Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[(open) VPN] Créer un tunnel IPSec entre deux LAN via le net
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
moon06
n00b
n00b


Joined: 25 Apr 2006
Posts: 53
Location: Nice, France

PostPosted: Wed Jan 09, 2008 10:27 pm    Post subject: [(open) VPN] Créer un tunnel IPSec entre deux LAN via le net Reply with quote

Bonsoir tout le monde :)

Je prévois d'installer un VPN entre mon réseau à la maison, et celui de mon bureau ; pour simplifier l'explication, voici un "schéma" :


[ réseau local 192.168.1.0 ] <=> [ passerelle sous Gentoo ] <=> [ ip publique Freebox 1.2.3.4 ] <=> [ internet ] <=> [ ip publique Freebox 5.6.7.8 ] <=> [ passerelle sous Gentoo ] <=> [ réseau local 192.168.2.0 ]

Ce que je souhaite est simple : créer un tunnel (IPSec ?) permanent entre les deux réseaux locaux, sachant qu'il y a une passerelle Gentoo qui fait office de routeur de chaque côté.

Selon ma humble expérience en la matière, OpenVPN semble pouvoir faire l'affaire ; mais quel guide suivre : celui-ci ?

Sinon, y a-t-il un soft mieux qu'OpenVPN ?

Merci :)
Back to top
View user's profile Send private message
SlashRhumSlashNeisson
Apprentice
Apprentice


Joined: 30 Dec 2006
Posts: 200
Location: Lille

PostPosted: Thu Jan 10, 2008 5:32 am    Post subject: Reply with quote

Salut,

Tu peux aussi jeter un oeil sur openssh.

http://www.openssh.com/fr/index.html

Explications dans la rubrique documentations & scripts

https://forums.gentoo.org/viewtopic-t-281671-highlight-openssh.html

Perso j'utilise openssh :wink:
_________________
Gentoo only
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Thu Jan 10, 2008 7:17 am    Post subject: Re: [(open) VPN] Créer un tunnel IPSec entre deux LAN via le Reply with quote

moon06 wrote:

Sinon, y a-t-il un soft mieux qu'OpenVPN ?

Dans ce domaine du VPN non, OpenVPN est le meilleur. Pour IPSec sur IPv4 tu as StongSwan et OpenSwan...quelque peu galère à mettre en place. Sinon tu as l'IPv6 qui supporte nativement l'IPSec.

[edit] +1 pour SlashRhumSlashNeisson, pour un tunnel simple et rapide à mettre en place ssh vaut le coup en effet [/edit]
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 829

PostPosted: Thu Jan 10, 2008 4:01 pm    Post subject: Reply with quote

Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6 :lol:
Back to top
View user's profile Send private message
moon06
n00b
n00b


Joined: 25 Apr 2006
Posts: 53
Location: Nice, France

PostPosted: Thu Jan 10, 2008 4:04 pm    Post subject: Reply with quote

C'est clair que ça vaudrait le coup de tester ... mais je suis bien en IPv4 pour le moment même si je défends avec ferveur l'IPv6 depuis des années :D
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa

PostPosted: Thu Jan 10, 2008 5:08 pm    Post subject: Reply with quote

GentooUser@Clubic wrote:
Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6 :lol:

Dégroupé ou non, t'as l'ipv6 dans tous les cas, suffit d'un tunnel, ce que fait la freebox d'ailleurs... la différence c'est qu'en non-dégroupé tu dois le faire par toi même :P
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 829

PostPosted: Thu Jan 10, 2008 8:38 pm    Post subject: Reply with quote

Mais si tu as besoin d'une large bande passante, passer par un Tunnel Broker n'est pas l'idéal sans parler du ping.
Si tu parle du 6to4 via le 192.88.99.1 de Free y'a pas de route vers la moitié de sites que j'ai essayer de visiter via ce tunnel :/
Back to top
View user's profile Send private message
loopx
Advocate
Advocate


Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège

PostPosted: Fri Jan 11, 2008 7:56 pm    Post subject: Reply with quote

Salut,


J'ai un VPN (openVPN) qui respecte ton schéma. Je n'utilise pas IPsec (je sais meme pas ce que c'est et donc à quoi ca sert ...) mais je peux te dire qu'un du routage via tes passerelle Gentoo sont un bon choix. Tu pourrais y placer un protocole de routage dynamique (pour l'ajout/suppression de route sur tes passerelle vers les réseaux virtuel externe).

