FreeS/Wan un peu complexe for me ... Help me ...

FreeS/Wan un peu complexe for me ... Help me ... - Linux et OS Alternatifs

Marsh Posté le 07-06-2002 à 18:01:59    

Je désire monter un tunnel sécurisé entre un serveur Linux(ADSL Pro) et un PC possédant une connexion ADSL standard.
Pour se faire, j'ai jeté un oeil sur les forces en presences et j'ai trouvé qqs produits interessants :
 
PPTPD et FREES/WAN, après maintes lectures, j'en arrive à la conclusion que Ipsec avec Freeswan serait une bonne solution à etudier.  
 
J'installe une REDHAT 7.2 avec un package(module) de FreeS/wan.
Je random ma cléf d'authentification RSA et à partir de cet instant je suis un peu perdu... ils me demande de renseigner la clef d'encryption dans le DNS etc ... ??? là je commence à prendre l'eau ...
 
Plus j'avance et plus je me demande si je ne dois pas configurer 2 serveurs avec frees/wan pour monter ce VPN.
 
Qqu'un a t-il reussi à mettre en oeuvre cette solution ? si oui un eclaircissement sur les lignes directrices serait le bienvenu.
 
qqs liens pour ceux que ça branche:
http://www.freeswan.org/freeswan_t [...] index.html
http://www.samag.com/documents/s=1 [...] /0011i.htm
http://open-source.arkoon.net/
les sources/rpm RH 7.2:
ftp://ftp.xs4all.nl/pub/crypto/freeswan/

Reply

Marsh Posté le 07-06-2002 à 18:01:59   

Reply

Marsh Posté le 09-06-2002 à 13:25:23    

Je relance ...

Reply

Marsh Posté le 09-06-2002 à 13:38:14    

si tu veut monter un vpn entre 2 machines linux, oui il te faut installer un freeswan de chaque cote...
 
si tu monte ton vpn entre 2 ip fixe, alors tu peut utilise le shared secret plutot que les clefs RSA
 
le shared secret ou la clef prive RSA sont ds le fichier /etc/ipsec.secrets
 
ensuite ta configuration vpn se fais ds /etc/ipsec.conf
je te montre mon fichier de conf, si ca peut t aider:
 
config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=all
        plutoload="ipsec0-int1-1-eth1-1 ipsec0-int1-1-eth0-1"
        plutostart="ipsec0-int1-1-eth1-1 ipsec0-int1-1-eth0-1"
 
conn %default
        disablearrivalcheck=yes
        authby=rsasig
        keyingtries=0
        rekey=no
        keylife=1h
 
conn ipsec0-int1-1-eth0-1
        left=%defaultroute
        leftrsasigkey="cle_public_left"
        leftid=@hostname_machine_left
        right=193.**.**.**
        rightnexthop=193.**.**.**
        rightsubnet=172.31.242.6/255.255.255.255
 
        rightrsasigkey="cle_public_right"
        rightid=@hostname_machine_right
 
conn ipsec0-int1-1-eth1-1
        left=%defaultroute
        leftsubnet=192.168.0.2/255.255.255.255
        leftrsasigkey="cle_public_left"
        leftid=@hostname_machine_left
        right=193.**.**.**
        rightnexthop=193.**.**.**
        rightsubnet=172.31.242.6/255.255.255.255
        rightrsasigkey="cle_public_right"
        rightid=@hostname_machine_right
 
 
ds mon cas la machine left est en ip dynamique
je monte 2 tunnel :
entre le lan 172.31.242.6/32 et ma passerelle
entre le lan 172.31.242.6/32 et le lan 192.168.0.2/32
 
si tu as des questions n'hesite pas
va voir aussi de ce cote la:
http://www.tldp.org/LDP/solrhe/Sec [...] fSWAn.html
 
a+


Message édité par djtoz le 06-09-2002 à 13:44:19
Reply

Marsh Posté le 10-06-2002 à 16:11:29    

Merci pour le coup de pouce ...
 
En patchant Freeswan(X509) on peut connecter un poste en 2K non ?
 
J'ai pas reussi à integrer Freeswan 1.97 dans un noyau 2.4.18 ? YA PAS ... CA VEUT PO ...  
 
Beaucoup de methodes d'install sont dispos et aucune ne correspond vraiment à une config spécifique. ex: RedHat 7.2+FSW 1.97 !
 
Je promet de pondre qq chose de clair dès que j'aurais assimiler les tenant et aboutissant de Frees/wan et Ipsec.

Reply

Marsh Posté le 10-06-2002 à 19:38:06    

z@ck a écrit a écrit :

Merci pour le coup de pouce ...
 
En patchant Freeswan(X509) on peut connecter un poste en 2K non ?
 
J'ai pas reussi à integrer Freeswan 1.97 dans un noyau 2.4.18 ? YA PAS ... CA VEUT PO ...  
 
Beaucoup de methodes d'install sont dispos et aucune ne correspond vraiment à une config spécifique. ex: RedHat 7.2+FSW 1.97 !
 
Je promet de pondre qq chose de clair dès que j'aurais assimiler les tenant et aboutissant de Frees/wan et Ipsec.  




 
si tu veut monter un VPN entre un linux et un windows, il te faut un freeswan sur le linux et par exemple le client VPN SSH Sentinel ( http://www.ssh.com ) sur ton windows.
j'ai fais plusieurs install de cette maniere et ca fonctionne tres bien.
 
sinon pour installer freeswan sur ton linux, il faut d'abord avoir les sources de ton noyau ds /usr/src/linux
le mieux une fois que tu as mis les sources est de faire une nouvelle compilation du noyau (avec le support Ipsec !! ), comme ca tu aura tes sources avec exactement les parametres du noyau qui tourne sur ta machine.
 
une fois que tu as tout ca de clean :)
tu detar ton freeswan et tu fais un :
make menugo
 
ca va te recompiler un nouveau noyau, et cette fois ca devrait marcher :p
 
voila, bon courage
c vrai que c pas facile a monter au debut un VPN, mais apres c le pied qd meme ;p
 
a+

Reply

Marsh Posté le 12-06-2002 à 14:57:01    

J'ai recup un noyau 2.4.18 sur kernel.org > usr/src/linux
J'ai untar mon freeswan 1.97 dans /usr/src/linux/ > il crée /fresswan 1.97/ dedans.
 
Make menu go puis parametrage Grub pour prise en compte du nouveau noyau.
 
je fais un uname -r > 2.4.18 > ok
 
mais toujours pas de prise en compte de freeswan !!! (pas de trace dans dmesg, pas de prise en compte d'ipsec).
 
Soluce: J'ai trouvé une prise en charge de la version 1.95 dans la mandrake 8.2 sous forme de package.
 
Merci pour ton aide précieuse.

Reply

Marsh Posté le 12-06-2002 à 15:37:55    

z@ck a écrit a écrit :

J'ai recup un noyau 2.4.18 sur kernel.org > usr/src/linux
J'ai untar mon freeswan 1.97 dans /usr/src/linux/ > il crée /fresswan 1.97/ dedans.
 
Make menu go puis parametrage Grub pour prise en compte du nouveau noyau.
 
je fais un uname -r > 2.4.18 > ok
 
mais toujours pas de prise en compte de freeswan !!! (pas de trace dans dmesg, pas de prise en compte d'ipsec).
 
Soluce: J'ai trouvé une prise en charge de la version 1.95 dans la mandrake 8.2 sous forme de package.
 
Merci pour ton aide précieuse.  




 
heu faut pas mettre freeswan ds /usr/src/linux, la c que les sources de ton noyau.
 
puis avant de faire ton make menugo, je t ai dis de compiler un noyau normal avec le support ipsec
 
tu reboot sur ton nouvo noyau
puis tu extrai ton freeswan ds un rep
tu vas dedans et la tu fais ton make menugo

Reply

Marsh Posté le 12-06-2002 à 16:41:08    

ok, j'avais pas réellement capté ça ...
 
Je viens de lire un truc sur la legislation en cours sur l'encryption en France ... au dela de 128 bits est on considéré comme terroriste ?
 
Merci encore.

Reply

Marsh Posté le 12-06-2002 à 16:50:22    

z@ck a écrit a écrit :

ok, j'avais pas réellement capté ça ...
 
Je viens de lire un truc sur la legislation en cours sur l'encryption en France ... au dela de 128 bits est on considéré comme terroriste ?
 
Merci encore.  




 
ben je crois que c autoriser jusqu a 128 oui
a la boite oue je travaille, on monte des vpn en 168 et il a fallut demander une autorisation speciale

Reply

Marsh Posté le 13-06-2002 à 08:57:58    

sais tu à qui je dois m'adresser pour obtenir ce type de chiffrement voir du 192 ?

Reply

Marsh Posté le 13-06-2002 à 08:57:58   

Reply

Marsh Posté le 13-06-2002 à 19:45:08    

z@ck a écrit a écrit :

sais tu à qui je dois m'adresser pour obtenir ce type de chiffrement voir du 192 ?  




 
vais me renseigner, mais je pense que c reserve aux entreprises
 
si c pour un particulier, y a peu de chance...
mais en meme temps qui c'est qui va venir verifier :p

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed