Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux_strongswan [2019/05/16 09:14] – [Titre] nekan
+++ linux_strongswan [2021/03/05 14:15] (Version actuelle) – nekan
@@ Ligne 1: / Ligne 1: @@
 ====== Installation d'un VPN site à site avec StrongSwan ======
+<label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2019/05/15 20:20//
 Le recours à un VPN est très utile dans différents cas. Les plus importants sont :
@@ Ligne 7: / Ligne 8: @@
 Sous linux, il existe plusieurs possibilités pour établir un tunnel VPN. Les plus courantes seront OpenVPN, intéressant dans le cadre d'un poste itinérant, et StrongSwan, pour les tunnel IPSec site à site.
-<note important>Ce tutoriel a été réalisé sur deux debian stretch (version 9.4 et 9.7) et en tant que root.</note>
+<callout type="danger" icon="true" title="Droits">Ce tutoriel a été réalisé sur deux debian stretch (version 9.4 et 9.7) et en tant que root. Les adresses IP choisies sont volontairement fausses.</callout>
 ===== Installation =====
   * On commence par mettre à jour notre base de paquets.
-<code bash>apt-get update</code>
+<sxh bash>apt-get update</sxh>
   * On installe le paquet nécessaire.
-<code bash>apt-get install strongswan</code>
+<sxh bash>apt-get install strongswan</sxh>
   * La partie "Installation" est terminée. Cette étape doit être réalisée sur chacune des deux têtes de pont de notre tunnel VPN, à savoir les deux postes.
@@ Ligne 36: / Ligne 37: @@
     * La plage d'adressage à utiliser pour attribuer une adresse IP locale aux postes distants (on peut aussi une adresse unique si une seule machine (la tête de pont donc) doit se connecter).
-<note warning>Attention aux plages d'adressage. Un VPN ne pourra jamais fonctionner correctement si une plage d'adressage (par exemple : 192.168.0.0/24) existe des deux côtés du tunnel. En effet, les routeurs chercherons toujours à utiliser les routes les plus courtes et si une plage correspond aussi bien à du local qu'à du distant, la route locale sera toujours plus courte.</note>
+<callout type="warning" icon="true" title="Adressage IP">Attention aux plages d'adressage. Un VPN ne pourra jamais fonctionner correctement si une plage d'adressage (par exemple : 192.168.0.0/24) existe des deux côtés du tunnel. En effet, les routeurs chercherons toujours à utiliser les routes les plus courtes et si une plage correspond aussi bien à du local qu'à du distant, la route locale sera toujours plus courte.</callout>
 Voici donc mon tableau récapitulatif :
@@ Ligne 60: / Ligne 61: @@
-  * On édite le fichier de configuration.
+  * On commence par établir une carte réseau virtuelle qui correspond au routeur de la plage destinée aux postes distants :
-<code bash>nano /etc/ipsec.conf</code>
+<sxh bash>nano /etc/network/interfaces</sxh>
+  * On ajoute notre interface :
+<sxh bash># "auto" correspond aux montage automatique de l'interface au démarrage de la machine
+# "eth1:0" correspond à l'interface virtuelle 0 (la première) de l'interface physique eth1
+auto eth1:0
+# On déclare l'interface avec une adresse statique
+iface eth1:0 inet static
+        address 10.0.1.1/24</sxh>
+  * On active notre nouvelle interfacve :
+<sxh bash>ifup eth1:0</sxh>
+  * On édite le fichier de configuration d'ipsec :
+<sxh bash>nano /etc/ipsec.conf</sxh>
   * On écris la configuration choisie dans le fichier :
-<code bash>## On commence par la configuration générale du deamon ipsec
+<sxh bash>## On commence par la configuration générale du daemon ipsec
 config setup
     # Cette ligne sert à l'établissement des logs
@@ Ligne 118: / Ligne 130: @@
     # On indique notre souhait de forcer l'encapsulation des données (pour plus de sécurité)
     forceencaps=yes
-    # Cette ligne permet d'indiquer au deamon ipsec, son comportement en cas de perte de connexion
+    # Cette ligne permet d'indiquer au daemon ipsec, son comportement en cas de perte de connexion
     # pull pour attendre l'établissement d'une connexion de la part de l'autre tête de pont
     # push pour établir cette connexion
     modeconfig=push
-</code>
+</sxh>
   * Une fois ce fichier de configuration enregistrée, il faut éditer le fichier qui contiendra le PSK :
-<code bash>nano /etc/ipsec.secrets</code>
+<sxh bash>nano /etc/ipsec.secrets</sxh>
   * Dans ce fichier, on indique notre PSK (J'ai choisi "Azerty123" pour l'exemple) en le précédant de l'adresse IP publique locale puis l'adresse IP publique distante, ce qui aura pour effet d'associer ce PSK à la connexion que nous avons paramétrée.
