Forum Linux.général IPSec et IPComp avec ipsec-tools

Bonjour,

J’ai étudie le fonctionnement de IPSec avec le paquet ipsec-tools (0.6.6-3.1) sur une Debian 4.0 avec un noyau 2.6.18. Avant de passer à l’étude du démon IKE, j’aimerais éclaircir quelques points à propos de IPComp pour bien comprendre.

J’ai testé +/- toutes les configurations possibles avec AH, ESP et IPComp en mode transport et tunnel. Chaque fois que j’ai impliqué IPComp dans une configuration, celle-ci n’a pas fonctionné correctement. Même l’usage de IPComp tout seul en mode transport ou tunnel n’a jamais fonctionné. J’avais posté quelques détails de configurations et des remarques sur le forum francophone de Debian [1] : http://forum.debian-fr.org/viewtopic.php?t=8907&sid=6eae(...) . Mon sujet n’a pas fait fureur :)

Après de nombreuses recherches sur Internet, je trouve quelques pistes en anglais qui annoncent des problèmes. Comme ici, sur la liste de ipsec-tools chez sourceforge : http://sourceforge.net/mailarchive/message.php?msg_id=BAY103(...) . Le post n’est toutefois pas très récent 2005...

D’après ce que je comprends, Setkey utilise un header IPIP de 20bytes. J’ai pu le vérifier avec Wireshark. Je m’étonne par contre de ne pas voir le fameux id ICP propre au protocole IPComp. Je m’étonne d’une remarque qui insinuait que l’usage de ipip n’est pas recommandé par la RFC de IPComp et l’implémentation de IPComp varie entre les différents systèmes.

J’ai lu plusieurs remarques qui mettaient en évidence le fait qu’il faut faire attention à l’ordre de ce qu’on demande dans la SPD. Le fait de demander ESP et puis IPComp n’a pas le même effet que demander IPComp et puis ESP. ESP chiffrant les données, il faut les compresser avant.

Le dernier point qui m’intrigue, c’est que lorsque je teste en mode tunnel IPComp tout seul en ayant adéquatement configuré la SPD et la SAD, les paquets passent bien dans un sens mais pas dans l’autre. Cf. [1]. En jouant avec tcpdump, je vois pourtant les paquets arriver correctement sur la machine. Ce qui est étrange, c’est que iptables ne drop rien, mais la réponse d’un ping ne se fait pas. Comme si le noyau bloquait tout ça. J’ai pensé qu’il s’agissait peut-être d’une option de sysctl.conf à ajuster. J’ai testé en désactivant petit à petit les sécurités genre rp_filter,... mais ça n’a pas marché non plus.

Par contre, j’ai pu tester avec succès l’usage de AH seul, de ESP seul, ou de AH + ESP tant en mode tunnel qu’en mode transport. Dès lors, j’ose penser que je n’ai pas fait une erreur de débutant dans une configuration.

Voilà, je me demandais si quelqu’un ici a déjà rencontré des problèmes avec l’usage de IPComp en utilisant IPSec-tools. Vous pensez certainement que j’ai tendance à faire une tartine pour pas grand-chose. IPComp n’est pas le point fondamentale de IPSec, mais par curiosité, j’aime bien de savoir le pourquoi de comment.

Je serais content d’avoir vos avis sur le sujet,

Merci d’avance,
Nico