« IPsec sous debian avec strongswan » : différence entre les versions

IPsec sous debian avec strongswan (voir la source)

359 octets ajoutés , 22 décembre 2022

aucun résumé des modifications

4 211

modifications

@@ Ligne 6 : / Ligne 6 : @@
 <pre>
-aptitude install strongswan strongswan-swanctl
+apt install strongswan strongswan-swanctl
 </pre>
+Note : sous Openvz, vous aurez aussi besoin du paquet <code>libcharon-extra-plugins</code> qui fournit l'implémentation <code>kernel-libipsec</code> (au travers d'une interface TUN au lieu de VTI)
 =Tunnel VTI, authentifié par clés RSA, compatible avec pfsense=
@@ Ligne 110 : / Ligne 112 : @@
 <code>okey</code> et <code>ikey</code> (qui peuvent être substitué par un seul et unique <code>key</code>) doivent être équivalent à la <code>mark</code> défini dans ipsec.conf
 <br><br>
+NB : si vous montez un tunnel avec des IPv6, il faudra utiliser : <code>ip -6 tunnel add ipsec0 local $LOCAL_IP remote $REMOTE_IP mode vti6 okey 42 ikey 42</code>
 A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br>
 Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec.