|
Taille: 3248
Commentaire: reprise de l'ancien wiki
|
Taille: 3544
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Un ancien message de [[ProgFou]] : (décembre 2002) /!\ '''revu et corrigé de multiples fois... ;-)''' /!\ | ||<#ffff00> '''ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF''' <<BR>> On devrait plutôt utiliser soit de l'IPsec natif (via [[Projet/RPV/Migration2ipsectools|ipsec-tools]]) soit [[OpenVPN]]. ]] || |
| Ligne 3: | Ligne 3: |
| Pour ceux qui sont sur [[Debian]] (Woody ou Sarge) vous pouvez installer très simplement le paquetage `pipsecd` en suivant la procédure suivante : | `pipsecd` est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel ([[RPV]]). |
| Ligne 5: | Ligne 5: |
| * ajoutez la ligne suivante dans votre `/etc/apt/sources.list` (voir [[PaquetsDebianAuF]] pour les détails) : {{{ deb http://tech.vn.refer.org/debian woody contrib # pour Woody deb http://tech.vn.refer.org/debian sarge contrib # pour Sarge |
== Mise en place == Le logiciel `pipsecd` est disponible dans [[Debian/Lenny]] dans le paquet éponyme : {{{ aptitude install pipsecd |
| Ligne 10: | Ligne 11: |
| * mettez à jour votre cache APT : {{{ apt-get update }}} * installez `pipsecd` (`/dev/net/tun` sera automagiquement créé au besoin) : {{{ apt-get install pipsecd }}} * éditez le fichier `/etc/pipsecd/configure` pour qu'il soit ainsi : {{{#!shell |
Éditer le fichier `/etc/pipsecd/configure` pour y configurer `ipsec0` : {{{#!shell |
| Ligne 26: | Ligne 19: |
| * {x} doit être remplacé par le numéro de votre pays (index [[ISO3166v2002]]) * {y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique) * {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84) |
* {x} doit être remplacé par le numéro de votre pays, selon l'index [[ISO3166v2002]]<<BR>> * {y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)<<BR>> * {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84) |
| Ligne 30: | Ligne 23: |
| * créez un fichier `/etc/pipsecd/startup` pour qu'il soit ainsi : {{{#!shell | Créer un fichier `/etc/pipsecd/startup` avec ce contenu : {{{#!shell |
| Ligne 34: | Ligne 27: |
| . et '''rendez-le executable''' en faisant `chmod 755 /etc/pipsecd/startup` | et '''le rendre exécutable''' avec : {{{ chmod 755 /etc/pipsecd/startup }}} |
| Ligne 36: | Ligne 31: |
| * éditez le fichier `/etc/pipsecd/pipsecd.conf` pour qu'il soit ainsi : {{{ | Éditer le fichier `/etc/pipsecd/pipsecd.conf` pour y ajouter ceci : {{{ |
| Ligne 39: | Ligne 34: |
| Ligne 42: | Ligne 36: |
| * {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux et . {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux . tous les deux choisis au hasard (ce sont des clés secrètes), et qui devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, ProgFou et ThomasNoel (un des trois fera la mise à jour). |
* {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux * {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux * tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré (un des deux fera la mise à jour à Montréal), via [[MessagerieInstantanée|le service Jabber de l'AuF]] (transmission chiffrée) et surtout pas par courriel (transmission en clair) !! |
| Ligne 46: | Ligne 40: |
| * une fois les clés enregistrées à Montréal, relancez pipsecd : {{{ /etc/init.d/pipsecd restart |
Une fois les clés enregistrées à Montréal, relancer pipsecd : {{{ invoke-rc.d pipsecd restart |
| Ligne 50: | Ligne 44: |
| * et finalement testez : {{{ route -n # doit vous montrer une route pour 10.36.0.{z} vers ipsec0 |
Et finalement, tester : {{{ route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0 |
| Ligne 55: | Ligne 49: |
| {i} ''Note : le paquetage `pipsecd` permet de remplacer la partie connexion [[RPV]] du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un hub ou switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage le cas échéant. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquetage `pptpd` (non décrit dans ce courriel). Pensez enfin à vous configurer un serveur DNS local esclave de la zone `auf` (basée à Montréal), cela optimise les connexions (lantence).'' | == Ressources == * la source : http://perso.enst.fr/~beyssac/pipsec/ * description du paquet Debian : http://packages.debian.org/stable/net/pipsecd == Remarques == Le paquetage `pipsecd` permet de remplacer la partie connexion [[RPV]] du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet `pptpd` (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone `auf` (basée à Montréal), cela optimise les connexions (latence réduite). Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par [[JeanChristopheAndré]] en décembre 2002. |
ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF |
pipsecd est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel (RPV).
Mise en place
Le logiciel pipsecd est disponible dans Debian/Lenny dans le paquet éponyme :
aptitude install pipsecd
Éditer le fichier /etc/pipsecd/configure pour y configurer ipsec0 :
#! /bin/sh
. /usr/lib/pipsecd/functions
case $ifname in
ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;;
*) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;;
esac{x} doit être remplacé par le numéro de votre pays, selon l'index ISO3166v2002
{y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)
- {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84)
Créer un fichier /etc/pipsecd/startup avec ce contenu :
#!/bin/sh
ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0et le rendre exécutable avec :
chmod 755 /etc/pipsecd/startup
Éditer le fichier /etc/pipsecd/pipsecd.conf pour y ajouter ceci :
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z}
if 0 local_spi={x}{y} remote_spi={x}{y}- {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux
- {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux
tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré (un des deux fera la mise à jour à Montréal), via le service Jabber de l'AuF (transmission chiffrée) et surtout pas par courriel (transmission en clair) !!
Une fois les clés enregistrées à Montréal, relancer pipsecd :
invoke-rc.d pipsecd restart
Et finalement, tester :
route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0
traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)
Ressources
la source : http://perso.enst.fr/~beyssac/pipsec/
description du paquet Debian : http://packages.debian.org/stable/net/pipsecd
Remarques
Le paquetage pipsecd permet de remplacer la partie connexion RPV du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet pptpd (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone auf (basée à Montréal), cela optimise les connexions (latence réduite).
Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par JeanChristopheAndré en décembre 2002.