MàJ VPN ipsec.conf
This commit is contained in:
parent
ac8aa9b052
commit
2479908c37
|
@ -183,21 +183,19 @@ pass in on $ext_if proto udp from $addr_gw2 to ($ext_if) port {isakmp, ipsec-nat
|
||||||
Dans /etc/ipsec.conf, positionner :
|
Dans /etc/ipsec.conf, positionner :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
local_ip="192.0.2.254"
|
|
||||||
local_network="192.0.2.0/24"
|
local_network="192.0.2.0/24"
|
||||||
remote_ip="198.51.100.254"
|
remote_ip="198.51.100.254"
|
||||||
remote_network="198.51.100.0/24"
|
remote_network="198.51.100.0/24"
|
||||||
|
|
||||||
ike passive esp from $local_network to $remote_network peer $remote_ip
|
ike dynamic esp from $local_network to $remote_network peer $remote_ip \
|
||||||
ike passive esp from $local_ip to $remote_network peer $remote_ip
|
main auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 86400 \
|
||||||
ike passive esp from $local_ip to $remote_ip
|
quick auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 7200 \
|
||||||
|
psk "PRE-SHARED KEY"
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Récupérer la clé pré-générée de l'autre passerelle :
|
Le mot-clef "dynamic" permet d'activer le Dead Peer Detection (DPD), utilisé pour détecter la perte du pair. Certains VPNs peuvent ne pas rester stable s'il n'est pas activé.
|
||||||
|
Le mot-clef "main" configure la phase 1, tandis que le mot-clef "quick" configure la phase 2.
|
||||||
~~~
|
Adapter ensuite les protocoles de sécurité, les durées de vies des 2 phases, ainsi que la psk, qui doivent correspondre entre gw1 et gw2.
|
||||||
# scp gw2:/etc/isakmpd/local.pub /etc/isakmpd/pubkeys/ipv4/198.51.100.254
|
|
||||||
~~~
|
|
||||||
|
|
||||||
Tester la configuration :
|
Tester la configuration :
|
||||||
|
|
||||||
|
@ -208,51 +206,62 @@ Tester la configuration :
|
||||||
Démarrer le service :
|
Démarrer le service :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# isakmpd -K
|
# cat /etc/rc.conf.local
|
||||||
|
isakmpd_flags="-K"
|
||||||
|
|
||||||
|
# rcctl start isakmpd
|
||||||
# ipsecctl -f /etc/ipsec.conf
|
# ipsecctl -f /etc/ipsec.conf
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Puis effectuer les mêmes actions sur l'autre passerelle.
|
Puis effectuer les mêmes actions sur l'autre passerelle.
|
||||||
|
|
||||||
On doit alors pouvoir pinger chaque réseau à partir de l'autre passerelle ou de l'autre réseau.
|
Les deux réseaux doivent alors pouvoir se pinger entre eux.
|
||||||
|
|
||||||
Pour relancer un VPN il suffit de récupérer le nom des variables isakmpd générées par ipsectl via la commande suivante puis d'utiliser la même méthode qu'avec isakmpd.
|
Pour couper un VPN, il faut ajouter l'option '-d' :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# ipsecctl -nvf /etc/ipsec.conf
|
# ipsecctl -d -f /etc/ipsec.conf
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
### Cas avec plusieurs réseaux
|
### Monter des VPNs avec plusieurs pairs
|
||||||
|
|
||||||
|
Lorsque plusieurs VPNs sont montés, une bonne pratique est d'avoir un fichier par pair. Ainsi, les VPNs montés avec *FAI1* et *FAI2* pourront être indépendamment redémarrés :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
# cat /etc/ipsec.conf
|
||||||
|
include "/etc/ipsec/fai1.conf"
|
||||||
|
include "/etc/ipsec/fai2.conf"
|
||||||
|
|
||||||
|
# ipsecctl -d -f /etc/ipsec/fai1.conf
|
||||||
|
# ipsecctl -f /etc/ipsec/fai1.conf
|
||||||
|
|
||||||
|
# ipsecctl -d -f /etc/ipsec/fai2.conf
|
||||||
|
# ipsecctl -f /etc/ipsec/fai2.conf
|
||||||
|
~~~
|
||||||
|
|
||||||
|
### Monter un VPN avec plusieurs réseaux
|
||||||
|
|
||||||
Dans le cas où plusieurs réseaux distants doivent être accessibles (plusieurs phases 2 doivent être montées), cette syntaxe peut être utilisée dans /etc/ipsec.conf :
|
Dans le cas où plusieurs réseaux distants doivent être accessibles (plusieurs phases 2 doivent être montées), cette syntaxe peut être utilisée dans /etc/ipsec.conf :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
local_ip="192.0.2.254"
|
|
||||||
local_network="192.0.2.0/24"
|
local_network="192.0.2.0/24"
|
||||||
remote_ip="198.51.100.254"
|
remote_ip="198.51.100.254"
|
||||||
remote_network="{198.51.100.0/24, 198.51.200.0/24}"
|
remote_network="{198.51.100.0/24, 198.51.200.0/24}"
|
||||||
|
|
||||||
ike passive esp from $local_network to $remote_network peer $remote_ip
|
ike dynamic esp from $local_network to $remote_network peer $remote_ip \
|
||||||
ike passive esp from $local_ip to $remote_network peer $remote_ip
|
main auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 86400 \
|
||||||
ike passive esp from $local_ip to $remote_ip
|
quick auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 7200 \
|
||||||
|
psk "PRE-SHARED KEY"
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
### Debug IPsec
|
### Debug IPsec
|
||||||
|
|
||||||
Eteindre isakmpd :
|
|
||||||
|
|
||||||
~~~
|
|
||||||
# /etc/rc.d/isakmpd stop
|
|
||||||
~~~
|
~~~
|
||||||
|
# cat /etc/rc.conf.local
|
||||||
|
isakmpd_flags="-K -v -DA=90"
|
||||||
|
|
||||||
Dans une console :
|
# rcctl restart isakmpd
|
||||||
|
|
||||||
~~~
|
|
||||||
# isakmpd -d -DA=90 -K
|
|
||||||
~~~
|
|
||||||
|
|
||||||
Dans une autre console :
|
|
||||||
|
|
||||||
~~~
|
|
||||||
# ipsecctl -f /etc/ipsec.conf
|
# ipsecctl -f /etc/ipsec.conf
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
L'option `-DA=90` indique à isakmpd de logger tout ce qui se passe sur le VPN. Les logs seront alors très dense.
|
Loading…
Reference in a new issue