||<#ffff00> '''ATTENTION : pipsecd ne devrait plus être utilisé à l'AUF''' <<BR>><<BR>> On devrait plutôt utiliser soit de l'IPsec natif (via [[Projet/RPV/Migration2ipsectools|ipsec-tools]]) soit [[OpenVPN]]. ||

`pipsecd` est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel ([[RPV]]).

== Mise en place ==

Le logiciel `pipsecd` est disponible dans [[Debian/Lenny]] dans le paquet éponyme : {{{
aptitude install pipsecd
}}}

Éditer le fichier `/etc/pipsecd/configure` pour y configurer `ipsec0` : {{{#!shell
#! /bin/sh
. /usr/lib/pipsecd/functions
case $ifname in
  ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;;
  *) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;;
esac
}}}
 * {x} doit être remplacé par le numéro de votre pays, selon l'index [[ISO3166v2002]]<<BR>>
 * {y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)<<BR>>
 * {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84)

Créer un fichier `/etc/pipsecd/startup` avec ce contenu : {{{#!shell
#!/bin/sh
ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0
}}}
et '''le rendre exécutable''' avec : {{{
chmod 755 /etc/pipsecd/startup
}}}

Éditer le fichier `/etc/pipsecd/pipsecd.conf` pour y ajouter ceci : {{{
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa}
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z}
if 0 local_spi={x}{y} remote_spi={x}{y}
}}}
 * {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux
 * {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux
 * tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré (un des deux fera la mise à jour à Montréal), via [[MessagerieInstantanée|le service Jabber de l'AuF]] (transmission chiffrée) et surtout pas par courriel (transmission en clair) !!

Une fois les clés enregistrées à Montréal, relancer pipsecd : {{{
invoke-rc.d pipsecd restart
}}}

Et finalement, tester : {{{
route -n # doit montrer une route pour 10.36.0.{z} vers ipsec0
traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)
}}}

== Ressources ==

 * la source : http://perso.enst.fr/~beyssac/pipsec/
 * description du paquet Debian : http://packages.debian.org/stable/net/pipsecd

== Remarques ==

Le paquetage `pipsecd` permet de remplacer la partie connexion [[RPV]] du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquet `pptpd` (non décrit dans ce courriel). Pensez enfin à vous configurer un service DNS local esclave (ou mandataire) de la zone `auf` (basée à Montréal), cela optimise les connexions (latence réduite).

Pour l'historique, cette page est basée sur un message expliquant le déploiement de cette solution, par [[JeanChristopheAndré]] en décembre 2002.
----