Si l'un des démons est, par exemple, géré par pfsense, cette configuration risque de ne pas fonctionner correctement. | |||
==Routage== | ==Routage== | ||
| Ligne 117 : | Ligne 142 : | ||
Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | ||
N'oubliez pas d'activer le forwarding ip si nécessaire (<code>/proc/sys/net/ipv4/ip_forward</code>) | |||
==Automatisation== | |||
Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>. | |||
Les sections qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | |||
=Plus d'informations= | |||
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations | |||