règle pf.conf + enable et start sasyncd

2022-08-30 14:20:43 +02:00 · 2022-08-30 14:20:43 +02:00 · 4c3e393586
parent 003e480a1e
commit 4c3e393586
1 changed files with 14 additions and 1 deletions
--- a/HowtoOpenBSD/sasyncd.md
+++ b/HowtoOpenBSD/sasyncd.md
@ -43,13 +43,26 @@ Pour les paramètres `listen on` et `peer`, il est conseillé d'utiliser le mêm

 La clé partagée peut être générée avec la commande `openssl rand -hex 32`. Ne pas oublier d'indiquer "0x" au début.

-Vu que le fichier de configuration contient un secret partagé, il ne doit être lisible que par l'utilisateur `root` :
+Vu que le fichier de configuration contient un secret partagé, il ne doit être lisible que par l'utilisateur `root` (le démarrage échouera sinon) :

 ~~~
 # chown root /etc/sasyncd.conf
 # chmod 0600 /etc/sasyncd.conf
 ~~~

+Il faut autoriser le port utilisé, dans `/etc/pf.conf` :
+
+~~~
+pass quick on $pfsync_if proto tcp from $peer to port 500
+~~~
+
+Puis on peut activer et démarrer sasyncd :
+
+~~~
+# rcctl enable sasyncd
+# rcctl start sasyncd
+~~~
+
 ## Configuration IPsec

 Le démon IPsec utilisé, isakmpd ou iked, doit être démarré avec le paramètre `-S` :