4 220
modifications
(→Note) |
Aucun résumé des modifications |
||
(6 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 6 : | Ligne 6 : | ||
<pre> | <pre> | ||
apt install strongswan strongswan-swanctl | |||
</pre> | </pre> | ||
Note : sous Openvz, vous aurez aussi besoin du paquet <code>libcharon-extra-plugins</code> qui fournit l'implémentation <code>kernel-libipsec</code> (au travers d'une interface TUN au lieu de VTI) | |||
=Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | =Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | ||
Ligne 110 : | Ligne 112 : | ||
<code>okey</code> et <code>ikey</code> (qui peuvent être substitué par un seul et unique <code>key</code>) doivent être équivalent à la <code>mark</code> défini dans ipsec.conf | <code>okey</code> et <code>ikey</code> (qui peuvent être substitué par un seul et unique <code>key</code>) doivent être équivalent à la <code>mark</code> défini dans ipsec.conf | ||
<br><br> | <br><br> | ||
NB : si vous montez un tunnel avec des IPv6, il faudra utiliser : <code>ip -6 tunnel add ipsec0 local $LOCAL_IP remote $REMOTE_IP mode vti6 okey 42 ikey 42</code> | |||
A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | ||
Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec. | Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec. | ||
Ligne 146 : | Ligne 151 : | ||
==Automatisation== | ==Automatisation== | ||
Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>. | Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>.<br> | ||
Les sections qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | Les sections du fichier qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | ||
Pour invoquer automatiquement le fichier, il faut ajouter cette directive à votre <code>conn</code> dans <code>/etc/ipsec.conf</code> : | |||
<pre>leftupdown = /path/to/ipsec.updown</pre> | |||
Le fichier <code>/path/to/ipsec.updown</code> doit être exécutable. | |||
==Sécurisation iptables== | |||
Pour n'autoriser que le serveur distant à contacter le démon ipsec, vous aurez besoin de l'une (ou des deux) lignes suivantes dans votre firwall iptables : | |||
<pre> | |||
iptables -t filter -A INPUT -i ens192 -p udp -m multiport --dports 500,4500 -s $REMOTE_IP -j ACCEPT | |||
iptables -t filter -A INPUT -i ens192 -p esp -s $REMOTE_IP -j ACCEPT | |||
</pre> | |||
==Logs== | |||
Afin de réduire un peu la taille des logs, modifiez cela dans le fichier <code>/etc/strongswan.d/charon-logging.conf</code> : | |||
<pre> | |||
syslog { | |||
daemon { | |||
default = 1 | |||
net = 0 | |||
enc = 0 | |||
} | |||
auth { | |||
default = 1 | |||
net = 0 | |||
enc = 0 | |||
} | |||
} | |||
</pre> | |||
=Plus d'informations= | =Plus d'informations= | ||
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations | https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations |