Modifications entre les versions 5 et 6
Version 5 à la date du 2013-09-11 16:53:49
Taille: 3328
Éditeur: MoussaNombre
Commentaire: 1 de moins
Version 6 à la date du 2014-10-16 18:45:16
Taille: 3544
Éditeur: JeanChristopheAndré
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
||<#ffff00> '''ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF''' <<BR>> On devrait plutôt utiliser soit de l'IPsec natif (via [[Projet/RPV/Migration2ipsectools|ipsec-tools]]) soit [[OpenVPN]]. ]] ||

ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF
On devrait plutôt utiliser soit de l'IPsec natif (via ipsec-tools) soit OpenVPN. ]]

pipsecd est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel (RPV).

Mise en place

Le logiciel pipsecd est disponible dans Debian/Lenny dans le paquet éponyme : 

aptitude install pipsecd

Éditer le fichier /etc/pipsecd/configure pour y configurer ipsec0 : 

#! /bin/sh
. /usr/lib/pipsecd/functions
case $ifname in
  ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;;
  *) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;;
esac

  • {x} doit être remplacé par le numéro de votre pays, selon l'index ISO3166v2002

  • {y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)

  • {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84)

Créer un fichier /etc/pipsecd/startup avec ce contenu : 

#!/bin/sh
ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0

et le rendre exécutable avec : 

chmod 755 /etc/pipsecd/startup

Éditer le fichier /etc/pipsecd/pipsecd.conf pour y ajouter ceci : 

sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z}
if 0 local_spi={x}{y} remote_spi={x}{y}
  • {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux
  • {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux

  • tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré (un des deux fera la mise à jour à Montréal), via le service Jabber de l'AuF (transmission chiffrée) et surtout pas par courriel (transmission en clair) !!

Une fois les clés enregistrées à Montréal, relancer pipsecd : 

invoke-rc.d pipsecd restart

Et finalement, tester : 

route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0
traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)

Ressources

Remarques

Le paquetage pipsecd permet de remplacer la partie connexion RPV du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet pptpd (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone auf (basée à Montréal), cela optimise les connexions (latence réduite).

Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par JeanChristopheAndré en décembre 2002.

pipsecd (dernière édition le 2014-10-16 18:45:39 par JeanChristopheAndré)