|
OpenSSL VPN Serveurs de messagerie |
IPSec/Ipsec-isakmpd-windowsIPSec.Ipsec-isakmpd-windows HistoryHide minor edits - Show changes to output Changed line 59 from:
!!!Fichier de configuration de /etc/isakmpd/isakmpd. to:
!!!Fichier de configuration de /etc/isakmpd/isakmpd.policy Added lines 68-75:
!!!Reduction des droits d'accès aux fichiers sensibles >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< chmod 600 /etc/isakmpd/isakmpd.conf \\ chmod 600 /etc/isakmpd/isakmpd.policy >><< Changed line 1 from:
(:keywords ipsec, isakdmp, windows, openbsd :) to:
(:keywords client, ipsec, isakdmp, windows, openbsd :) Added lines 1-3:
(:keywords ipsec, isakdmp, windows, openbsd :) (:description Procédures détaillée de mise en oeuvre d'un tunnel IPSEC entre un poste client sous Windows et un serveur openBSD :) Added lines 1-3:
%right% [[http://www.google.com/translate?u=http://www.grandville.net/pmwiki.php/{$FullName}&langpair=fr%7Cen&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/GB.gif]] [[http://www.google.com/translate?u=http://www.grandville.net/pmwiki.php/{$FullName}&langpair=fr%7Cde&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/D.gif]] Changed line 4 from:
!!!Fichier de configuration to:
!!!Fichier de configuration /etc/sysctl.conf Changed line 12 from:
!!!Fichier de configuration to:
!!!Fichier de configuration /etc/isakmpd/isakmpd.conf Changed lines 49-50 from:
Transforms= 3DES- to:
Transforms= 3DES-SHA\\ Changed line 57 from:
Licensees: "passphrase:TEST"\\ to:
#Licensees: "passphrase:TEST"\\ Changed lines 64-68 from:
Lancer la MMC et ajouter Création d'une nouvelle stratégie de sécurité IP http://www.grandville.net/img/mmc-ipsec-1.gif"MMC - to:
Lancer la MMC et ajouter le composant enfichable ''Gestion de la stratégie de sécurité IP'' pour l'ordinateur local.\\ Nous pouvons maintenant créer une nouvelle stratégie de sécurité IPSec\\ http://www.grandville.net/img/mmc-ipsec-1.gif"MMC - Gestion de la stratégie de sécurité IP pour l'ordinateur local" Added line 75:
Cliquer sur ''Terminer''\\ Changed lines 124-126 from:
to:
!!!Débogage >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< # isakmpd -d -L -v >><< Génére une trace réseau de la communication, cette trace est ensuite analysable avec >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< tcpdump -avs 1440 -r /var/run/isakmpd.pcap|more >><< Changed lines 1-3 from:
to:
Voici un exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.\\ Il se base sur un secret partagé et permet l'interconnexion d'un client (@192.168.1.1) avec un serveur (@192.168.1.5) sur un même réseau local.\\ Changed lines 53-61 from:
to:
!!!Fichier de configuration de /etc/isakmpd/isakmpd.conf >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< KeyNote-Version: 2\\ Authorizer: "POLICY"\\ Licensees: "passphrase:TEST"\\ Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" && esp_auth_alg != "null" -> "true"; >><< Changed line 78 from:
Cliquer sur to:
Cliquer sur ''Ajouter''\\ Changed line 100 from:
Dans l'onglet ''Protocole'', le filtre ne s'appliquera qu' to:
Dans l'onglet ''Protocole'', le filtre ne s'appliquera qu'aux paquets à destination du port 25\\ Added lines 103-104:
Définissons maintenant la sécurité que nous souhaitons utiliser\\ cliquer sur ''Sécurité requise'' et ''Modifier''\\ Added lines 106-107:
Choisir ''négocier la sécurité'' et ''Modifier'' Added lines 109-110:
