NicoLargo le 10/03/08 |
Catégories:
Open-source, Réseau | Tags:ipsec,linux,vpn
Actions:
10 
| 
Le but de ce tutoriel est de créer un tunnel IPSec entre deux réseaux privées (chez vous et chez un pote pas exemple) reliés par une connexion Internet publique. La solution proposée se base sur OpenSwan (exemple de configuration sous Ubuntu mais applicable sous n'importe quel Unix et BSD like)
Infrastructure servant de base au tutoriel:
PRIVEE_A --- ROUTEUR VPN A --- PUBLIQUE_A --- INTERNET --- PUBLIQUE_B --- ROUTEUR VPN B --- PRIVEE_B
Installation de OpenSwan
# sudo apt-get install openswan
Génération des clés:
# ipsec ranbits 256
0x02e91301_438852a5_da987f97_762d2c97_22f0b9c9_8fe399c6_49b81858_603d90fe
Puis édition du fichier /etc/ipsec.secrets sur le ROUTEUR VPN A:
# sudo vi /etc/ipsec.secrets
PUBLIQUE_A PUBLIQUE_B "0x02e91301_438852a5_da987f97_762d2c97_22f0b9c9_8fe399c6_49b81858_603d90fe"PS: remplacer PUBLIQUE_A et PUBLIQUE_B par les adresses IP publiques de vos routeurs
Copie de la clés sur le ROUTEUR VPN B:
# scp /etc/ipsec.secrets root@PUBLIQUE_B:/etc/ipsec.secrets
PS: si besoin, remplacer root par un compte administrateur valide
Configuration du tunnel IPSec
Configuration sur le ROUTEUR VPN A (exemple adresse IP réseaux PRIVEE_A=192.168.1.0/24 et PRIVEE_B=192.168.2.0/24):
# vi /etc/ipsec.conf
version 2.0
config setup
...
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,!%v4:192.168.1.0/24conn tas2tno
type=tunnel
authby=secret
left=PUBLIQUE_A
leftsubnet=vhost:%no,%priv
right=PUBLIQUE_B
rightsubnet=192.168.2.0/24
auto=start
Configuration sur le ROUTEUR VPN B (exemple adresse IP réseaux PRIVEE_A=192.168.1.0/24 et PRIVEE_B=192.168.2.0/24):
# vi /etc/ipsec.conf
version 2.0
config setup
...
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,!%v4:192.168.2.0/24conn tas2tno
type=tunnel
authby=secret
left=PUBLIQUE_B
leftsubnet=vhost:%no,%priv
right=PUBLIQUE_A
rightsubnet=192.168.1.0/24
auto=start
Quelques commandes utiles
Démarrer le daemon IPSec (à faire sur les deux serveurs VPN)
# sudo /etc/init.d/ipsec start
Redémarrer le daemon IPSec (en cas de modification d'un des fichiers de configuration):
# sudo /etc/init.d/ipsec restart
Status des tunnels VPN:
# sudo ipsec whack --status
Debug:
# tail -f /var/log/messages | grep pluto
Abonnez-vous gratuitement à ce blog (RSS, ATOM, Mail ou Twitter).
Réagissez à ce billet en laissant
un commentaire ou écrivant sur le forum
10 commentaires au billet “Tunnel IPSec sous Linux avec OpenSwan”
Ca marche avec des ips dynamiques en mettant les noms de domaines ?
@polytan: je pense que oui mais je n'ai jamais testé. Il faut essayer de remplacer les adresses Ip par les noms DNS dans les deux fichiers (.conf et .secrets).
Tiens nous au courant si tu arrives à faire marcher cette configuration.
Salut, super ce tutoriel : simple et efficace.
Y aurait-il dans le meme genre un tuto pour un vpn IPSEC en mode road warrior ? (un serveur / plusieurs postes clients depuis plusieurs endroits (bureaux, domiciles, hotspots etc
@Samuel: en faisant ce billet je suis tombé sur quelques configurations de type road warrior. Google devrait te trouver ca facilement.
Bonne chasse !
bonjour
pour passer a travers une freebox je vais galerer ? je voudrais faire un vpn entre mon serveur ovh et mon serveur dans le salon :p
@samuel2: la conf est un peu plus complexe car il faudra jouer avec les règles du firewall de la freebox. Mais je pense que c'est jouable.
openswan utilise quel port ?
@samuel2: c'est dans la doc... bon courage !
bonjour,
voila j'ai le tuto simple et efficase.
j'ai recontré un probléme au niveau du fechier du conf ( ipsec.conf)
pouvez vous m'expliqué a quoi corresepond : conn tas2tno dans ipsec.conf,
car au lencement des services /etc/init.d/ipsec restart
j'au message d'erreur: "tas2tno" inconnu.
merci pour votre aide.
@idi: c'est le nom de la connexion. Le nom doit être le même au niveau du client et du serveur.
Publier un commentaire
Utiliser
pour lier des documents à vos commentaires.
Pour des discutions techniques, merci d'utiliser le forum.