Tâche #13326: Monter une maquette sur ONE pour mettre en place les configuration strongSwan - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #13326

Scénario #13325: Mettre en place une infrastructure de connexion VPN roadwarrior sur le réseau EOLE (postes nomades domicile, clé 3G, ...)

Monter une maquette sur ONE pour mettre en place les configuration strongSwan

Ajouté par Fabrice Barconnière il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Fabrice Barconnière

Version cible:

Sprint 2015 42-44 - Équipe MENESR

Début:

02/10/2015

Echéance:

% réalisé:

100%

Temps estimé:

4.00 h

Temps passé:

4.00 h

Restant à faire (heures):

0.0

Description

Un serveur etb1.amon sera le FW-EOLE
Un poste etb1.scribe sera le serveur DHCP du réseau EOLE
Un poste aca.pc-lxde sera le poste nomade
Un serveur aca.sphynx sera utilisé pour mixer VPN roadwarrior et VPN MEDDE et pour générer la base des configurations ipsec.

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Statut changé de Nouveau à En cours

#2 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Description mis à jour (diff)
Assigné à mis à Fabrice Barconnière

#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

% réalisé changé de 0 à 100

Côté FW EOLE :

si nécessaire, installer le plugin strongSwan farp (paquet strongswan-plugin-farp) sur le FW EOLE.
si nécessaire, modifier la configuration, strongSwan pour que les plugin farp se charge

modèle de connexion ipsec à déclarer sur le firewall (fichier ipsec.conf complet) :

#configuration is in ipsec.conf file
config setup
    uniqueids = yes
    cachecrls = yes
    strictcrlpolicy = no

conn %default
    keyingtries = 3
    keyexchange = ike
    authby = pubkey
    dpdaction = restart
    dpddelay = 120s
    ike = aes128-sha256-modp2048,aes192-sha384-modp3072
    esp = aes128gcm128,aes192gcm128
    forceencaps = no
    mobike = no

#DEB:etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel
conn "etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel" 
    leftid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=amon.ac-test.fr" 
    leftcert = "amon.ac-test.fr.pem" 
    left = 192.168.0.31
    leftsubnet = "10.1.2.0/24" 
    leftupdown = /etc/ipsec.d/ipsec_updown
    rightid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=aca-xubuntu.ac-test.fr" 
    right = %any
    rightsourceip = 10.1.2.99
    rightdns = 10.1.2.1
    auto=add
#FIN:etb1.amon-default-2.5.1-aca-xubuntu_1-RW_tunnel

Côté poste roadwarrior (exemples de commandes sur Ubuntu >= 14.04):

installer strongSwan (version 5.0.x mini). La configuration de base suffit.
désactiver le lancement automatique de strongSwan :
```
[ ! -f /etc/init/strongswan.override ] && echo "manual" > /etc/init/strongswan.override
```
Le lancement du VPN se fera manuellement
Sur un poste xubuntu 15.04, il a fallu modifier la configuration apparmor :
/etc/apparmor.d/usr.lib.ipsec.stroke :
ajouter
```
  /var/run/charon.ctl           rw,
```
apparmor_parser -r /etc/apparmor.d/usr.lib.ipsec.stroke pour prendre en compte la modification.

ipsec.secrets

#DEB:/C=FR/L=Dijon/O=Education Nationale/OU=0002 110043015/CN=aca-xubuntu.ac-test.fr
: RSA "privaca-xubuntu.ac-test.fr.pem" %prompt
#FIN:/C=FR/L=Dijon/O=Education Nationale/OU=0002 110043015/CN=aca-xubuntu.ac-test.fr

Le %prompt permet de saisir la passphrase de la clé chiffrée de manière interactive.

modèle de connexion ipsec roadwarrior (fichier ipsec.conf complet) :

#configuration is in ipsec.conf file
config setup
    uniqueids = yes
    cachecrls = yes
    strictcrlpolicy = no

conn %default
    keyingtries = 3
    keyexchange = ike
    authby = pubkey
    dpdaction = restart
    dpddelay = 120s
    ike = aes128-sha256-modp2048,aes192-sha384-modp3072
    esp = aes128gcm128,aes192gcm128
    forceencaps = no
    mobike = no

#DEB:aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel
conn "aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel" 
    leftid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=aca-xubuntu.ac-test.fr" 
    leftcert = "aca-xubuntu.ac-test.fr.pem" 
    leftsourceip = %config
    leftdns = %config
    rightid = "C=FR, L=Dijon, O=Education Nationale, OU=0002 110043015, CN=amon.ac-test.fr" 
    right = 192.168.0.31
    rightsubnet = "10.1.2.0/24" 
    auto=start
#FIN:aca-xubuntu-etb1.amon-default-2.5.1_1-RW_tunnel

montage du VPN :

root@pc:~# service strongswan start
root@pc:~# ipsec rereadall
Private key '/etc/ipsec.d/private/privaca-xubuntu.ac-test.fr.pem' is encrypted.
Passphrase: ****************
root@pc:~# ipsec reload
Reloading strongSwan IPsec configuration...

#4 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Restant à faire (heures) changé de 4.0 à 0.0

#5 Mis à jour par Scrum Master il y a plus de 8 ans

Statut changé de En cours à Résolu

#6 Mis à jour par Daniel Dehennin il y a plus de 8 ans

Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE

Demandes

Rapports personnalisés