Grandville.net | IPSec / Ipsec-isakmpd-windows

September 21, 2007, at 07:51 PM by Arnaud Grandville -

Changed line 59 from:

Fichier de configuration de /etc/isakmpd/isakmpd.conf

to:

Fichier de configuration de /etc/isakmpd/isakmpd.policy

Added lines 68-75:

Reduction des droits d'accès aux fichiers sensibles

chmod 600 /etc/isakmpd/isakmpd.conf 
chmod 600 /etc/isakmpd/isakmpd.policy

August 06, 2007, at 06:37 PM by 82.66.132.163 -

Changed line 1 from:

(:keywords ipsec, isakdmp, windows, openbsd :)

to:

(:keywords client, ipsec, isakdmp, windows, openbsd :)

July 11, 2007, at 08:19 PM by Arnaud Grandville -

Added lines 1-3:

(:keywords ipsec, isakdmp, windows, openbsd :) (:description Procédures détaillée de mise en oeuvre d'un tunnel IPSEC entre un poste client sous Windows et un serveur openBSD :)

July 11, 2007, at 08:14 PM by Arnaud Grandville -

Added lines 1-3:

http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif

May 08, 2007, at 09:00 AM by Arnaud Grandville -

Changed line 4 from:

Fichier de configuration de /etc/sysctl.conf

to:

Fichier de configuration /etc/sysctl.conf

Changed line 12 from:

Fichier de configuration de /etc/isakmpd/isakmpd.conf

to:

Fichier de configuration /etc/isakmpd/isakmpd.conf

May 08, 2007, at 08:57 AM by Arnaud Grandville -

Changed line 127 from:

isakmpd -d -L -v

to:

isakmpd -d -L -v

May 08, 2007, at 08:56 AM by Arnaud Grandville -

Changed lines 49-50 from:

Transforms= 3DES-MD5

to:

Transforms= 3DES-SHA

May 08, 2007, at 08:55 AM by Arnaud Grandville -

Changed line 57 from:

Licensees: "passphrase:TEST"\\

to:

Licensees: "passphrase:TEST"\\

Changed lines 64-68 from:

Lancer la MMC et ajouter 'La gestion de la stratégie de sécurité IP pour l'ordinateur local.
Création d'une nouvelle stratégie de sécurité IP
http://www.grandville.net/img/mmc-ipsec-1.gif

to:

Lancer la MMC et ajouter le composant enfichable Gestion de la stratégie de sécurité IP pour l'ordinateur local.
Nous pouvons maintenant créer une nouvelle stratégie de sécurité IPSec
http://www.grandville.net/img/mmc-ipsec-1.gif

Added line 75:

Cliquer sur Terminer\\

Changed lines 124-126 from:

to:

Débogage

 
isakmpd -d -L -v

Génére une trace réseau de la communication, cette trace est ensuite analysable avec

tcpdump -avs 1440 -r /var/run/isakmpd.pcap|more

May 08, 2007, at 08:45 AM by Arnaud Grandville -

Changed lines 1-3 from:

exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.
Cet exemple de base sur un secret partagé et interconnecte un client (@192.168.1.1) avec un serveur (@192.168.1.5).

to:

Voici un exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.
Il se base sur un secret partagé et permet l'interconnexion d'un client (@192.168.1.1) avec un serveur (@192.168.1.5) sur un même réseau local.

Changed lines 53-61 from:

to:

Fichier de configuration de /etc/isakmpd/isakmpd.conf

KeyNote-Version: 2
Authorizer: "POLICY"
Licensees: "passphrase:TEST"
Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" && esp_auth_alg != "null" -> "true";

Changed line 78 from:

Cliquer sur 'Ajouter\\

to:

Cliquer sur Ajouter\\

Changed line 100 from:

Dans l'onglet Protocole, le filtre ne s'appliquera qu'au paquets à destination du port 25\\

to:

Dans l'onglet Protocole, le filtre ne s'appliquera qu'aux paquets à destination du port 25\\

Added lines 103-104:

Définissons maintenant la sécurité que nous souhaitons utiliser
cliquer sur Sécurité requise et Modifier\\

Added lines 106-107:

Choisir négocier la sécurité et Modifier

Added lines 109-110:

Le modèle Intégrité et cryptage correspond aux besoins\\

Added lines 112-113:

La clé pré-partagée sera TEST\\

Added lines 115-116:

Reste à attribuer la sécurité pour activer la sécurisation des communications\\

Added lines 118-119:

La trace réseau faite avec wireshark le prouve, les seules informations visibles sont les adresses source et destination des paquets IP\\

May 08, 2007, at 08:34 AM by Arnaud Grandville -

Added lines 1-105:

exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.
Cet exemple de base sur un secret partagé et interconnecte un client (@192.168.1.1) avec un serveur (@192.168.1.5).

