4 231
modifications
Ligne 86 : | Ligne 86 : | ||
</pre> | </pre> | ||
A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé un policy restrictive (<code>ip xfrm policy</code>).<br> | |||
Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI) : | |||
* Passez <code>installpolicy</code> à <code>no</code> dans <code>/etc/ipsec.conf</code> | |||
* Installez votre propre policy ouverte : | |||
<pre> | <pre> | ||
sysctl -wq net.ipv4.conf.ipsec0.disable_policy=1 | sysctl -wq net.ipv4.conf.ipsec0.disable_policy=1 | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir fwd priority | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir fwd priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir in priority | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir in priority 368255 ptype main mark 0x2a tmpl src $REMOTE_IP dst $LOCAL_IP proto esp reqid 1 mode tunnel | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir out priority | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir out priority 368255 ptype main mark 0x2a tmpl src $LOCAL_IP dst $REMOTE_IP proto esp reqid 1 mode tunnel | ||
</pre> | </pre> |