View previous topic :: View next topic |
Author |
Message |
moon06 n00b
Joined: 25 Apr 2006 Posts: 53 Location: Nice, France
|
Posted: Wed Jan 09, 2008 10:27 pm Post subject: [(open) VPN] Créer un tunnel IPSec entre deux LAN via le net |
|
|
Bonsoir tout le monde
Je prévois d'installer un VPN entre mon réseau à la maison, et celui de mon bureau ; pour simplifier l'explication, voici un "schéma" :
[ réseau local 192.168.1.0 ] <=> [ passerelle sous Gentoo ] <=> [ ip publique Freebox 1.2.3.4 ] <=> [ internet ] <=> [ ip publique Freebox 5.6.7.8 ] <=> [ passerelle sous Gentoo ] <=> [ réseau local 192.168.2.0 ]
Ce que je souhaite est simple : créer un tunnel (IPSec ?) permanent entre les deux réseaux locaux, sachant qu'il y a une passerelle Gentoo qui fait office de routeur de chaque côté.
Selon ma humble expérience en la matière, OpenVPN semble pouvoir faire l'affaire ; mais quel guide suivre : celui-ci ?
Sinon, y a-t-il un soft mieux qu'OpenVPN ?
Merci |
|
Back to top |
|
|
SlashRhumSlashNeisson Apprentice
Joined: 30 Dec 2006 Posts: 201 Location: Lille
|
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Thu Jan 10, 2008 7:17 am Post subject: Re: [(open) VPN] Créer un tunnel IPSec entre deux LAN via le |
|
|
moon06 wrote: |
Sinon, y a-t-il un soft mieux qu'OpenVPN ?
|
Dans ce domaine du VPN non, OpenVPN est le meilleur. Pour IPSec sur IPv4 tu as StongSwan et OpenSwan...quelque peu galère à mettre en place. Sinon tu as l'IPv6 qui supporte nativement l'IPSec.
[edit] +1 pour SlashRhumSlashNeisson, pour un tunnel simple et rapide à mettre en place ssh vaut le coup en effet [/edit] _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
GentooUser@Clubic l33t
Joined: 01 Nov 2004 Posts: 829
|
Posted: Thu Jan 10, 2008 4:01 pm Post subject: |
|
|
Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6 |
|
Back to top |
|
|
moon06 n00b
Joined: 25 Apr 2006 Posts: 53 Location: Nice, France
|
Posted: Thu Jan 10, 2008 4:04 pm Post subject: |
|
|
C'est clair que ça vaudrait le coup de tester ... mais je suis bien en IPv4 pour le moment même si je défends avec ferveur l'IPv6 depuis des années |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Thu Jan 10, 2008 5:08 pm Post subject: |
|
|
GentooUser@Clubic wrote: | Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6 |
Dégroupé ou non, t'as l'ipv6 dans tous les cas, suffit d'un tunnel, ce que fait la freebox d'ailleurs... la différence c'est qu'en non-dégroupé tu dois le faire par toi même |
|
Back to top |
|
|
GentooUser@Clubic l33t
Joined: 01 Nov 2004 Posts: 829
|
Posted: Thu Jan 10, 2008 8:38 pm Post subject: |
|
|
Mais si tu as besoin d'une large bande passante, passer par un Tunnel Broker n'est pas l'idéal sans parler du ping.
Si tu parle du 6to4 via le 192.88.99.1 de Free y'a pas de route vers la moitié de sites que j'ai essayer de visiter via ce tunnel :/ |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Fri Jan 11, 2008 7:56 pm Post subject: |
|
|
Salut,
J'ai un VPN (openVPN) qui respecte ton schéma. Je n'utilise pas IPsec (je sais meme pas ce que c'est et donc à quoi ca sert ...) mais je peux te dire qu'un du routage via tes passerelle Gentoo sont un bon choix. Tu pourrais y placer un protocole de routage dynamique (pour l'ajout/suppression de route sur tes passerelle vers les réseaux virtuel externe).
J'utilise donc ceci:
- OpenVPN
- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)
- ip_forward = 1
- iptables (accepter le forward)
tu as le choix aussi ... soit tu met du nat (pas bien), soit tu n'en met pas (bien)
Le tout fonctionne très bien depuis 2 ans ... et pourtant, ce "vpn" passe par minimum 30 routeurs avant de trouver sa destination _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
tr4x n00b
Joined: 12 Aug 2004 Posts: 5
|
Posted: Fri Jan 11, 2008 10:48 pm Post subject: |
|
|
Bonsoir,
J'avais il y a un long moment fait l'essai d'un tunnel VPN sur IPSec.
J'avais utilisé l'implémentation IPSec intégrée au noyau (Origine : KAME)
Tu dois en effet recompiler les noyaux des passerelles pour prendre en charge IPSec (sockets PK_Key, API des cryptages AH,ESP, etc ...)
Ensuite tu installes simplement ipsec-tools.
Il y a un fichier de configuration à pondre, dans lequel figurent deux associations de sécurité et la politique de sécurité.
J'ai préféré utilisé les clés manuelles, vu que ton vpn restera statique...pourquoi pas.
Une fois le fichier de conf fait, tu dois inverser les deux paramètres (-P in et -P out) dans la politique de sécurité. Tu l'envoies à ton second routeur (via SSH ... ou encore SFTP ...).
un chmod +x dessus pour les rendre exécutables ...
Et au niveau filtrage, on filtre sur les hooks INPUT et OUTPUT, le protocole 50 (ESP), sans état de paquets. (peut etre le 51 (AH) a vérifier)
Sur le Forward , avec les adresses Locales des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 (et dans les deux sens, ce que tu envoies et ce que tu recois)
Au niveau routage, ta passerelle sait que derriere le tunnel se trouve le réseau de ton correspondant, donc pas besoin de modifier la table de routage.
Au niveau client, si ta passerelle est route par défaut, ca suffit.
La seule contrainte est que les Freebox ont une ip internet Fixe. ( Edit : faute de sens , "que les paserelles ont une IP internet Fixe", la freebox n'est pas routeur ici...a priori)
Et enfin , un p'ti lien http://www.ipsec-howto.org/x299.html
Bon courage.
ps : cela fait un moment que je ne fais plus de Linux, alors peut être que l'implémentation KAME est vétuste maintenant ...
@+ _________________ |-- Gen2 is a spiritual Thing --| |
|
Back to top |
|
|
moon06 n00b
Joined: 25 Apr 2006 Posts: 53 Location: Nice, France
|
Posted: Sun Jan 13, 2008 12:22 pm Post subject: |
|
|
loopx wrote: |
J'utilise donc ceci:
- OpenVPN
- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)
- ip_forward = 1
- iptables (accepter le forward)
|
Bon, j'ai cherché sur le net, mais je trouve pas grand chose en tutos OpenVPN à part du client <=> server.
Tu aurais un howto sous la main ?
Merci ! |
|
Back to top |
|
|
moon06 n00b
Joined: 25 Apr 2006 Posts: 53 Location: Nice, France
|
Posted: Sun Jan 13, 2008 2:15 pm Post subject: |
|
|
Bon à priori j'ai trouvé bien plus simple que OpenVPN : OpenSWAN !
En plus il y a un HOWTO sur le wiki Gentoo qui détaille exactement ce que je souhaite faire |
|
Back to top |
|
|
|