Forum Linux.debian/ubuntu Configuration IPsec

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
13
avr.
2019

Bonjour,

Je dois mettre en place un tunnel IPsec entre un réseau distant et un serveur web public que je gère, installé sous Debian GNU/Linux "Wheezy" (7.11).
Autant je n'ai pas de souci sur la partie système, autant je suis à la rue pour ce qui est du réseau et les divers "tutos" que l'on trouve ne m'ont pas trop aidé, j'ai du mal à trouver un exemple de configuration clair et complet pour une configuration qui me paraît pourtant assez simple !! :)

Je vous fais un plan d'adressage rapide:
- côté réseau distant, la passerelle est en 85.233.x.y, avec un réseau privé en 192.168.1.0 ; je n'ai pas du tout la main sur la configuration de ce réseau et de sa passerelle IPsec ;
- côté serveur web, j'ai une IP publique en 62.210.x.y sur eth0, et une IP privée en 10.90.x.y sur eth1 (hébergement chez Online).

La connexion se fait avec une clé partagée, et côté serveur web je passe par les packages "ipsec-tools" et "racoon". J'ai tenté de configurer les fichiers "ipsec-tools.conf" et "racoon.conf" de la sorte :

    # ipsec-tools.conf
    flush;
    spdflush;

    spdadd 62.210.x.y 85.233.x.y any -P out ipsec
        esp/tunnel/62.210.x.y-85.233.x.y/require;

    spdadd 85.233.x.y 62.210.x.y any -P in ipsec
        esp/tunnel/85.233.x.y-62.210.x.y/require;
    # racoon.conf
    remote 85.233.205.67 {
        exchange_mode main;
        proposal {
            encryption_algorithm aes256;
            hash_algorithm sha256;
            authentication_method pre_shared_key;
            dh_group 2;
        }
    }

    sainfo address 10.90.177.44/32 any address 192.168.1.0/24 any {
        pfs_group 2;
        lifetime time 24 hour;
        encryption_algorithm aes256;
        authentication_algorithm hmac_sha256;
        compression_algorithm deflate;
    }

Une fois les services "setkey" et "racoon" re-démarrés, plusieurs questions se posent :
- comment savoir si ma configuration est correcte et si les deux extrémités de mon tunnel se causent bien ?
- quelles règles de routage faut-il mettre en place pour que cette connexion se fasse bien (sachant bien évidemment que mon serveur doit également pouvoir continuer à communiquer avec le reste du monde) ?
- est-il nécessaire de mettre en place des règles de translation d'adresses au niveau du firewall installé sur mon serveur web pour que le réseau distant puisse accéder à certains services accessibles uniquement depuis l'interface privée du serveur ?

J'espère avoir été assez clair, s'il vous faut d'autres précisions pour m'aider n'hésitez surtout pas !!
Merci d'avance,
Thierry

  • # des tests

    Posté par  . Évalué à 3.

    • comment savoir si ma configuration est correcte et si les deux extrémités de mon tunnel se causent bien ?

    en demandant au reseau 192.168.1.X de causer avec le reseau 10.90.x.y c'est deja un bon debut

    • quelles règles de routage faut-il mettre en place pour que cette connexion se fasse bien (sachant bien évidemment que mon serveur doit également pouvoir continuer à communiquer avec le reste du monde) ?

    c'est peut-etre par là qu'il faut commencer,
    un VPN ipsec c'est 2 etapes qui sont grosso modo :
    - identification sur remote et du local via leurs IPs publiques
    - definition des reseaux disponibles de chaque coté (le routage)

    tout cela se fait generalement dans la configuration meme du VPN

    • est-il nécessaire de mettre en place des règles de translation d'adresses au niveau du firewall installé sur mon serveur web pour que le réseau distant puisse accéder à certains services accessibles uniquement depuis l'interface privée du serveur ?

    pas si chaque reseau sait par ou il faut passer pour aller de l'autre coté
    ton reseau 192.168.1.x sais qu'il doit passer par le serveur pour joindre 10.90.x.y
    le reseau 10.90.x.y sait qu'il doit passer par le "client" pour joindre 192.168.1.x

  • # Wheezy

    Posté par  . Évalué à 3.

    Wheezy n'est plus supporté par Debian depuis presque une année, est-ce qu'une dist-upgrade de ton système n'est pas envisageable ?

    • [^] # Re: Wheezy

      Posté par  (site web personnel) . Évalué à 2.

      Malheureusement non, pas pour l'instant !
      Un changement de serveur est prévu à l'automne avec un passage en Stretch…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.