Mycélium FAI

Outils pour utilisateurs

Outils du site

Vous êtes ici : Bienvenue ! » documentation » Technique » infrastructure » IPsec
documentation:technique:infrastructure:ipsec

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
travaux:ipsec [2018/12/03 13:26] – [Configuration de gitoyen] jlttravaux:technique:ipsec [2018/12/16 15:12] – [Configuration de mycelium] tyrben
Ligne 22: Ligne 22:
 L'avantage, est que trafic de la connexion VPN IPsec est bien identifiée dans cette interface. Il est aussi plus simple de voir le routage et les règles de firewall. L'avantage, est que trafic de la connexion VPN IPsec est bien identifiée dans cette interface. Il est aussi plus simple de voir le routage et les règles de firewall.
  
- +Une table de routage dédié sera utile pour avoir une gateway par défaut par interface. Voir: https://www.thomas-krenn.com/en/wiki/Two_Default_Gateways_on_One_System
 ===== Installation ===== ===== Installation =====
  
Ligne 175: Ligne 174:
 Sur le serveur **mycelium** éditer le fichier ''/etc/network/interfaces'' et ajouter la configuration de l'interface **ipsec0**: Sur le serveur **mycelium** éditer le fichier ''/etc/network/interfaces'' et ajouter la configuration de l'interface **ipsec0**:
  
-<file>+<file txt /etc/network/interfaces>
 # IPsec interco Mycelium <-> Gitoyen  # IPsec interco Mycelium <-> Gitoyen 
 auto ipsec0 auto ipsec0
 iface ipsec0 inet static iface ipsec0 inet static
 +  # Adresse IP et masque de sous-réseau
   address 10.123.124.2/30   address 10.123.124.2/30
 +  
 +  # Création du tunnel ipsec0 en mode VTI (Virtual Tunnel Interface)
 +  # sur la clé 999 (le flux du tunnel IPsec sera envoyé dans cette clé)
 +  # En local n'importe quelle IP peut se connecter et remote IP distante.
 +  # Nous sommes dans une configuration ou c'est ce serveur qui se connecte à distance
 +  # car derriere un NAT
   pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999   pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999
 +  
 +  # Desactivation des policy kernel pour ipsec0
   pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1   pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1
 +  
 +  # Montage de l'interface avec un MTU de 1436
   up ip link set up mtu 1436 dev ipsec0   up ip link set up mtu 1436 dev ipsec0
 +  
 +  # Ajout de la gateway par défaut pour les connexions provenants de l'interface ipsec0
 +  # dans la table dédiée routes-mycelium
   post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium   post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium
 +  
 +  # Ajout d'une règle qui indique les connexions provenant du bloc 80.67.162.0/24
 +  # soit gérées par la table de routage routes-mycelium
   post-up ip rule add from 80.67.162.0/24 table routes-mycelium   post-up ip rule add from 80.67.162.0/24 table routes-mycelium
 +  
 +  # Démontage de l'interface (ifdown)
   down ip tunnel del ipsec0   down ip tunnel del ipsec0
 </file> </file>
Ligne 218: Ligne 236:
 conn mycelium-to-gitoyen conn mycelium-to-gitoyen
         leftid=mycelium         leftid=mycelium
 +        
 +        # N'importe quel IP peut se connecter car NAT
         left=%any         left=%any
         leftsubnet=0.0.0.0/0         leftsubnet=0.0.0.0/0
 +        
 +        # Il y a un firewall NAT devant ce serveur
         leftfirewall=yes         leftfirewall=yes
 +        
         rightid=gitoyen         rightid=gitoyen
         right=80.67.163.55         right=80.67.163.55
documentation/technique/infrastructure/ipsec.txt · Dernière modification : 2021/04/16 14:51 de cacatoes
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki