documentation:technique:infrastructure:ipsec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
travaux:ipsec [2018/12/03 13:26] – [Configuration de gitoyen] jlt | travaux:technique:ipsec [2018/12/16 15:12] – [Configuration de mycelium] tyrben | ||
---|---|---|---|
Ligne 22: | Ligne 22: | ||
L' | L' | ||
- | + | Une table de routage dédié sera utile pour avoir une gateway par défaut par interface. Voir: https:// | |
===== Installation ===== | ===== Installation ===== | ||
Ligne 175: | Ligne 174: | ||
Sur le serveur **mycelium** éditer le fichier ''/ | Sur le serveur **mycelium** éditer le fichier ''/ | ||
- | < | + | < |
# IPsec interco Mycelium <-> Gitoyen | # IPsec interco Mycelium <-> Gitoyen | ||
auto ipsec0 | auto ipsec0 | ||
iface ipsec0 inet static | iface ipsec0 inet static | ||
+ | # Adresse IP et masque de sous-réseau | ||
address 10.123.124.2/ | address 10.123.124.2/ | ||
+ | | ||
+ | # Création du tunnel ipsec0 en mode VTI (Virtual Tunnel Interface) | ||
+ | # sur la clé 999 (le flux du tunnel IPsec sera envoyé dans cette clé) | ||
+ | # En local n' | ||
+ | # Nous sommes dans une configuration ou c'est ce serveur qui se connecte à distance | ||
+ | # car derriere un NAT | ||
pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999 | pre-up ip tunnel add ipsec0 local 0.0.0.0 remote 80.67.163.55 mode vti key 999 | ||
+ | | ||
+ | # Desactivation des policy kernel pour ipsec0 | ||
pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1 | pre-up sysctl -w net.ipv4.conf.ipsec0.disable_policy=1 | ||
+ | | ||
+ | # Montage de l' | ||
up ip link set up mtu 1436 dev ipsec0 | up ip link set up mtu 1436 dev ipsec0 | ||
+ | | ||
+ | # Ajout de la gateway par défaut pour les connexions provenants de l' | ||
+ | # dans la table dédiée routes-mycelium | ||
post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium | post-up ip route add default via 10.123.124.2 dev ipsec0 table routes-mycelium | ||
+ | | ||
+ | # Ajout d'une règle qui indique les connexions provenant du bloc 80.67.162.0/ | ||
+ | # soit gérées par la table de routage routes-mycelium | ||
post-up ip rule add from 80.67.162.0/ | post-up ip rule add from 80.67.162.0/ | ||
+ | | ||
+ | # Démontage de l' | ||
down ip tunnel del ipsec0 | down ip tunnel del ipsec0 | ||
</ | </ | ||
Ligne 202: | Ligne 220: | ||
Maintenant il faut éditer le fichier ''/ | Maintenant il faut éditer le fichier ''/ | ||
- | < | + | < |
# ipsec.conf - strongSwan IPsec configuration file | # ipsec.conf - strongSwan IPsec configuration file | ||
Ligne 218: | Ligne 236: | ||
conn mycelium-to-gitoyen | conn mycelium-to-gitoyen | ||
leftid=mycelium | leftid=mycelium | ||
+ | | ||
+ | # N' | ||
left=%any | left=%any | ||
leftsubnet=0.0.0.0/ | leftsubnet=0.0.0.0/ | ||
+ | | ||
+ | # Il y a un firewall NAT devant ce serveur | ||
leftfirewall=yes | leftfirewall=yes | ||
+ | | ||
rightid=gitoyen | rightid=gitoyen | ||
right=80.67.163.55 | right=80.67.163.55 |
documentation/technique/infrastructure/ipsec.txt · Dernière modification : 2021/04/16 14:51 de cacatoes