Fichier de configuration de /etc/sysctl.conf

net.inet.esp.enable=1
net.inet.ip.forwarding=1
net.inet.ah.enable=1

Fichier de configuration de /etc/isakmpd/isakmpd.conf

[General]
Retransmits= 5
Exchange-max-time= 120
Check-interval= 60

[Phase 1]
Default= Client-phase1

[Phase 2]
Passive-connections= Client-phase2

[Client-phase1]
Authentication= TEST
Configuration= Default-main-mode
ID= Host-gateway
Local-address= 192.168.1.5
Phase= 1
Transport= udp

[Client-phase2]
Phase= 2
Local-ID= Host-gateway
Remote-ID= Host-client

[Host-gateway]
ID-type= IPV4_ADDR
Address= 192.168.1.5

[Host-client]
ID-type= IPV4_ADDR
Address= 192.168.1.1

[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-MD5

Configuration Windows

Lancer la MMC et ajouter 'La gestion de la stratégie de sécurité IP pour l'ordinateur local.
Création d'une nouvelle stratégie de sécurité IP
http://www.grandville.net/img/mmc-ipsec-1.gif

Identition cette nouvelle stratégie
http://www.grandville.net/img/mmc-ipsec-2.gif

Ne pas activer la règle par défaut
http://www.grandville.net/img/mmc-ipsec-3.gif

http://www.grandville.net/img/mmc-ipsec-4.gif

La voila la règle par défaut qu'il ne faut pas activer.
Cliquer sur 'Ajouter
http://www.grandville.net/img/mmc-ipsec-5.gif

Cliquer sur Suivant
http://www.grandville.net/img/mmc-ipsec-6.gif

Ne pas spécifier de tunnel et Suivant
http://www.grandville.net/img/mmc-ipsec-7.gif

Réseau local et Suivant
http://www.grandville.net/img/mmc-ipsec-8.gif

Modifier ou Ajouter le filtre IP SMTP
http://www.grandville.net/img/mmc-ipsec-9.gif

Nous allons spécifier ici les conditions d'activation de la connexion IPSec.
cliquer sur Modifier
http://www.grandville.net/img/mmc-ipsec-10.gif

Définissons les adresses IP source et destination des paquets IPSec
http://www.grandville.net/img/mmc-ipsec-11.gif

Dans l'onglet Protocole, le filtre ne s'appliquera qu'au paquets à destination du port 25
http://www.grandville.net/img/mmc-ipsec-12.gif

http://www.grandville.net/img/mmc-ipsec-13.gif http://www.grandville.net/img/mmc-ipsec-14.gif http://www.grandville.net/img/mmc-ipsec-15.gif http://www.grandville.net/img/mmc-ipsec-16.gif http://www.grandville.net/img/mmc-ipsec-17.gif http://www.grandville.net/img/mmc-ipsec-18.gif

IPSec/Ipsec-isakmpd-windows

IPSec.Ipsec-isakmpd-windows History

Fichier de configuration de /etc/isakmpd/isakmpd.conf

Fichier de configuration de /etc/isakmpd/isakmpd.policy

Reduction des droits d'accès aux fichiers sensibles

Fichier de configuration de /etc/sysctl.conf

Fichier de configuration /etc/sysctl.conf

Fichier de configuration de /etc/isakmpd/isakmpd.conf

Fichier de configuration /etc/isakmpd/isakmpd.conf

Débogage

Fichier de configuration de /etc/isakmpd/isakmpd.conf

Fichier de configuration de /etc/sysctl.conf

Fichier de configuration de /etc/isakmpd/isakmpd.conf

Configuration Windows