-<code bash># PSK pour test-vpn
+<sxh bash># PSK pour test-vpn
-.79.1.2 89.90.3.4 : PSK "Azerty123"</code>
+.79.1.2 89.90.3.4 : PSK "Azerty123"</sxh>
+<callout type="danger" icon="true" title="Pare-feu">Il faut obligatoirement ouvrir les port UDP 500 et UDP 4500 sur votre solution de pare-feu et ce, pour chaque tête de pont.</callout>
 Notre première tête de pont est paramétrée. Passons à la seconde.
-==== Titre ====
+==== 2ème tête de pont ====
 Pour la seconde tête de pont, le cheminement de la configuration est similaire, à l'exception du croisement des données au niveau des adresses IP.
+  * On commence par établir une carte réseau virtuelle qui correspond au routeur de la plage destinée aux postes distants :
+<sxh bash>nano /etc/network/interfaces</sxh>
+  * On ajoute notre interface :
+<sxh bash># "auto" correspond aux montage automatique de l'interface au démarrage de la machine
+# "eth1:0" correspond à l'interface virtuelle 0 (la première) de l'interface physique eth1
+auto eth1:0
+# On déclare l'interface avec une adresse statique
+iface eth1:0 inet static
+        address 10.0.2.1/32</sxh>
+  * On active notre nouvelle interfacve :
+<sxh bash>ifup eth1:0</sxh>
+  * On édite le fichier de configuration d'ipsec :
+<sxh bash>nano /etc/ipsec.conf</sxh>
+  * On écris la configuration choisie dans le fichier :
+<sxh bash>## On commence par la configuration générale du daemon ipsec
+config setup
+    # Cette ligne sert à l'établissement des logs
+    charondebug="cfg 2, dmn 2, ike 2, net 2"
+## Ce bloc correspond aux paramètres de notre tunnel VPN. On peut utiliser un autre nom que celui de l'autre tête de pont.
+conn test-vpn
+    # On indique le mode de démarrage du tunnel
+    auto=start
+    # On indique le type de tunnel
+    type=tunnel
+    # On indique la version du protocole IKE
+    keyexchange=ikev2
+    ## Les lignes suivantes sont optionnelles mais utiles. Elles permettent de vérifier si la connexion est toujours active.
+    # C'est le DPD (Dead Peer Detection)
+    closeaction=hold
+    dpdaction=hold
+    dpddelay=30s
+    dpdtimeout=150s
+    ## Les lignes suivantes sont optionnelles mais utiles. Elles permettent de relancer la connexion en cas d'échec.
