Modifications entre les versions 4 et 5
Version 4 à la date du 2013-07-04 13:40:15
Taille: 4885
Éditeur: FranckKouyami
Commentaire: En effet, le nom du CNF est mieux
Version 5 à la date du 2013-07-04 17:12:48
Taille: 4906
Éditeur: ClaudineMosozi
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 125: Ligne 125:
 * CNF de Bujumbura

Sommaire

  1. Migration de pipesecd vers ipsectools
    1. Prérequis
      1. Personnes à contacter avant impérativement
      2. Le script
      3. Autres
    2. Procédure
    3. Erreurs possibles
    4. Reporting

Migration de pipesecd vers ipsectools

Cadre général RPV v1.5 -- FranckKouyami 2013-07-02 11:53:34 : je l'ai fait dans le cadre d'un remplacement de machine. J'avais un nouveau FW à installer.

Prérequis

Personnes à contacter avant impérativement

Au moins d'un des deux suivants :

  • Jean-Christophe André
  • Moussa Nombré

et Impérativement le RTR de la région

Le script

Il est à cette adresse Le script de Migration. Ce script est à récupérer et à installer dans le répertoire root du FW. Les 04 variables suivantes sont à adapter : 

   LOCALNET="10.XXX.0.0/20" #Le sous-réseau qui a été affecté au VPN de l'implantation
   LOCALIP="10.XXX.0.254" #L'adresse IP du FW dans ce sous réseau
   PUBLICIP="210.245.61.206" #L'adresse IP publique du FW. 
   GW="118.70.0.243" #Le route par défaut donnée par la commande route -n

Autres

  • Installer gawk
  • Installer toutes les maj

Procédure

Le script est très bien documenté. Ce qui va suivre est majoritairement issu de la doc présente dans le script.

  • lancer ce script, sous root, dans le serveur où est installé pipsecd et sauver le résultat dans un fichier, par exemple : 

   pipsecd2ipsectools > /root/ipsec-tools.conf

Voici par exemple voici le fichier obtenu par Cotonou : 

   root@fw:/root/# cat ipsec-tools.conf 

   # REMARQUES :
   # - l'ordre des règles spdadd est important et doit correspondrea l'ordre
   #   des routes les plus précises vers les routes les plus générales
   
   # ne pas utiliser IPsec en réseau local
   
   spdadd 10.25.1.0/20 10.25.1.0/20 any -P out none ;
   spdadd 10.25.1.0/20 10.25.1.0/20 any -P in none ;
   
   
   #if 1 local_spi=1001 remote_spi=1001
   #ip route add 10.36.0.0/20 via 10.216.33.101 src 10.25.1.254
   
   spdadd 10.25.1.0/20 10.36.0.0/20 any -P out ipsec
     esp/tunnel/81.91.236.1-199.84.140.82/require ;
   spdadd 10.36.0.0/20 10.25.1.0/20 any -P in ipsec
     esp/tunnel/199.84.140.82-81.91.236.1/require ;
   
   add 81.91.236.1 199.84.140.82 esp-old 251 -m tunnel
     -E des-cbc XXXXXXXXXXXXXXXXXX
     -A hmac-md5 YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY ;
   add 199.84.140.82 81.91.236.1 esp-old 251 -m tunnel
     -E des-cbc XXXXXXXXXXXXXXXXXX
     -A hmac-md5 YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY ;

/!\ NB : les clés correspondantes à des et hmac ne doivet jamais être transmise par un moyen non sécurisé (mail, forum). Préférez jabber en conversation privée avec votre interlocuteur (évitez les salons) /!\

  • vérifier le résultat obtenu avec votre RTR ou un autre collègue ayant déjà fait la migration
  • vérifier la configuration des règles de pare-feu pour s'assurer de NE PAS faire de NAT en sortie vers 10.0.0.0/8, par exemple : 

   iptables -t nat -I POSTROUTING -d 10.0.0.0/8 -j RETURN
  • ajouter les routes statiques recommandées en commentaire dans le résultat du lancement du script, soit dans /etc/network/interface, par exemple : 

up ip route replace 10.36.0.0/20 via 118.70.0.243 dev ppp0 src 10.230.0.254

soit dynamiquement au lancement d'une interface PPP, par exemple dans un fichier /etc/ppp/ip-up.d/0000iproute tel que suit : 

   #!/bin/sh
   IP="/sbin/ip"
   for net in `awk '/^spdadd .* out /{print $3}' /etc/ipsec-tools.conf` ; do
         $IP route replace "$net" via $PPP_REMOTE dev $PPP_IFACE src 10.230.0.254
   done
   $IP route replace default via $PPP_REMOTE dev $PPP_IFACE src 210.245.61.206
  • convenir avec un des admins du RPV (Jean Christophe André ou Moussa Nombré) du moment de la bascule de pipsecd vers ipsec-tools
  • stopper le service pipsecd et purger le paquet pipsecd devenu inutile : 

   /etc/init.d/pipsecd stop
   aptitude purge pipsecd
  • installer le paquet ipsec-tools et la configuration IPsec natif, par exemple : 

   aptitude install ipsec-tools
   cat /root/ipsec-tools.conf >> /etc/ipsec-tools.conf
   service setkey restart
  • demander le redémarrage du Netopia correspondant à Montréal
  • tester que tout fonctionne bien, depuis le pare-feu et depuis un poste client

Erreurs possibles

   awk: cmd. line:4: warning: escape sequence `\.' treated as plain `.'

Ceci n'est pas véritablement une erreur. C'est du à la version de awk qui est installée. Donc ignorez cela.

Reporting

Rajoutez ici le nom de votre implantation si vous avez fait la migration avec succès. Vous pourrez ainsi être contactés par d'autres pour les accompagner.

Projet/RPV/Migration2ipsectools (dernière édition le 2014-10-16 18:31:17 par JeanChristopheAndré)