ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF |
pipsecd est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel (RPV).
Mise en place
Le logiciel pipsecd est disponible dans Debian/Lenny dans le paquet éponyme :
aptitude install pipsecd
Éditer le fichier /etc/pipsecd/configure pour y configurer ipsec0 :
#! /bin/sh . /usr/lib/pipsecd/functions case $ifname in ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;; *) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;; esac
{x} doit être remplacé par le numéro de votre pays, selon l'index ISO3166v2002
{y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)
- {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84)
Créer un fichier /etc/pipsecd/startup avec ce contenu :
#!/bin/sh ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0
et le rendre exécutable avec :
chmod 755 /etc/pipsecd/startup
Éditer le fichier /etc/pipsecd/pipsecd.conf pour y ajouter ceci :
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z} if 0 local_spi={x}{y} remote_spi={x}{y}
- {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux
- {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux
tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré (un des deux fera la mise à jour à Montréal), via le service Jabber de l'AuF (transmission chiffrée) et surtout pas par courriel (transmission en clair) !!
Une fois les clés enregistrées à Montréal, relancer pipsecd :
invoke-rc.d pipsecd restart
Et finalement, tester :
route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0 traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)
Ressources
la source : http://perso.enst.fr/~beyssac/pipsec/
description du paquet Debian : http://packages.debian.org/stable/net/pipsecd
Remarques
Le paquetage pipsecd permet de remplacer la partie connexion RPV du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet pptpd (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone auf (basée à Montréal), cela optimise les connexions (latence réduite).
Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par JeanChristopheAndré en décembre 2002.