4 203
modifications
« IPsec sous debian avec strongswan » : différence entre les versions
Aller à la navigation
Aller à la recherche
IPsec sous debian avec strongswan (voir la source)
Version du 1 janvier 2020 à 01:04
, 1 janvier 2020→création de l'interface
| Ligne 91 : | Ligne 91 : | ||
* Installez votre propre policy ouverte : | * Installez votre propre policy ouverte : | ||
<pre> | <pre> | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir fwd priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir fwd priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir in priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir in priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ||
| Ligne 100 : | Ligne 99 : | ||
Note : il est aussi possible d'installer une policy (enfin, 3) restrictive, pour chaque range. Cela complexifie néanmoins grandement la configuration et supprime les bénéfices d'un tunnel VTI. | Note : il est aussi possible d'installer une policy (enfin, 3) restrictive, pour chaque range. Cela complexifie néanmoins grandement la configuration et supprime les bénéfices d'un tunnel VTI. | ||
Note : sur une infrastructure, j'avais également du définir <code>sysctl -wq net.ipv4.conf.ipsec0.disable_policy=1</code> afin de permettre au trafic de passer. | |||