documentation:technique:infrastructure:ipsec
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
| travaux:ipsec [2018/12/03 13:20] – [Configuration de gitoyen] jlt | travaux:ipsec [2018/12/03 13:31] – [Configuration de mycelium] jlt | ||
|---|---|---|---|
| Ligne 95: | Ligne 95: | ||
| # ipsec.conf - strongSwan IPsec configuration file | # ipsec.conf - strongSwan IPsec configuration file | ||
| + | # Configuration par défaut | ||
| config setup | config setup | ||
| conn %default | conn %default | ||
| + | # La clé IKE a une durée de 60 minutes avant renégociation | ||
| ikelifetime=60m | ikelifetime=60m | ||
| + | | ||
| keylife=20m | keylife=20m | ||
| rekeymargin=3m | rekeymargin=3m | ||
| keyingtries=1 | keyingtries=1 | ||
| + | | ||
| + | # Authentification par secret (PSK) qui se trouve dans / | ||
| authby=secret | authby=secret | ||
| + | | ||
| + | # Mode IKEv2 | ||
| keyexchange=ikev2 | keyexchange=ikev2 | ||
| + | | ||
| mobike=no | mobike=no | ||
| + | # Configuration du tunnel Gitoyen <-> mycelium | ||
| conn gitoyen-to-mycelium | conn gitoyen-to-mycelium | ||
| + | # Nom local | ||
| leftid=gitoyen | leftid=gitoyen | ||
| + | | ||
| + | # IP local | ||
| left=80.67.163.55 | left=80.67.163.55 | ||
| + | | ||
| + | # Subnet partagé dans la phase 2. Ici tout passe, on gére le flux dans | ||
| + | # l' | ||
| leftsubnet=0.0.0.0/ | leftsubnet=0.0.0.0/ | ||
| + | | ||
| + | # Pas de firewall (NAT) de se côté | ||
| leftfirewall=no | leftfirewall=no | ||
| + | | ||
| + | # Nom distant | ||
| rightid=mycelium | rightid=mycelium | ||
| + | | ||
| + | # IP distantes | ||
| right=88.190.142.78 | right=88.190.142.78 | ||
| + | | ||
| + | # Subnet partagé dans la phase 2. Ici tout passe, on gére le flux dans | ||
| + | # l' | ||
| rightsubnet=0.0.0.0/ | rightsubnet=0.0.0.0/ | ||
| + | | ||
| + | # Chiffrement | ||
| esp=aes256-sha256-modp8192 | esp=aes256-sha256-modp8192 | ||
| ike=aes256-sha256-modp8192 | ike=aes256-sha256-modp8192 | ||
| + | | ||
| + | # On envoie le flux dans l' | ||
| mark=999 | mark=999 | ||
| + | | ||
| + | # Connexion auto au démarrage | ||
| auto=start | auto=start | ||
| Ligne 149: | Ligne 179: | ||
| auto ipsec0 | auto ipsec0 | ||
| iface ipsec0 inet static | iface ipsec0 inet static | ||
| + | # Adresse IP et masque de sous-réseau | ||
| address 10.123.124.2/ | address 10.123.124.2/ | ||
| + | | ||
| + | # Création du tunnel ipsec0 en mode VTI (Virtual Tunnel Interface) | ||
| + | # sur la clé 999 (le flux du tunnel IPsec sera envoyé dans cette clé) | ||
| + | # En local n' | ||
| + | # Nous sommes dans une configuration ou c'est ce serveur qui se connecte à distance | ||
| + | # car derriere un NAT | ||
| pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999 | pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999 | ||
| + | | ||
| + | # Desactivation des policy kernel pour ipsec0 | ||
| pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1 | pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1 | ||
| + | | ||
| + | # Montage de l' | ||
| up ip link set up mtu 1436 dev ipsec0 | up ip link set up mtu 1436 dev ipsec0 | ||
| + | | ||
| + | # Ajout de la gateway par défaut pour les connexions provenants de l' | ||
| + | # dans la table dédiée routes-mycelium | ||
| post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium | post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium | ||
| + | | ||
| + | # Ajout d'une règle qui indique les connexions provenant du bloc 80.67.162.0/ | ||
| + | # soit gérées par la table de routage routes-mycelium | ||
| post-up ip rule add from 80.67.162.0/ | post-up ip rule add from 80.67.162.0/ | ||
| + | | ||
| + | # Démontage de l' | ||
| down ip tunnel del ipsec0 | down ip tunnel del ipsec0 | ||
| </ | </ | ||
documentation/technique/infrastructure/ipsec.txt · Dernière modification : 2021/04/16 14:51 de cacatoes