mirroir readonly du Gitit wiki.evolix.org (attention, ne rien commiter/merger sur ce dépôt) https://wiki.evolix.org
Vous ne pouvez pas sélectionner plus de 25 sujets Les noms de sujets doivent commencer par une lettre ou un nombre, peuvent contenir des tirets ('-') et peuvent comporter jusqu'à 35 caractères.

1.9 KiB

Cette page a été importée automatiquement de notre ancien wiki mais n’a pas encore été révisée.

Howto strongSwan

http://www.strongswan.org/documentation.html

StrongSwan est un fork de FreeS/WAN, permettant de gérer des VPNs IPsec sur des systèmes à base de noyau Linux. Il inclu 2 démons, Pluto et Charon, gérant respectivement les protocoles IKEv1 et IKEv2 d’IPsec.

Installation

# aptitude install strongswan strongswan-starter

Configuration

La configuration se fait dans le fichier /etc/ipsec.conf. Les clés privées ou passphrases sont à indiquer dans le fichier /etc/ipsec.secrets (syntaxe différente du fichier de conf).

Example de configuration

Fichier /etc/ipsec.conf :

config setup
	interfaces=%defaultroute

conn myvpn
	type=tunnel
        # IP publique de la machine locale
	left=192.0.2.18
        # Réseau privé attribué à la machine locale dans le VPN
	leftsubnet=10.0.0.0/24
        # IP privée attribuée à la machine locale dans le VPN
	leftsourceip=10.0.0.1
        # IP publique de la machine distante
	right=198.51.100.56
        # Réseau privé attribué à la machine distante dans le VPN
	rightsubnet=10.0.1.0/24
	auto=route
	authby=secret

Fichier /etc/ipsec.secrets :

192.0.2.18 198.51.100.56 : PSK "mypassphrase"

Pour pouvoir joindre le réseau privé distant, il faut ajouter une route comme suit :

route add -net 10.0.1.0/24 gw 10.0.0.1

Administration

État du VPN

/!\ Contrairement à OpenBSD, sur Linux la commande route ne retourne pas les routes IPsec. Pour gérer le réseau IPsec sous Linux, on peut utiliser les commandes ip xfrm ....

# ipsec status

ou

# ip xfrm policy

Gérer les démons pluto et charon

En cas de changement dans la conf :

ipsec start|stop|restart|reload

Gérer les VPN

En cas de perte de connexion/problème de lifetime...

# ipsec down|up <connection name>