pipsecd

ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF

On devrait plutôt utiliser soit de l'IPsec natif (via ipsec-tools) soit OpenVPN.

pipsecd est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel (RPV).

Mise en place

Le logiciel pipsecd est disponible dans Debian/Lenny dans le paquet éponyme :

aptitude install pipsecd

Éditer le fichier /etc/pipsecd/configure pour y configurer ipsec0 :

#! /bin/sh
. /usr/lib/pipsecd/functions
case $ifname in
  ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;;
  *) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;;
esac

Créer un fichier /etc/pipsecd/startup avec ce contenu :

#!/bin/sh
ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0

et le rendre exécutable avec :

chmod 755 /etc/pipsecd/startup

Éditer le fichier /etc/pipsecd/pipsecd.conf pour y ajouter ceci :

sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z}
if 0 local_spi={x}{y} remote_spi={x}{y}

Une fois les clés enregistrées à Montréal, relancer pipsecd :

invoke-rc.d pipsecd restart

Et finalement, tester :

route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0
traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)

Ressources

Remarques

Le paquetage pipsecd permet de remplacer la partie connexion RPV du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet pptpd (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone auf (basée à Montréal), cela optimise les connexions (latence réduite).

Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par JeanChristopheAndré en décembre 2002.


pipsecd (dernière édition le 2014-10-16 18:45:39 par JeanChristopheAndré)