[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Re: VPN par FreeSwan



Bien le bonjour,

 En fait, freeswan est une implémentation du protocole IPSec. Il existe
plusieurs protocoles et modes: mode tunnel ou transport et protocole AH
ou ESP. Tout dépend de ce que tu veux avoir. Ici, si j'ai bien compris,
tu travaille entre deux passerelle de sécurité. Selon la RFC2401, les
passerelles de sécurité ne doivent supporter que le mode tunnel (sauf
dans certains cas bien précis...). Il te reste à choisir ce que tu veux
pour tes données: soit une authentification forte avec AH soit une
encryption forte avec ESP. Note que ESP authentifie aussi mais pas de la
même façon. L'authentification avec AH porte sur plus de champs du
paquet (notamment l'adresse source). Il faudrait vérifier dans la RFC
pour être certain...

Tu peux aussi cumuler: authentifier à partir de l'hôte en mode transport
AH puis faire passer ce paquet authentifié à travers un tunnel ESP entre
les deux passerelles. Ceci a le désavantage de ne pas être transparent
au niveau des hôtes puisqu'il faut IPSec installé et configuré sur
chacun d'eux. A noter aussi que la phase de négociation de l'échange se
fera en plusieurs endroits. Une négotiation IKE pour le transfert
transport AH d'hôte à hôte et une autre pour le tunnel entre les
passerelles. 

D'autres configurations possibles sont présentées dans la RFC. Voir si
freeswan les supporte.

Donc ESP est ton amis. ;-)

A+

Ben

On Fri, Jan 04, 2002 at 11:48:35AM, Kennedy van Dam Eric wrote:
> Meilleurs voeux à tous pour cette année qui commence.
> 
> J'essaye de mettre en place un VPN à l'aide de FreeSwan. Le shéma est 
> classique:   
> Local_Network_1 ------ Gateway_1 ------------- Gateway_2 ---- Local_Network_2 
>                                                     untrusted
> 
> J'ai trouvé les explications sur la mise en place d'un tel VPN avec 
> l'utilisation de clé RSA pour l'authentification, mais...
> Dans la doc (Linux France Magazine de Septembre 2001 et sur le site Web), je 
> ne trouve pas la réponse à cette simple question: est-ce que le données sont 
> encryptées dans mon tunnel ? Si ce n'est pas le cas, comment faire en sorte 
> qu'elles le soient ?
> 
> Question existentielle non ?
> -- 
> Eric Kennedy van Dam
> Administrateur Système - Ingénieur Certifié RedHat
> email: eric.kennedy@telecom.fpms.ac.be
> url: http://www.telecom.fpms.ac.be
> 
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
---end quoted text---

-- 

Benoit JOSEPH 
Manex SPRL: benoit.joseph@manex.be
Perso: joker@baby-linux.net
       benoit.joseph@teledisnet.be

Attachment: pgp00884.pgp
Description: PGP signature