Tunnel IPSec sous Linux avec OpenSwan
Le but de ce tutoriel est de créer un tunnel IPSec entre deux réseaux privées (chez vous et chez un pote pas exemple) reliés par une connexion Internet publique. La solution proposée se base sur OpenSwan (exemple de configuration sous Ubuntu mais applicable sous n'importe quel Unix et BSD like)
Infrastructure servant de base au tutoriel:
PRIVEE_A --- ROUTEUR VPN A --- PUBLIQUE_A --- INTERNET --- PUBLIQUE_B --- ROUTEUR VPN B --- PRIVEE_B
Installation de OpenSwan
# sudo apt-get install openswan
Génération des clés:
# ipsec ranbits 256
0x02e91301_438852a5_da987f97_762d2c97_22f0b9c9_8fe399c6_49b81858_603d90fe
Puis édition du fichier /etc/ipsec.secrets sur le ROUTEUR VPN A:
# sudo vi /etc/ipsec.secrets
PUBLIQUE_A PUBLIQUE_B "0x02e91301_438852a5_da987f97_762d2c97_22f0b9c9_8fe399c6_49b81858_603d90fe"PS: remplacer PUBLIQUE_A et PUBLIQUE_B par les adresses IP publiques de vos routeurs
Copie de la clés sur le ROUTEUR VPN B:
# scp /etc/ipsec.secrets root@PUBLIQUE_B:/etc/ipsec.secrets
PS: si besoin, remplacer root par un compte administrateur valide
Configuration du tunnel IPSec
Configuration sur le ROUTEUR VPN A (exemple adresse IP réseaux PRIVEE_A=192.168.1.0/24 et PRIVEE_B=192.168.2.0/24):
# vi /etc/ipsec.conf
version 2.0
config setup
...
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,!%v4:192.168.1.0/24conn tas2tno
type=tunnel
authby=secret
left=PUBLIQUE_A
leftsubnet=vhost:%no,%priv
right=PUBLIQUE_B
rightsubnet=192.168.2.0/24
auto=start
Configuration sur le ROUTEUR VPN B (exemple adresse IP réseaux PRIVEE_A=192.168.1.0/24 et PRIVEE_B=192.168.2.0/24):
# vi /etc/ipsec.conf
version 2.0
config setup
...
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,!%v4:192.168.2.0/24conn tas2tno
type=tunnel
authby=secret
left=PUBLIQUE_B
leftsubnet=vhost:%no,%priv
right=PUBLIQUE_A
rightsubnet=192.168.1.0/24
auto=start
Quelques commandes utiles
Démarrer le daemon IPSec (à faire sur les deux serveurs VPN)
# sudo /etc/init.d/ipsec start
Redémarrer le daemon IPSec (en cas de modification d'un des fichiers de configuration):
# sudo /etc/init.d/ipsec restart
Status des tunnels VPN:
# sudo ipsec whack --status
Debug:
# tail -f /var/log/messages | grep pluto
Créateur de blog de Nicolargo, je suis un partisan des logiciels libres et un passionné des nouvelles technologies.
Suivre @nicolargo sur Twitter S'abonner au flux RSS du blog
Twitter: 
Rss:
Commentaires (de mes chers lecteurs):
Ca marche avec des ips dynamiques en mettant les noms de domaines ?
@polytan: je pense que oui mais je n’ai jamais testé. Il faut essayer de remplacer les adresses Ip par les noms DNS dans les deux fichiers (.conf et .secrets).
Tiens nous au courant si tu arrives à faire marcher cette configuration.
Salut, super ce tutoriel : simple et efficace.
Y aurait-il dans le meme genre un tuto pour un vpn IPSEC en mode road warrior ? (un serveur / plusieurs postes clients depuis plusieurs endroits (bureaux, domiciles, hotspots etc
@Samuel: en faisant ce billet je suis tombé sur quelques configurations de type road warrior. Google devrait te trouver ca facilement.
Bonne chasse !
bonjour
pour passer a travers une freebox je vais galerer ? je voudrais faire un vpn entre mon serveur ovh et mon serveur dans le salon :p
@samuel2: la conf est un peu plus complexe car il faudra jouer avec les règles du firewall de la freebox. Mais je pense que c’est jouable.
openswan utilise quel port ?
@samuel2: c’est dans la doc… bon courage !
bonjour,
voila j’ai le tuto simple et efficase.
j’ai recontré un probléme au niveau du fechier du conf ( ipsec.conf)
pouvez vous m’expliqué a quoi corresepond : conn tas2tno dans ipsec.conf,
car au lencement des services /etc/init.d/ipsec restart
j’au message d’erreur: “tas2tno” inconnu.
merci pour votre aide.
@idi: c’est le nom de la connexion. Le nom doit être le même au niveau du client et du serveur.
slt j ai un expose sur se titre vpn sou linux et je voulais les etapes pour la configuration sous linux de (a a z) plz help me if you can
Je te conseille de lire le billet suivante:
http://blog.nicolargo.com/2010/10/installation-dun-serveur-openvpn-sous-debianubuntu.html
Merci pour le tuto,
vous avez un autre tuto pour une connexion server openswan ubuntu ou debian avec un client windows seven, xp, vista (roadwarior).
merci.
Bonjour NicoLargo, j’ai une question à propos d’ipsec/xl2tpd avec openswan, j’ai bien implémenté la solution sur un debian squeeze mais quand j’ai tenté sur un debian lenny ça n’a pa marché ainsi que sur un conteneur lxc, si vous pourriez me donner un coup de main je vous serai reconnaissante.
Merci
Il n’y a personne pour m’aider, je suis bloquée et je ne sais pas comment m’en sortir, j’attends tout de même votre aide
“Bonjour NicoLargo, j’ai une question à propos d’ipsec/xl2tpd avec openswan, j’ai bien implémenté la solution sur un debian squeeze mais quand j’ai tenté sur un debian lenny ça n’a pa marché ainsi que sur un conteneur lxc, si vous pourriez me donner un coup de main je vous serai reconnaissante.
Merci” c’est ma question du 28/02/2012 pls help
@theladys dsl pour moi Ipsec rime avec doliprane, mais je me permets de te suggérer d’abandonner Debian Lenny qui arrive en fin de support bientôt (ou il y a pas longtemps ?). c’est une méthode comme une autre pour résoudre ton pbl, puisque sous Squeeze tout semble fonctionner
@Samuel merci pour ta réponse, au fait l’entreprise dans laquelle je bosse ne veut pas changer de distribution (ils utilisent Debian Lenny) et du coup je suis un bloquée sur comment faire fonctionner ipsec sur cette distribution.mais merci quand d’avoir pris ton temps pour me répondre.
Personne ne peut me répondre à propos d’ipsec, c’est dommage mais bon