INSTALLATION & CONFIGURATION OPENSWAN/IPSec site site

Pour la mise en place de mon VPN, jutilise deux cartes rseaux (une pour mon LAN et lautre pour la liaison WAN) Le fichier de configuration est : /etc/ipsec.conf Le fichier de sauvegarde de cls est : /etc/ipsec.secret

1er cas : Pour les systmes : Debian, Ubuntu

- Installation en ligne apt-get install openswan ou aptitude install openswan - Modifier le noyau pour la prise en charge dIPSEC vi /etc/sysctl.conf

- Recharger le fichier /et/sysctl.conf sysctl -p /etc/sysctl.conf - Recharger ou redmarrer le service rseau /etc/init.d/networking restart ou reload - Dmarrer ipsec /etc/init.d/ipsec start ou ipsec setup start - Vrifier la prise en charge dIPSec par le noyau ipsec verify

- Avec les systmes Debian, nous allons gnrer des cls RSA donc automatiquement pour chaque extrmit : ipsec newhostkey --output /etc/ipsec.secrets

- On rcupre les cls pour chaque extrmit pour les mettre dans la fichier de configuration. Ipsec showhostkey left ou right

- Configuration dIPSec : /etc/ipsec.conf

Paramtres Left Leftsubnet Leftid Leftrsasigkey Leftnexthop Right Rightsubnet Rightid Rightrsasigkey Rightnexthop Adresse IP publique Adresse rseau 1 FQDN du rseau (optionnel) La cl publique RSA gnre pour le rseau 1 La route publique pour atteindre le rseau 2 Adresse IP publique Adresse rseau 2 FQDN du rseau (optionnel) La cl gnre pour le rseau 2 La route publique pour atteindre le rseau 1 Significations

En configurant le fichier ipsec.conf, il faut insrer les deux cls gnres auparavant. La configuration se fera par extrmit. Pour des copies distant en toute scurit, on utilise la commande de copie ssh: scp scp nom_fichier_source user@ip_address:/fichier_destination

On dfinitif, on a le fichier de configuration /etc/ipsec.conf suivant :

Une fois que les deux extrmits disposent du mme fichier de configuration, on doit : - redmarrer les services rseau et ipsec puis lancer la connexion entre les deux extrmits : ipsec auto --up nom_de_la _connexion

2e cas : Pour les systmes Redhat, Centos

- Pour linstallation en ligne yum install -y opensawan - Pour linstallation manuelle Rpm -ivh openswan-xxxxxxxxxxxxxxx.rpm - Il faut modifier le noyau comme avec les systmes Debian pour les deux extrmits. - Redmarrer les diffrents services et vrifier que le noyau a pris en IPSec

NB : Pour les tapes qui suivent, nous faisons tout le travail sur la mme passerelle avant de faire des copies vers lautre extrmit (passerelle) - Pour la gnration des cls, nous utilisons des cls partags donc gnres manuellement. On notre propre secret dans la fichier /etc/ipsec.secrets. @IP_publique_passerelle_1 @IP_public_passerelle2 : PSK cl partage

- Pour le fichier de configuration : /etc/ipsec.conf

- Aprs avoir tout fais sur une passerelle, on peut copier les fichiers /etc/ipsec.secrets et /etc/ipsec.conf vers lautre extrmit. On utilise la commande : scp fichier_source user@ip_address:/fichier_destination - Par la suite, on peut redmarrer les diffrents services et lancer la connexion entre les deux sites

Remarques : 1- Il faut mettre un place un systme de routage : Route add net @rseau_atteindre netmask masque_du rseau_atteindre gw @IP_saut_suivant 2- Lors du ltablissement de la connexion, linstruction IP tunnel SA Establish signifie que la connexion IPSec est opration entre les deux passerelles. 3- Pour voir ltat des communications, on peut utiliser Wireshark ou la commande tcpdump sur chaque passerelle. tcpdump -n i interface-internet host @IP_publique