4 220
modifications
Aucun résumé des modifications |
|||
(5 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 9 : | Ligne 9 : | ||
</pre> | </pre> | ||
=VTI | =Tunnel VTI, authentifié par clés RSA, compatible avec pfsense= | ||
Basé sur https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN <br><br> | Basé sur https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN <br><br> | ||
Ligne 15 : | Ligne 15 : | ||
<pre>install_routes = no</pre> | <pre>install_routes = no</pre> | ||
==RSA== | ==Définition des clés RSA== | ||
Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | Placer la CA dans <code>/etc/ipsec.d/cacerts</code> puis : | ||
<pre> | <pre> | ||
Ligne 83 : | Ligne 83 : | ||
ipsec status | ipsec status | ||
ipsec statusall | ipsec statusall | ||
</pre> | |||
Vous pouvez observer l'état des politiques de sécurité installés : | |||
<pre> | |||
ip xfrm state | |||
ip xfrm policy | |||
</pre> | </pre> | ||
Ligne 136 : | Ligne 142 : | ||
Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | Cela fait passer les paquets par le tunnel VTI, qui applique la mark (42 ici), et la marqué détectée permet au paquet de passer par ipsec. | ||
N'oubliez pas d'activer le forwarding ip si nécessaire (<code>/proc/sys/net/ipv4/ip_forward</code>) | |||
==Automatisation== | |||
Vous pouvez crée une copie de <code>/usr/lib/ipsec/_updown</code>. | |||
Les sections qui nous intéressent ici sont <code>up-client:</code> et <code>down-client:</code> | |||
=Plus d'informations= | |||
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations |