Posts Tagged ‘ipsec’

Problème Linux : trop de route par défaut

lundi, décembre 8th, 2008

Si vous avez plusieurs routes par défaut, cela viens sans aucun doute que vous avez activez (volontairement ou non) le WIFI plus l’interface filaire de votre portable.
Dans ce cas, vous voyez quelque chose du style :
0.0.0.0 194.57.89.254 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 172.21.7.254 0.0.0.0 UG 0 0 0 eth1

Le processus ipsec ne pourra pas démarrer, car il ne saura pas quel passerelle utiliser pour connecter le serveur VPN.

Dans ce cas, il faut donc fermer une connexion (filaire ou wifi au choix) et relancer ipsec.

IPSEC et taille du certificat serveur

mercredi, mai 7th, 2008

Le protocole IKE d’échange des certificats entre le serveur et le client ne supporte pas, de la part du serveur, une fragmentation des paquets contenant le certificat. Ainsi, avec une clef de certificat de taille 1024 bits, tout se passe bien, mais si l’on en crée une de 4096 bits, le serveur est incapable de négocier avec le client une connexion IPSEC.
Les serveurs VPN sont donc équipés de certificats avec des clefs de 1024 bits.

Configuration serveurs : architecture

lundi, avril 14th, 2008

Le projet VPN repose non pas sur un seul serveur, mais sur des serveurs hébergants des services.
Chacun de ces services peut être colocalisé avec d’autres, mais pour des raisons d’administration et de risques (panne, piratgae) ceux-ci sont répartis.
Le serveur IPSEC a une adresse IP publique atteignable depuis l’extérieur de l’UFC sur le protocole ESP (50) ;
Le serveur d’authentification n’est atteignable que par le serveur IPSEC (classe privée). Il héberge un serveur RADIUS ;
La base de données POSTGRESQL qui contient les droits des utilisateurs est atteignable par le serveur RADIUS.

schéma de principe lors de la connexion d\'un client

VPN : encapsulation des informations

jeudi, avril 10th, 2008

sur le shéma ci-dessous, nous voyons comment IPSEC encapsule les données utilisateurs. Dans le mode transport et le mode tunnel.
encapsulation ipsec mode transport et tunnel

sur ce nouveau shéma, nous voyons les différentes étapes d’encapsulation lorsqu’on utilise L2TP en mode tunnel
ipsec et encapsulation l2tp

enfin sur ce troisième shéma, nous décrivons l’encapsulation d’une connexion l2tp à travers du nat
ipsec avec l2tp et du nat-t