MàJ VPN ipsec.conf
This commit is contained in:
parent
ac8aa9b052
commit
2479908c37
|
@ -183,21 +183,19 @@ pass in on $ext_if proto udp from $addr_gw2 to ($ext_if) port {isakmp, ipsec-nat
|
|||
Dans /etc/ipsec.conf, positionner :
|
||||
|
||||
~~~
|
||||
local_ip="192.0.2.254"
|
||||
local_network="192.0.2.0/24"
|
||||
remote_ip="198.51.100.254"
|
||||
remote_network="198.51.100.0/24"
|
||||
|
||||
ike passive esp from $local_network to $remote_network peer $remote_ip
|
||||
ike passive esp from $local_ip to $remote_network peer $remote_ip
|
||||
ike passive esp from $local_ip to $remote_ip
|
||||
ike dynamic esp from $local_network to $remote_network peer $remote_ip \
|
||||
main auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 86400 \
|
||||
quick auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 7200 \
|
||||
psk "PRE-SHARED KEY"
|
||||
~~~
|
||||
|
||||
Récupérer la clé pré-générée de l'autre passerelle :
|
||||
|
||||
~~~
|
||||
# scp gw2:/etc/isakmpd/local.pub /etc/isakmpd/pubkeys/ipv4/198.51.100.254
|
||||
~~~
|
||||
Le mot-clef "dynamic" permet d'activer le Dead Peer Detection (DPD), utilisé pour détecter la perte du pair. Certains VPNs peuvent ne pas rester stable s'il n'est pas activé.
|
||||
Le mot-clef "main" configure la phase 1, tandis que le mot-clef "quick" configure la phase 2.
|
||||
Adapter ensuite les protocoles de sécurité, les durées de vies des 2 phases, ainsi que la psk, qui doivent correspondre entre gw1 et gw2.
|
||||
|
||||
Tester la configuration :
|
||||
|
||||
|
@ -208,51 +206,62 @@ Tester la configuration :
|
|||
Démarrer le service :
|
||||
|
||||
~~~
|
||||
# isakmpd -K
|
||||
# cat /etc/rc.conf.local
|
||||
isakmpd_flags="-K"
|
||||
|
||||
# rcctl start isakmpd
|
||||
# ipsecctl -f /etc/ipsec.conf
|
||||
~~~
|
||||
|
||||
Puis effectuer les mêmes actions sur l'autre passerelle.
|
||||
|
||||
On doit alors pouvoir pinger chaque réseau à partir de l'autre passerelle ou de l'autre réseau.
|
||||
Les deux réseaux doivent alors pouvoir se pinger entre eux.
|
||||
|
||||
Pour relancer un VPN il suffit de récupérer le nom des variables isakmpd générées par ipsectl via la commande suivante puis d'utiliser la même méthode qu'avec isakmpd.
|
||||
Pour couper un VPN, il faut ajouter l'option '-d' :
|
||||
|
||||
~~~
|
||||
# ipsecctl -nvf /etc/ipsec.conf
|
||||
# ipsecctl -d -f /etc/ipsec.conf
|
||||
~~~
|
||||
|
||||
### Cas avec plusieurs réseaux
|
||||
### Monter des VPNs avec plusieurs pairs
|
||||
|
||||
Lorsque plusieurs VPNs sont montés, une bonne pratique est d'avoir un fichier par pair. Ainsi, les VPNs montés avec *FAI1* et *FAI2* pourront être indépendamment redémarrés :
|
||||
|
||||
~~~
|
||||
# cat /etc/ipsec.conf
|
||||
include "/etc/ipsec/fai1.conf"
|
||||
include "/etc/ipsec/fai2.conf"
|
||||
|
||||
# ipsecctl -d -f /etc/ipsec/fai1.conf
|
||||
# ipsecctl -f /etc/ipsec/fai1.conf
|
||||
|
||||
# ipsecctl -d -f /etc/ipsec/fai2.conf
|
||||
# ipsecctl -f /etc/ipsec/fai2.conf
|
||||
~~~
|
||||
|
||||
### Monter un VPN avec plusieurs réseaux
|
||||
|
||||
Dans le cas où plusieurs réseaux distants doivent être accessibles (plusieurs phases 2 doivent être montées), cette syntaxe peut être utilisée dans /etc/ipsec.conf :
|
||||
|
||||
~~~
|
||||
local_ip="192.0.2.254"
|
||||
local_network="192.0.2.0/24"
|
||||
remote_ip="198.51.100.254"
|
||||
remote_network="{198.51.100.0/24, 198.51.200.0/24}"
|
||||
|
||||
ike passive esp from $local_network to $remote_network peer $remote_ip
|
||||
ike passive esp from $local_ip to $remote_network peer $remote_ip
|
||||
ike passive esp from $local_ip to $remote_ip
|
||||
ike dynamic esp from $local_network to $remote_network peer $remote_ip \
|
||||
main auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 86400 \
|
||||
quick auth hmac-sha2-256 enc aes-256 group modp2048 lifetime 7200 \
|
||||
psk "PRE-SHARED KEY"
|
||||
~~~
|
||||
|
||||
### Debug IPsec
|
||||
|
||||
Eteindre isakmpd :
|
||||
|
||||
~~~
|
||||
# /etc/rc.d/isakmpd stop
|
||||
~~~
|
||||
# cat /etc/rc.conf.local
|
||||
isakmpd_flags="-K -v -DA=90"
|
||||
|
||||
Dans une console :
|
||||
|
||||
~~~
|
||||
# isakmpd -d -DA=90 -K
|
||||
~~~
|
||||
|
||||
Dans une autre console :
|
||||
|
||||
~~~
|
||||
# rcctl restart isakmpd
|
||||
# ipsecctl -f /etc/ipsec.conf
|
||||
~~~
|
||||
|
||||
L'option `-DA=90` indique à isakmpd de logger tout ce qui se passe sur le VPN. Les logs seront alors très dense.
|
Loading…
Reference in a new issue