4 203
modifications
« IPsec sous debian avec strongswan » : différence entre les versions
Aller à la navigation
Aller à la recherche
→Automatisation
Aucun résumé des modifications |
|||
| (9 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[[Category:serveur]] | |||
[[Category:debian]] | |||
[[Category:networking]] | |||
[[Category:VPN]] | |||
[[Category:IPsec]] | |||
<pre> | <pre> | ||
aptitude install strongswan strongswan-swanctl | aptitude install strongswan strongswan-swanctl | ||
</pre> | </pre> | ||
=VTI | =Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | ||
Basé sur https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN <br><br> | Basé sur https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN <br><br> | ||
| Ligne 9 : | Ligne 15 : | ||
<pre>install_routes = no</pre> | <pre>install_routes = no</pre> | ||
==Définition des clés RSA== | |||
Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | ||
<pre> | <pre> | ||
| Ligne 66 : | Ligne 73 : | ||
rightsubnet = 10.66.10.1 | rightsubnet = 10.66.10.1 | ||
mark = 42 | mark = 42 | ||
</pre> | </pre> | ||
| Ligne 77 : | Ligne 83 : | ||
ipsec status | ipsec status | ||
ipsec statusall | ipsec statusall | ||
</pre> | |||
Vous pouvez observer l'état des politiques de sécurité installés : | |||
<pre> | |||
ip xfrm state | |||
ip xfrm policy | |||
</pre> | </pre> | ||
==création de l'interface== | ==création de l'interface== | ||
Afin de simplifier les règles, définissez les variables | Afin de simplifier les règles, définissez les variables suivantes dans votre shell : | ||
<pre> | <pre> | ||
LOCAL_IP=211.124.34.153 | LOCAL_IP=211.124.34.153 | ||
| Ligne 130 : | Ligne 142 : | ||
Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | ||
N'oubliez pas d'activer le forwarding ip si nécessaire (<code>/proc/sys/net/ipv4/ip_forward</code>) | |||
==Automatisation== | |||
Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>. | |||
Les sections qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | |||
=Plus d'informations= | |||
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations | |||