Tâche #13326
Scénario #13325: Mettre en place une infrastructure de connexion VPN roadwarrior sur le réseau EOLE (postes nomades domicile, clé 3G, ...)
Monter une maquette sur ONE pour mettre en place les configuration strongSwan
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Description
- Un serveur etb1.amon sera le FW-EOLE
- Un poste etb1.scribe sera le serveur DHCP du réseau EOLE
- Un poste aca.pc-lxde sera le poste nomade
- Un serveur aca.sphynx sera utilisé pour mixer VPN roadwarrior et VPN MEDDE et pour générer la base des configurations ipsec.
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Description mis à jour (diff)
- Assigné à mis à Fabrice Barconnière
#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 0 à 100
Côté FW EOLE :
- si nécessaire, installer le plugin strongSwan farp (paquet strongswan-plugin-farp) sur le FW EOLE.
- si nécessaire, modifier la configuration, strongSwan pour que les plugin farp se charge
- modèle de connexion ipsec à déclarer sur le firewall (fichier ipsec.conf complet) :
#configuration is in ipsec.conf file config setup uniqueids = yes cachecrls = yes strictcrlpolicy = no conn %default keyingtries = 3 keyexchange = ike authby = pubkey dpdaction = restart dpddelay = 120s ike = aes128-sha256-modp2048,aes192-sha384-modp3072 esp = aes128gcm128,aes192gcm128 forceencaps = no mobike = no #DEB:etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel conn "etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel" leftid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=amon.ac-test.fr" leftcert = "amon.ac-test.fr.pem" left = 192.168.0.31 leftsubnet = "10.1.2.0/24" leftupdown = /etc/ipsec.d/ipsec_updown rightid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=aca-xubuntu.ac-test.fr" right = %any rightsourceip = 10.1.2.99 rightdns = 10.1.2.1 auto=add #FIN:etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel
- installer strongSwan (version 5.0.x mini). La configuration de base suffit.
- désactiver le lancement automatique de strongSwan :
[ ! -f /etc/init/strongswan.override ] && echo "manual" > /etc/init/strongswan.override
Le lancement du VPN se fera manuellement
Sur un poste xubuntu 15.04, il a fallu modifier la configuration apparmor : - /etc/apparmor.d/usr.lib.ipsec.stroke :
ajouter/var/run/charon.ctl rw,
- apparmor_parser -r /etc/apparmor.d/usr.lib.ipsec.stroke pour prendre en compte la modification.
- ipsec.secrets
#DEB:/C=FR/L=Dijon/O=Education Nationale/OU=0002 110043015/CN=aca-xubuntu.ac-test.fr : RSA "privaca-xubuntu.ac-test.fr.pem" %prompt #FIN:/C=FR/L=Dijon/O=Education Nationale/OU=0002 110043015/CN=aca-xubuntu.ac-test.fr
Le %prompt permet de saisir la passphrase de la clé chiffrée de manière interactive.
- modèle de connexion ipsec roadwarrior (fichier ipsec.conf complet) :
#configuration is in ipsec.conf file config setup uniqueids = yes cachecrls = yes strictcrlpolicy = no conn %default keyingtries = 3 keyexchange = ike authby = pubkey dpdaction = restart dpddelay = 120s ike = aes128-sha256-modp2048,aes192-sha384-modp3072 esp = aes128gcm128,aes192gcm128 forceencaps = no mobike = no #DEB:aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel conn "aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel" leftid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=aca-xubuntu.ac-test.fr" leftcert = "aca-xubuntu.ac-test.fr.pem" leftsourceip = %config leftdns = %config rightid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=amon.ac-test.fr" right = 192.168.0.31 rightsubnet = "10.1.2.0/24" auto=start #FIN:aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel
- montage du VPN :
root@pc:~# service strongswan start root@pc:~# ipsec rereadall Private key '/etc/ipsec.d/private/privaca-xubuntu.ac-test.fr.pem' is encrypted. Passphrase: **************** root@pc:~# ipsec reload Reloading strongSwan IPsec configuration...
#4 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Restant à faire (heures) changé de 4.0 à 0.0
#5 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#6 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Statut changé de Résolu à Fermé