[(open) VPN] Créer un tunnel IPSec entre deux LAN via le net

[moon06]

Bonsoir tout le monde

Je prévois d'installer un VPN entre mon réseau à la maison, et celui de mon bureau ; pour simplifier l'explication, voici un "schéma" :


[ réseau local 192.168.1.0 ] <=> [ passerelle sous Gentoo ] <=> [ ip publique Freebox 1.2.3.4 ] <=> [ internet ] <=> [ ip publique Freebox 5.6.7.8 ] <=> [ passerelle sous Gentoo ] <=> [ réseau local 192.168.2.0 ]

Ce que je souhaite est simple : créer un tunnel (IPSec ?) permanent entre les deux réseaux locaux, sachant qu'il y a une passerelle Gentoo qui fait office de routeur de chaque côté.

Selon ma humble expérience en la matière, OpenVPN semble pouvoir faire l'affaire ; mais quel guide suivre : celui-ci ?

Sinon, y a-t-il un soft mieux qu'OpenVPN ?

Merci

[SlashRhumSlashNeisson]

Salut,

Tu peux aussi jeter un oeil sur openssh.

http://www.openssh.com/fr/index.html

Explications dans la rubrique documentations & scripts

https://forums.gentoo.org/viewtopic-t-281671-highlight-openssh.html

Perso j'utilise openssh
_________________
Gentoo only

[kwenspc]

[GentooUser@Clubic]

Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6

[moon06]

C'est clair que ça vaudrait le coup de tester ... mais je suis bien en IPv4 pour le moment même si je défends avec ferveur l'IPv6 depuis des années

[geekounet]

[GentooUser@Clubic]

Mais si tu as besoin d'une large bande passante, passer par un Tunnel Broker n'est pas l'idéal sans parler du ping.
Si tu parle du 6to4 via le 192.88.99.1 de Free y'a pas de route vers la moitié de sites que j'ai essayer de visiter via ce tunnel :/

[loopx]

Salut,


J'ai un VPN (openVPN) qui respecte ton schéma. Je n'utilise pas IPsec (je sais meme pas ce que c'est et donc à quoi ca sert ...) mais je peux te dire qu'un du routage via tes passerelle Gentoo sont un bon choix. Tu pourrais y placer un protocole de routage dynamique (pour l'ajout/suppression de route sur tes passerelle vers les réseaux virtuel externe).

J'utilise donc ceci:
- OpenVPN
- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)
- ip_forward = 1
- iptables (accepter le forward)

tu as le choix aussi ... soit tu met du nat (pas bien), soit tu n'en met pas (bien)


Le tout fonctionne très bien depuis 2 ans ... et pourtant, ce "vpn" passe par minimum 30 routeurs avant de trouver sa destination
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[tr4x]

Bonsoir,

J'avais il y a un long moment fait l'essai d'un tunnel VPN sur IPSec.

J'avais utilisé l'implémentation IPSec intégrée au noyau (Origine : KAME)

Tu dois en effet recompiler les noyaux des passerelles pour prendre en charge IPSec (sockets PK_Key, API des cryptages AH,ESP, etc ...)

Ensuite tu installes simplement ipsec-tools.


Il y a un fichier de configuration à pondre, dans lequel figurent deux associations de sécurité et la politique de sécurité.
J'ai préféré utilisé les clés manuelles, vu que ton vpn restera statique...pourquoi pas.

Une fois le fichier de conf fait, tu dois inverser les deux paramètres (-P in et -P out) dans la politique de sécurité. Tu l'envoies à ton second routeur (via SSH ... ou encore SFTP ...).

un chmod +x dessus pour les rendre exécutables ...

Et au niveau filtrage, on filtre sur les hooks INPUT et OUTPUT, le protocole 50 (ESP), sans état de paquets. (peut etre le 51 (AH) a vérifier)
Sur le Forward , avec les adresses Locales des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 (et dans les deux sens, ce que tu envoies et ce que tu recois)

Au niveau routage, ta passerelle sait que derriere le tunnel se trouve le réseau de ton correspondant, donc pas besoin de modifier la table de routage.

Au niveau client, si ta passerelle est route par défaut, ca suffit.

La seule contrainte est que les Freebox ont une ip internet Fixe. ( Edit : faute de sens , "que les paserelles ont une IP internet Fixe", la freebox n'est pas routeur ici...a priori)

Et enfin , un p'ti lien http://www.ipsec-howto.org/x299.html


Bon courage.

ps : cela fait un moment que je ne fais plus de Linux, alors peut être que l'implémentation KAME est vétuste maintenant ...

@+
_________________
|-- Gen2 is a spiritual Thing --|

[moon06]

[moon06]

Bon à priori j'ai trouvé bien plus simple que OpenVPN : OpenSWAN !

En plus il y a un HOWTO sur le wiki Gentoo qui détaille exactement ce que je souhaite faire