pipsecd est un logiciel permettant de gérer des tunnels IPSec. Il est notamment utilisé à l'AUF dans le cadre de la construction du réseau privé virtuel (RPV).
Sur le web :
la source : http://perso.enst.fr/~beyssac/pipsec/
description du paquet Debian : http://packages.debian.org/stable/net/pipsecd
Installation
JeanChristopheAndré a réalisé un paquet spécialement pour nous, il faut ajouter la ligne suivante dans votre /etc/apt/sources.list :
deb http://tech.vn.refer.org/debian {distribution} contrib
en remplaçant {distribution} par votre distribution Debian (Woody, Sarge ou Etch).
À partir de Debian/Lenny il n'est plus nécessaire d'avoir un paquet spécifique.
mettez à jour votre cache APT et installez pipsecd (/dev/net/tun sera automagiquement créé au besoin) :
apt-get update apt-get install pipsecd
Configuration
éditez le fichier /etc/pipsecd/configure pour qu'il soit ainsi :
#! /bin/sh . /usr/lib/pipsecd/functions case $ifname in ipsec0) turnon 10.{x}.{y}.254 10.36.0.{z} ;; *) logger -p error -t pipsecd "Unknown interface $ifname ($remaddr)" ;; esac
{x} doit être remplacé par le numéro de votre pays (index ISO3166v2002)
- {y} doit être remplacé par le numéro de votre implantation (0, 1, 128, 129, ... découpage géographique)
- {z} doit être remplacé par un numéro de Netopia à Montréal (81, 82, 83 ou 84)
créez un fichier /etc/pipsecd/startup pour qu'il soit ainsi :
#!/bin/sh ifconfig ipsec0 10.{x}.{y}.254 pointopoint 10.36.0.{z} netmask 255.0.0.0
et rendez-le executable en faisant chmod 755 /etc/pipsecd/startup
éditez le fichier /etc/pipsecd/pipsecd.conf pour qu'il soit ainsi :
sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} sa ipesp spi={x}{y} enc=des_cbc ekey={eeeeeeeeeeeeeeee} auth=hmac-md5-96 akey={aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} dest=199.84.140.{z} if 0 local_spi={x}{y} remote_spi={x}{y}
- {eeeeeeeeeeeeeeee} doit être remplacé par 16 chiffres hexadécimaux
- {aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa} par 32 chiffres hexadécimaux
tous les deux doivent être choisis au hasard (ce sont des clés secrètes) et qui devront également être enregistrés sur le Netopia {z} à Montréal : communiquez ces informations à MoussaNombre, JeanChristopheAndré et ThomasNoel (un des trois fera la mise à jour à Montréal).
une fois les clés enregistrées à Montréal, relancez pipsecd :
/etc/init.d/pipsecd restart
et finalement testez :
route -n # doit vous montrer une route pour 10.36.0.{z} vers ipsec0 traceroute -n 10.36.0.245 # doit atteindre l'IP destination (TSE)
Note : le paquetage pipsecd permet de remplacer la partie connexion RPV du Netopia, mais si vous souhaitez supprimer complètement le Netopia il vous faut alors une carte réseau supplémentaire, un hub ou switch supplémentaire, installer un serveur DHCP s'il n'y en a pas encore, configurer le NAT si ce n'est pas encore fait et ajouter des règles de filtrage le cas échéant. De plus, si vous utilisiez des connexions PPTP, il faudra également installer le paquetage pptpd (non décrit dans ce courriel). Pensez enfin à vous configurer un serveur DNS local esclave de la zone auf (basée à Montréal), cela optimise les connexions (lantence).
Note : pour l'historique, cette page est basée sur un ancien message de JeanChristopheAndré (décembre 2002) revu et corrigé de multiples fois... ;-)