+    rekey=yes
+    keyingtries=5
+    ## Le bloc "left" correspond à la partie locale de la tête de pont
+    # "left" correspond à l'adresse IP locale du poste si il est derrière un NAT ou son adresse IP publique, le cas échéant
+    left= 192.168.0.1
+    # "leftid" correspond toujours à son adresse IP publique
+    leftid= 89.90.3.4
+    # "leftsubnet" correspond à la plage distribuée pour les postes distants
+    leftsubnet=10.0.2.1/32
+    # La ligne suivante indique la présence d'un pare-feu
+    leftfirewall=yes
+    ## Le bloc "right" correspond à la partie distante de la tête de pont
+    # "right" et "rightid" indique l'adresse IP publique de l'autre tête de pont
+    right= 78.79.1.2
+    rightid= 78.79.1.2
+    # "rightsubnet" correspond à la plage distribuée par le poste distant pour les postes locaux
+    rightsubnet= 10.0.1.0/24
+    ## Ici, on commence les paramétrages de la phase 1 (ISAKMP)
+    # On indique le type d'authentification choisie
+    authby=secret
+    # On indique nos choix de chiffrement et le groupe Diffie-Hellman
+    ike=aes256-sha256-modp2048
+    # On indique la durée de vie de la phase 1
+    ikelifetime=28800s
+    ## Ici, on commence les paramétrage de la phase 2 (IPSEC)
+    # On indique nos choix de chiffrement et le groupe Diffie-Hellman
+    esp=aes256-sha256-modp2048
+    # On indique la durée de vie de la phase 1
+    lifetime=1h
+    # On indique notre souhait de forcer l'encapsulation des données (pour plus de sécurité)
+    forceencaps=yes
+    # Cette ligne permet d'indiquer au daemon ipsec, son comportement en cas de perte de connexion
+    # pull pour attendre l'établissement d'une connexion de la part de l'autre tête de pont
+    # push pour établir cette connexion
+    modeconfig=push
+</sxh>
+<callout type="info" icon="true" title="Configurations inversées">On remarque bien que les parties "left" et "right" ont été inversées entre les deux configurations.</callout>
+  * Une fois ce fichier de configuration enregistrée, il faut éditer le fichier qui contiendra le PSK :
+<sxh bash>nano /etc/ipsec.secrets</sxh>
+  * Dans ce fichier, on indique notre PSK (J'ai choisi "Azerty123" pour l'exemple) en le précédant de l'adresse IP publique locale puis l'adresse IP publique distante, ce qui aura pour effet d'associer ce PSK à la connexion que nous avons paramétrée.
+<sxh bash># PSK pour test-vpn
+.90.3.4 78.79.1.2 : PSK "Azerty123"</sxh>
+<callout type="danger" icon="true" title="Pare-feu">Il faut obligatoirement ouvrir les port UDP 500 et UDP 4500 sur votre solution de pare-feu et ce, pour chaque tête de pont.</callout>
+La configuration des deux têtes de pont est maintenant terminée. Il ne reste plus qu'à lancer la connexion.
+===== Prise en compte des paramétrages =====
+Pour établir la connexion, il faut d'abord prendre en compte les configurations établies. Le plus simple est de redémarrer le daemon ipsec. Sinon il faut recharger la configuration.
+<callout type="warning" icon="true" title="Redémarrage">Attention : si vous avez plusieurs tunnel VPN et que vous redémarrer le daemon, la connexion des autres tunnels sera coupée. La première méthode est donc réservée aux postes ne gérant qu'un seul tunnel.</callout>
+  * Du coup, pour redémarrer le daemon ipsec :
+<sxh bash>/etc/init.d/ipsec restart</sxh>
+  * Sinon, pour recharger la configuration, on commence par s'assurer que la connexion est à l'arrêt :
+<sxh bash>ipsec down test-vpn</sxh>
+  * On recharge la configuration :
+<sxh bash>ipsec reload</sxh>
+  * On recharge tous les secrets et autres paramètres supplémentaires :
+<sxh bash>ipsec rereadall</sxh>
+===== Établissement de la connexion =====
+Il ne nous reste plus qu'à établir la connexion. Pour cela :
+  * On commence par vérifier si notre connexion n'est pas déjà établie (nous avons choisi un mode de démarrage automatique).
