4 206
modifications
« IPsec sous debian avec strongswan » : différence entre les versions
Aller à la navigation
Aller à la recherche
IPsec sous debian avec strongswan (voir la source)
Version du 22 décembre 2022 à 00:20
, 22 décembre 2022aucun résumé des modifications
Aucun résumé des modifications |
|||
| (9 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 6 : | Ligne 6 : | ||
<pre> | <pre> | ||
apt install strongswan strongswan-swanctl | |||
</pre> | </pre> | ||
Note : sous Openvz, vous aurez aussi besoin du paquet <code>libcharon-extra-plugins</code> qui fournit l'implémentation <code>kernel-libipsec</code> (au travers d'une interface TUN au lieu de VTI) | |||
=Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | =Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | ||
| Ligne 110 : | Ligne 112 : | ||
<code>okey</code> et <code>ikey</code> (qui peuvent être substitué par un seul et unique <code>key</code>) doivent être équivalent à la <code>mark</code> défini dans ipsec.conf | <code>okey</code> et <code>ikey</code> (qui peuvent être substitué par un seul et unique <code>key</code>) doivent être équivalent à la <code>mark</code> défini dans ipsec.conf | ||
<br><br> | <br><br> | ||
NB : si vous montez un tunnel avec des IPv6, il faudra utiliser : <code>ip -6 tunnel add ipsec0 local $LOCAL_IP remote $REMOTE_IP mode vti6 okey 42 ikey 42</code> | |||
A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | ||
Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec. | Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec. | ||
| Ligne 135 : | Ligne 140 : | ||
===Note=== | ===Note=== | ||
Dans les faits, la documentation recommande de définir <code>left|rightsubnet=0.0.0.0/0</code>. Cette configuration est tout à fait valable du moment que vous montez un tunnel dans lequel vous maîtrisez totalement la configuration des deux démons ipsec. Si l'un des démons est, par exemple, géré par pfsense, cette configuration risque de ne pas fonctionner correctement. | Dans les faits, la documentation recommande de définir <code>left|rightsubnet=0.0.0.0/0</code> (et uniquement cela). Cette configuration est tout à fait valable du moment que vous montez un tunnel dans lequel vous maîtrisez totalement la configuration des deux démons ipsec. Si l'un des démons est, par exemple, géré par pfsense, cette configuration risque de ne pas fonctionner correctement. | ||
==Routage== | ==Routage== | ||
| Ligne 142 : | Ligne 147 : | ||
Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | ||
N'oubliez pas d'activer le forwarding ip si nécessaire (<code>/proc/sys/net/ipv4/ip_forward</code>) | |||
==Automatisation== | ==Automatisation== | ||
Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>. | Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>.<br> | ||
Les sections qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | Les sections du fichier qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | ||
Pour invoquer automatiquement le fichier, il faut ajouter cette directive à votre <code>conn</code> dans <code>/etc/ipsec.conf</code> : | |||
<pre>leftupdown = /path/to/ipsec.updown</pre> | |||
Le fichier <code>/path/to/ipsec.updown</code> doit être exécutable. | |||
==Sécurisation iptables== | |||
Pour n'autoriser que le serveur distant à contacter le démon ipsec, vous aurez besoin de l'une (ou des deux) lignes suivantes dans votre firwall iptables : | |||
<pre> | |||
iptables -t filter -A INPUT -i ens192 -p udp -m multiport --dports 500,4500 -s $REMOTE_IP -j ACCEPT | |||
iptables -t filter -A INPUT -i ens192 -p esp -s $REMOTE_IP -j ACCEPT | |||
</pre> | |||
==Logs== | |||
Afin de réduire un peu la taille des logs, modifiez cela dans le fichier <code>/etc/strongswan.d/charon-logging.conf</code> : | |||
<pre> | |||
syslog { | |||
daemon { | |||
default = 1 | |||
net = 0 | |||
enc = 0 | |||
} | |||
auth { | |||
default = 1 | |||
net = 0 | |||
enc = 0 | |||
} | |||
} | |||
</pre> | |||
=Plus d'informations= | |||
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations | |||