Re: Re: Mise en place VPN IPSEC entre 2 OpenBSD 4.6

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Re: Re: Mise en place VPN IPSEC entre 2 OpenBSD 4.6

Mmm... El Hadi
Bonjour,

Etant confronté à la meme question que
http://ns1.openbsd-france.org/ml/archives/msg04570.html ,

Pourquoi ajouter : route add remoteInternalNet remoteGW ?

Soit :

netA--------------(em0_a)gwA(em1_a)-----------------------------(em1_b)gwB(em0_b)--------------netB



Avant qu'un paquet soit passé (crypté) par le tunnel gwA-gwB, une étape de
routage est necessaire.Si y a pas de route, ou une mauvaise route est trouvé le
paquet est jeté.

Y a deux facon de spécifier une bonne route vers le internal network ciblé (netB
ou netA)

1. sur gwA : route vers netB est gwB : route add -net netB gwB
    sur gwB : route vers netA est gwA : route add -net netA gwA

2. sur gwA ; pour atteindre netB utiliser soit (a) l'interface interne em0_a
(son ip) ou (b) une autre interface virtuel crée  pour l'occasion, qui a une ip

dans le réseau interne netA, de meme pour du coté gwB. Les commandes
sur gwA : route add -net netB em0_a_ip
sur gwB : route add -net netA em0_b_ip

Grace à ces routes le paquet est redirigé vers le tunnel, crypté et enfin  
transféré.

La question est de savoir si ces routes doivent etre créees à la main ou créees
automatiquement lors de l'établissement du tunnel. (pour ma part, pour
l'instant, je les ajoute à la main).

Pour tester notre vpn sans ajouter ces routes, se placer sur la gwA et executer
:


ping -I em0_a_ip ip_netB (ou; ping -I em0_a_ip em0_b_ip)

liens:
[1]https://kerneltrap.org/node/6717
[2]http://www.openbsd.org/cgi-bin/man.cgi?query=vpn&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html


route, isakmpd, ipsec, vpn





________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Mise en place VPN IPSEC entre 2 OpenBSD 4.6

Alexis de BRUYN
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour Mmm... El Hadi,

> La question est de savoir si ces routes doivent etre créees à la main ou créees
> automatiquement lors de l'établissement du tunnel. (pour ma part, pour
> l'instant, je les ajoute à la main).

Les routes sont ajoutées automatiquement à la création de tes tunnels
VPN IPsec (avec la commande `ipsecctl -vvf /etc/ipsec.conf, par
exemple). Tu peux vérifier tes routes "IPsec" avec :
{{{
route show -encap
}}}

Si tes routes ne sont pas établies par défaut, tu as probablement une
erreur dans tes fichiers de configuration `/etc/ipsec.conf`.

Peux-tu indiquer ta topologie réseau, le contenu de tes fichiers
`/etc/ipsec.conf` de tes deux passerelles, les traces des commandes :
{{{
route show
isakmpd -K -d -v
ipsecctl -vvf /etc/ipsec.conf
ipsecctl -sa
}}}

À bientôt,

- --
Alexis de BRUYN
email : [hidden email]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkyB+34ACgkQPdN4bPTxnXdvdACgnhC5mDCX6vZQXBhvyQVcOml/
KnMAoKSR88jDZe24suNvyIu2XJ/1z2lD
=DYLu
-----END PGP SIGNATURE-----

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re : [obsdfr-misc] Mise en place VPN IPSEC entre 2 OpenBSD 4.6

Mmm... El Hadi
Le problème ce ne sont pas les route ipsec (pour mapart elle sont OK) c'est
l'étape avant, càd l'étape de spécification de quelle IP SOURCE utiliser pour
atteindre le INTERNAL_NET qu'on veut atteindre via le tunnel.

si, sur gwA, on fait simplement ping ip_netB, ca ne marchera pas ; au fait dans
ce cas la gwA va utiliser sa passerelle par defaut donc (fort possible) son
external interface comme ip_source. et le ping ne passe pas.

Mais dès qu'on spécifie l'ip source avec

ping -I em0_a_ip ip_netB
sachant que "route show -encap" affiche bien les route d'encapsulation (du
tunnel), le ping passe correctement.
dans le manuel [1] insiste à spécifier l'ip source pour tester le ping comme
suit :
"
 On NETWORK_A:           $ ping -I 10.0.50.1 10.0.99.1
"

, je pense donc que pour eviter de spécifier à chaque fois l'ip source, et pour
que les paquet soient redirigé vers le tunnel (route -encap) il faut ajouter  au
niveau des gwA et gwB :

sur gwA : route add -net netB em0_a_ip
sur gwB : route add -net netA em0_b_ip
a part si ce manuel n'est pas à jour, et que la spécification de cette IP_SOURCE
se fait automatiquement dans les dernière version de openbsd.

[1]http://www.openbsd.org/cgi-bin/man.cgi?query=vpn&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html


Merci.
Hadi.



----- Message d'origine ----
De : Alexis de BRUYN <[hidden email]>
À : [hidden email]
Envoyé le : Sam 4 septembre 2010, 9h 55min 42s
Objet : Re: [obsdfr-misc] Mise en place VPN IPSEC entre 2 OpenBSD 4.6

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour Mmm... El Hadi,

> La question est de savoir si ces routes doivent etre créees à la main ou créees
>
> automatiquement lors de l'établissement du tunnel. (pour ma part, pour
> l'instant, je les ajoute à la main).

Les routes sont ajoutées automatiquement à la création de tes tunnels
VPN IPsec (avec la commande `ipsecctl -vvf /etc/ipsec.conf, par
exemple). Tu peux vérifier tes routes "IPsec" avec :
{{{
route show -encap
}}}

Si tes routes ne sont pas établies par défaut, tu as probablement une
erreur dans tes fichiers de configuration `/etc/ipsec.conf`.

Peux-tu indiquer ta topologie réseau, le contenu de tes fichiers
`/etc/ipsec.conf` de tes deux passerelles, les traces des commandes :
{{{
route show
isakmpd -K -d -v
ipsecctl -vvf /etc/ipsec.conf
ipsecctl -sa
}}}

À bientôt,

- --
Alexis de BRUYN
email : [hidden email]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkyB+34ACgkQPdN4bPTxnXdvdACgnhC5mDCX6vZQXBhvyQVcOml/
KnMAoKSR88jDZe24suNvyIu2XJ/1z2lD
=DYLu
-----END PGP SIGNATURE-----

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php




________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php