J'utilise donc ceci:
- OpenVPN
- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)
- ip_forward = 1
- iptables (accepter le forward)

tu as le choix aussi ... soit tu met du nat (pas bien), soit tu n'en met pas (bien) :roll:


Le tout fonctionne très bien depuis 2 ans ... et pourtant, ce "vpn" passe par minimum 30 routeurs avant de trouver sa destination :wink:
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org
Back to top
View user's profile Send private message
tr4x
n00b
n00b


Joined: 12 Aug 2004
Posts: 5

PostPosted: Fri Jan 11, 2008 10:48 pm    Post subject: Reply with quote

Bonsoir,

J'avais il y a un long moment fait l'essai d'un tunnel VPN sur IPSec.

J'avais utilisé l'implémentation IPSec intégrée au noyau (Origine : KAME)

Tu dois en effet recompiler les noyaux des passerelles pour prendre en charge IPSec (sockets PK_Key, API des cryptages AH,ESP, etc ...)

Ensuite tu installes simplement ipsec-tools.


Il y a un fichier de configuration à pondre, dans lequel figurent deux associations de sécurité et la politique de sécurité.
J'ai préféré utilisé les clés manuelles, vu que ton vpn restera statique...pourquoi pas.

Une fois le fichier de conf fait, tu dois inverser les deux paramètres (-P in et -P out) dans la politique de sécurité. Tu l'envoies à ton second routeur (via SSH ... ou encore SFTP ...).

un chmod +x dessus pour les rendre exécutables ...

Et au niveau filtrage, on filtre sur les hooks INPUT et OUTPUT, le protocole 50 (ESP), sans état de paquets. (peut etre le 51 (AH) a vérifier)
Sur le Forward , avec les adresses Locales des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 (et dans les deux sens, ce que tu envoies et ce que tu recois)

Au niveau routage, ta passerelle sait que derriere le tunnel se trouve le réseau de ton correspondant, donc pas besoin de modifier la table de routage.

Au niveau client, si ta passerelle est route par défaut, ca suffit.

La seule contrainte est que les Freebox ont une ip internet Fixe. ( Edit : faute de sens , "que les paserelles ont une IP internet Fixe", la freebox n'est pas routeur ici...a priori)

Et enfin , un p'ti lien http://www.ipsec-howto.org/x299.html


Bon courage.

ps : cela fait un moment que je ne fais plus de Linux, alors peut être que l'implémentation KAME est vétuste maintenant ...

@+
_________________
|-- Gen2 is a spiritual Thing --|
Back to top
View user's profile Send private message
moon06
n00b
n00b


Joined: 25 Apr 2006
Posts: 53
Location: Nice, France

PostPosted: Sun Jan 13, 2008 12:22 pm    Post subject: Reply with quote

loopx wrote:

J'utilise donc ceci:
- OpenVPN
- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)
- ip_forward = 1
- iptables (accepter le forward)


Bon, j'ai cherché sur le net, mais je trouve pas grand chose en tutos OpenVPN à part du client <=> server.

Tu aurais un howto sous la main ? :)

Merci !
Back to top
View user's profile Send private message
moon06
n00b
n00b


Joined: 25 Apr 2006
Posts: 53
Location: Nice, France

PostPosted: Sun Jan 13, 2008 2:15 pm    Post subject: Reply with quote

Bon à priori j'ai trouvé bien plus simple que OpenVPN : OpenSWAN !

En plus il y a un HOWTO sur le wiki Gentoo qui détaille exactement ce que je souhaite faire :)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum