Ipsec-tools.conf, tunnel, et adresse dynamique


#1

Bonjour, je tente une fois de plus de mettre en place des VPN ipsec.
J’en suis à alimenter mon ipsec-tools.conf, avec une “policy” du genre:

spdadd 192.168.X.0/24 192.168.y.0/24 any -P out ipsec esp/tunnel/<ipsrc>-<ipdst>/require;
Je ne suis pas en mesure de le tester pour l’instant, mais quand ça va marcher, comment fait on si une des deux adresses est dynamique ?


#2

Bon, toujours pas eu le temps de finaliser, au lieu de faire la config “à la main”, j’ai voulu utiliser racoon-tool, et ça marche pas.
Quoi qu’il en soit, j’ai un autre problême: ma machine IPSec est derrière un Netopia qui ne sait forwarder que les ports, pas les protocoles. J’ai donc “à priori” forwardé le port 500 sur mon racoon, mais je ne suis pas en mesure de tester si c’est suffisant.
Enfin, je vais aller essayer avec une config “à la main” et ce pinhole là, en éspèrant que c’est suffisant.
Tjs personne pour me donner des conseils ?


#3

slt Matt,

Un temp j’avais lu cette doc que j’ai trouvé pas mal, j’utilise aussi des vpn(s) sur ipsec mais avec des ip publiques (statique…)

casteyde.christian.free.fr/syste … x8260.html section 9.5.2.3 il explique comment créer des tunnels ipsec avec des ip dynamiques… sinon pour ton netopia qui ne fait que forwarder des ports je ne craint que ca puisse marcher, parce que le problème vient de l’encryption de l’en-tête IP par les participants au tunnel IPSEC. Si l’adresse IP est modifiée pendant le trajet du paquet, elle ne sera pas la même à l’arrivée que celle qui a été encryptée au départ, et après comparaison, le paquet sera détruit. Plus de details ici :
usenet-fr.net/fur/comp/reseaux/nat.html section 9.2


#4

bon, je repoussais la suppression de ce Netopia hérité, et je vais passer en Pro le SpeedTouch sur lequel il est connecté.
Ca fait un bout de temps que je repousse l’opération parceque tout marche bien, et qu’il n’y avait aucun besoin de le faire, mais maintenant…

Par contre, le tunnelling, tu dis, n’est pas possible autour d’une seule IP statique ?
Parcequ’en fait, c’est le cas du siège, mais les agences qui s’ouvrent sont “à priori” en dynamique, et ça suffisait pour le pptp. Ce serait ch… que ce soit impossible avec IPSec.


#5

slt,

Si c’est possible et plus facile avec une IP statique, apres, cela depend si tu utlise un boitier vpn+ipsec comme chez moi (les clients sont en zewall) et relier au siége a un openfreeswan qui autorise plus de 100 tunnels donc malgré leur changement d’ip dynamique ils ont toujours la bonne route (ip statique pub) pour ce connecter au siége.


#6

slt,

au faite Matt si tu as des tests a faire avec ipsec je veux bien essayé avec toi j’essaye de monter des tunnels en ip dynamique avec dyn-dns etc…


#7

bon, j’ai mis le routeur linux du siège en pppoe directement sur le Net (plus de netopia), et ça marche Nickel.
Par contre j’ai dû remonter des tunnels pptp, parceque je n’ai pas trouvé comment faire de l’ipsec TUNNEL sur une adresse dynamique (il va falloir que tu m’explique mieux comment tu fais parceque je n’ai pas compris).
Alors avec les derniers noyaux, le MPPE est intègré de base au noyau, donc les tunnels pptp sont cryptés, et maintenant que j’ai mes tunnels PPTP, avec des adresses statiques à chaque bout, je pourrais faire de l’IPsec DANS le tuyau PPTP, mais c’est un peu redondant comme solution.
stonfi: je suis à ta disposition sur messagerie instantanée l’AM toute cette semaine (je pars en vacance en Guadeloupe 15j aprés).