Bien le bonjour, En fait, freeswan est une implémentation du protocole IPSec. Il existe plusieurs protocoles et modes: mode tunnel ou transport et protocole AH ou ESP. Tout dépend de ce que tu veux avoir. Ici, si j'ai bien compris, tu travaille entre deux passerelle de sécurité. Selon la RFC2401, les passerelles de sécurité ne doivent supporter que le mode tunnel (sauf dans certains cas bien précis...). Il te reste à choisir ce que tu veux pour tes données: soit une authentification forte avec AH soit une encryption forte avec ESP. Note que ESP authentifie aussi mais pas de la même façon. L'authentification avec AH porte sur plus de champs du paquet (notamment l'adresse source). Il faudrait vérifier dans la RFC pour être certain... Tu peux aussi cumuler: authentifier à partir de l'hôte en mode transport AH puis faire passer ce paquet authentifié à travers un tunnel ESP entre les deux passerelles. Ceci a le désavantage de ne pas être transparent au niveau des hôtes puisqu'il faut IPSec installé et configuré sur chacun d'eux. A noter aussi que la phase de négociation de l'échange se fera en plusieurs endroits. Une négotiation IKE pour le transfert transport AH d'hôte à hôte et une autre pour le tunnel entre les passerelles. D'autres configurations possibles sont présentées dans la RFC. Voir si freeswan les supporte. Donc ESP est ton amis. ;-) A+ Ben On Fri, Jan 04, 2002 at 11:48:35AM, Kennedy van Dam Eric wrote: > Meilleurs voeux à tous pour cette année qui commence. > > J'essaye de mettre en place un VPN à l'aide de FreeSwan. Le shéma est > classique: > Local_Network_1 ------ Gateway_1 ------------- Gateway_2 ---- Local_Network_2 > untrusted > > J'ai trouvé les explications sur la mise en place d'un tel VPN avec > l'utilisation de clé RSA pour l'authentification, mais... > Dans la doc (Linux France Magazine de Septembre 2001 et sur le site Web), je > ne trouve pas la réponse à cette simple question: est-ce que le données sont > encryptées dans mon tunnel ? Si ce n'est pas le cas, comment faire en sorte > qu'elles le soient ? > > Question existentielle non ? > -- > Eric Kennedy van Dam > Administrateur Système - Ingénieur Certifié RedHat > email: eric.kennedy@telecom.fpms.ac.be > url: http://www.telecom.fpms.ac.be > > [ Soyez précis dans vos sujets svp afin de déterminer directement ] > [ le type de demande... ] > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ] > [ Archives de la mailing list: http://archives.unixtech.be/linux/ ] > [ http://unixtech.be Contact: listmaster@unixtech.be ] ---end quoted text--- -- Benoit JOSEPH Manex SPRL: benoit.joseph@manex.be Perso: joker@baby-linux.net benoit.joseph@teledisnet.be
Attachment:
pgp00884.pgp
Description: PGP signature