Le modèle ''Intégrité et cryptage'' correspond aux besoins\\ Added lines 112-113:
La clé pré-partagée sera ''TEST''\\ Added lines 115-116:
Reste à ''attribuer la sécurité'' pour activer la sécurisation des communications\\ Added lines 118-119:
La trace réseau faite avec [[http://www.wireshark.org|wireshark]] le prouve, les seules informations visibles sont les adresses source et destination des paquets IP\\ Added lines 1-105:
exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.\\ Cet exemple de base sur un secret partagé et interconnecte un client (@192.168.1.1) avec un serveur (@192.168.1.5).\\ !!!Fichier de configuration de /etc/sysctl.conf >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< net.inet.esp.enable=1\\ net.inet.ip.forwarding=1\\ net.inet.ah.enable=1\\ >><< !!!Fichier de configuration de /etc/isakmpd/isakmpd.conf >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< [General]\\ Retransmits= 5\\ Exchange-max-time= 120\\ Check-interval= 60\\ \\ [Phase 1]\\ Default= Client-phase1\\ \\ [Phase 2]\\ Passive-connections= Client-phase2\\ \\ [Client-phase1]\\ Authentication= TEST\\ Configuration= Default-main-mode\\ ID= Host-gateway\\ Local-address= 192.168.1.5\\ Phase= 1\\ Transport= udp\\ \\ [Client-phase2]\\ Phase= 2\\ Local-ID= Host-gateway\\ Remote-ID= Host-client\\ \\ [Host-gateway]\\ ID-type= IPV4_ADDR\\ Address= 192.168.1.5\\ \\ [Host-client]\\ ID-type= IPV4_ADDR\\ Address= 192.168.1.1\\ \\ [Default-main-mode]\\ DOI= IPSEC\\ EXCHANGE_TYPE= ID_PROT\\ Transforms= 3DES-MD5\\ >><< !!!Configuration Windows Lancer la MMC et ajouter '''La gestion de la stratégie de sécurité IP pour l'ordinateur local''.\\ Création d'une nouvelle stratégie de sécurité IP\\ http://www.grandville.net/img/mmc-ipsec-1.gif"MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local" Identition cette nouvelle stratégie\\ http://www.grandville.net/img/mmc-ipsec-2.gif"MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local" Ne pas activer la règle par défaut\\ http://www.grandville.net/img/mmc-ipsec-3.gif"MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local" http://www.grandville.net/img/mmc-ipsec-4.gif"MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local" La voila la règle par défaut qu'il ne faut pas activer.\\ Cliquer sur '''Ajouter''\\ http://www.grandville.net/img/mmc-ipsec-5.gif"MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local" Cliquer sur ''Suivant''\\ http://www.grandville.net/img/mmc-ipsec-6.gif Ne pas spécifier de tunnel et ''Suivant''\\ http://www.grandville.net/img/mmc-ipsec-7.gif ''Réseau local'' et ''Suivant''\\ http://www.grandville.net/img/mmc-ipsec-8.gif Modifier ou Ajouter le filtre IP ''SMTP''\\ http://www.grandville.net/img/mmc-ipsec-9.gif Nous allons spécifier ici les conditions d'activation de la connexion IPSec.\\ cliquer sur ''Modifier''\\ http://www.grandville.net/img/mmc-ipsec-10.gif Définissons les adresses IP source et destination des paquets IPSec\\ http://www.grandville.net/img/mmc-ipsec-11.gif Dans l'onglet ''Protocole'', le filtre ne s'appliquera qu'au paquets à destination du port 25\\ http://www.grandville.net/img/mmc-ipsec-12.gif http://www.grandville.net/img/mmc-ipsec-13.gif http://www.grandville.net/img/mmc-ipsec-14.gif http://www.grandville.net/img/mmc-ipsec-15.gif http://www.grandville.net/img/mmc-ipsec-16.gif http://www.grandville.net/img/mmc-ipsec-17.gif http://www.grandville.net/img/mmc-ipsec-18.gif |