+<sxh bash>ipsec statusall</sxh>
+Si la connexion existe déjà, la console nous renvoie des informations de ce genre :
+<sxh bash>Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-9-amd64, x86_64):
+  uptime: 17 hours, since May 15 18:06:34 2019
+  malloc: sbrk 1810432, mmap 0, used 1228912, free 581520
+  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
+  loaded plugins: charon aesni aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
+Listening IP addresses:
+.79.1.2
+.0.1.1
+Connections:
+test-vpn:  78.79.1.2...89.90.3.4  IKEv2, dpddelay=30s
+test-vpn:   local:  [78.79.1.2] uses pre-shared key authentication
+test-vpn:   remote: [89.90.3.4] uses pre-shared key authentication
+test-vpn:   child:  10.0.1.0/24 === 10.0.2.1/32 TUNNEL, dpdaction=hold
+Routed Connections:
+test-vpn{24}:  ROUTED, TUNNEL, reqid 1
+test-vpn{24}:   10.0.1.0/24 === 10.0.2.1/32
+Security Associations (1 up, 0 connecting):
+test-vpn[4]: ESTABLISHED 2 hours ago, 78.79.1.2[78.79.1.2]...89.90.3.4[89.90.3.4]
+test-vpn[4]: IKEv2 SPIs: fa03f2ec5ef41906_i 979ecb282fca7b86_r*, pre-shared key reauthentication in 5 hours
+test-vpn[4]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
+test-vpn{28}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c26dcbcf_i c82d3f3f_o
+test-vpn{28}:  AES_CBC_256/HMAC_SHA2_256_128/MODP_2048, 0 bytes_i, 0 bytes_o, rekeying in 34 minutes
+test-vpn{28}:   10.0.1.0/24 === 10.0.2.1/32</sxh>
+Si ce n'est pas le cas, il suffit d'établir la connexion grâce à la commande :
+<sxh bash>ipsec up test-vpn</sxh>
+Nous aurons alors droit à un message de ce type :
+<sxh bash>initiating IKE_SA test-vpn[5] to 89.90.3.4
+generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
+sending packet: from 78.79.1.2[500] to 89.90.3.4[500] (1172 bytes)
+received packet: from 89.90.3.4[500] to 78.79.1.2[500] (464 bytes)
+parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
+remote host is behind NAT
+sending cert request for "CN=VPN certificate CA"
+authentication of '78.79.1.2' (myself) with pre-shared key
+establishing CHILD_SA test-vpn
+generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
+sending packet: from 78.79.1.2[4500] to 89.90.3.4[4500] (416 bytes)
+received packet: from 89.90.3.4[4500] to 78.79.1.2[4500] (272 bytes)
+parsed IKE_AUTH response 1 [ IDr AUTH SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
+authentication of '89.90.3.4' with pre-shared key successful
+IKE_SA test-vpn[5] established between 78.79.1.2[78.79.1.2]...89.90.3.4[89.90.3.4]
+scheduling reauthentication in 27990s
+maximum IKE_SA lifetime 28530s
+connection 'test-vpn' established successfully</sxh>
+<callout type="success" icon="true" title="Installation">Félicitation, votre tunnel est monté!</callout>
+===== Résolution des pannes =====
+<panel type="danger" title="Problème">
+Si le tunnel ne veux pas se monter.
+</panel>
+<panel type="info" title="Vérification">
+Il est intéressant d'observer les logs de la tête de pont distante lors de l'initialisation de la connexion :
+<sxh bash>tail -f /var/log/kern.log</sxh>
+Une autre bonne source d'information est d'observer sur le pare-feu, le flux de paquets sur les ports UDP 500. Par exemple sur un pare-feu de type IPTables sous debian :
+<sxh bash>tcpdump -i any host 78.79.1.2 and port 500</sxh>
+</panel>
+~~DISCUSSION~~