Différences

Ci-dessous, les différences entre deux révisions de la page.

--- travaux:ipsec [2018/12/03 13:20] – [Configuration de gitoyen] jlt
+++ travaux:ipsec [2018/12/03 13:43] – [Description] jlt
@@ Ligne 22: / Ligne 22: @@
 L'avantage, est que trafic de la connexion VPN IPsec est bien identifiée dans cette interface. Il est aussi plus simple de voir le routage et les règles de firewall.
+Une table de routage dédié sera utile pour avoir une gateway par défaut par interface. Voir: https://www.thomas-krenn.com/en/wiki/Two_Default_Gateways_on_One_System
 ===== Installation =====
@@ Ligne 95: / Ligne 94: @@
 # ipsec.conf - strongSwan IPsec configuration file
+# Configuration par défaut
 config setup
 conn %default
+        # La clé IKE a une durée de 60 minutes avant renégociation
         ikelifetime=60m
         keylife=20m
         rekeymargin=3m
         keyingtries=1
+        # Authentification par secret (PSK) qui se trouve dans /etc/ipsec.secrets
         authby=secret
+        # Mode IKEv2
         keyexchange=ikev2
         mobike=no
+# Configuration du tunnel Gitoyen <-> mycelium
 conn gitoyen-to-mycelium
+        # Nom local
         leftid=gitoyen
+        # IP local
         left=80.67.163.55
+        # Subnet partagé dans la phase 2. Ici tout passe, on gére le flux dans
+        # l'interface ipsec0 et routage
         leftsubnet=0.0.0.0/0
+        # Pas de firewall (NAT) de se côté
         leftfirewall=no
+        # Nom distant
         rightid=mycelium
+        # IP distantes
         right=88.190.142.78
+        # Subnet partagé dans la phase 2. Ici tout passe, on gére le flux dans
+        # l'interface ipsec0 et routage
         rightsubnet=0.0.0.0/0
+        # Chiffrement
         esp=aes256-sha256-modp8192
         ike=aes256-sha256-modp8192
+        # On envoie le flux dans l'interface ipsec0 avec la clé 999
         mark=999
+        # Connexion auto au démarrage
         auto=start
@@ Ligne 149: / Ligne 178: @@
 auto ipsec0
 iface ipsec0 inet static
+  # Adresse IP et masque de sous-réseau
   address 10.123.124.2/30
+  # Création du tunnel ipsec0 en mode VTI (Virtual Tunnel Interface)
+  # sur la clé 999 (le flux du tunnel IPsec sera envoyé dans cette clé)
+  # En local n'importe quelle IP peut se connecter et remote IP distante.
+  # Nous sommes dans une configuration ou c'est ce serveur qui se connecte à distance
+  # car derriere un NAT
   pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999
+  # Desactivation des policy kernel pour ipsec0
   pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1
+  # Montage de l'interface avec un MTU de 1436
   up ip link set up mtu 1436 dev ipsec0
+  # Ajout de la gateway par défaut pour les connexions provenants de l'interface ipsec0
+  # dans la table dédiée routes-mycelium
   post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium
+  # Ajout d'une règle qui indique les connexions provenant du bloc 80.67.162.0/24
+  # soit gérées par la table de routage routes-mycelium
   post-up ip rule add from 80.67.162.0/24 table routes-mycelium
+  # Démontage de l'interface (ifdown)
   down ip tunnel del ipsec0
 </file>
@@ Ligne 188: / Ligne 236: @@
 conn mycelium-to-gitoyen
         leftid=mycelium
+        # N'importe quel IP peut se connecter car NAT
         left=%any
         leftsubnet=0.0.0.0/0
+        # Il y a un firewall NAT devant ce serveur
         leftfirewall=yes
         rightid=gitoyen
         right=80.67.163.55