Serveur VPN : Racoon Debian GNU/Linux



Documents pareils
Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

Méthode 1 : Mise en place IPSEC

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

Serveur Subversion Debian GNU/Linux

IPsec: Présentation et Configuration

Serveur Web Apache - SSL - PHP Debian GNU/Linux

Passerelle VPN : OpenVPN Debian GNU/Linux

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Présentation sur les VPN

Rapport du Projet IPv6. Astruc Benoit, Silohian Christophe

Installation d OpenVPN

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

II- Préparation du serveur et installation d OpenVpn :

Mise en place d'un Réseau Privé Virtuel

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

SSL ET IPSEC. Licence Pro ATC Amel Guetat

VPN. Réseau privé virtuel Usages :

Déploiement d OCS 1.02 RC2 sous Debian Etch 64

Réaliser un inventaire Documentation utilisateur

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

M2-RADIS Rezo TP13 : VPN

Accès aux ressources informatiques de l ENSEEIHT à distance

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

WINDOWS Remote Desktop & Application publishing facile!

Utilisation des ressources informatiques de l N7 à distance

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Pare-feu VPN sans fil N Cisco RV120W

Présentation du logiciel Free-EOS Server

Documentation technique OpenVPN

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Appliances Secure Remote Access

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Devoir Surveillé de Sécurité des Réseaux

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

MISE EN PLACE DU FIREWALL SHOREWALL

Sécurité des réseaux sans fil

La citadelle électronique séminaire du 14 mars 2002

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Mettre en place un accès sécurisé à travers Internet

Arkoon Security Appliances Fast 360

Référentiel ASUR Prévisionnel

Pare-feu VPN sans fil N Cisco RV110W

Manuel du Desktop Sharing

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Autorité de certification

Mise en route d'un Routeur/Pare-Feu

1 PfSense 1. Qu est-ce que c est

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

Manuel du client de bureau distant de KDE

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Personnes ressources Tice. Académie de Rouen

Administration de Réseaux d Entreprises

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Serveur FTP. 20 décembre. Windows Server 2008R2

Cradlepoint AER 2100 Spécifications

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique

Routeur VPN Wireless-N Cisco RV215W

Garantir la sécurité de vos solutions de BI mobile

Sécurité WebSphere MQ V 5.3

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Cisco RV220W Network Security Firewall

LAB : Schéma. Compagnie C / /24 NETASQ

Serveur de messagerie sous Debian 5.0

Protection des données et des mobiles de l'entreprise

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Introduction au Wi-Fi sécurisé

International Master of Science System and Networks Architect

V.P.N. sous LINUX. Page 1

DHCPD v3 Installation et configuration

Le protocole RADIUS Remote Authentication Dial-In User Service

INSTALLATION D'OPENVPN:

Situation professionnelle n X

ClariLog - Asset View Suite

Attribution dynamique des adresses IP

Projet Système & Réseau

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Site Web : Contact : support@thegreenbow.com

Réseaux Privés Virtuels

Procédure d'installation

Sauvegardes par Internet avec Rsync

Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5

Les infrastructures de clés publiques (PKI, IGC, ICP)

Gestion des identités Christian-Pierre Belin

Les systèmes pare-feu (firewall)

Figure 1a. Réseau intranet avec pare feu et NAT.

Spécialiste Systèmes et Réseaux

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

INTRUSION SUR INTERNET

1. Présentation de WPA et 802.1X

Nouveautés VMware vsphere 5.0 et retour d expérience d un upg

Transcription:

Serveur VPN : Racoon Debian GNU/Linux Matthieu Vogelweith 13 janvier 2009

Résumé... Racoon IPSec L objectif de ce document est de détailler la mise en place d un VPN IPsec avec authentification LDAP (via FreeRadius) entre 2 passerelles puis entre un "roadwarrior" et une passerelle. Ce document a été rédigé en LaTeX en utilisant l excellent Vim sous Debian GNU/Linux. Il est disponible aux formats XHTML et PDF. Les sources LaTeX sont disponibles ici : L A T E X 1

Licence Copyright c 2009 Matthieu VOGELWEITH <matthieu@vogelweith.com>. Vous avez le droit de copier, distribuer et/ou modifier ce document selon les termes de la GNU Free Documentation License, Version 1.3 ou ultérieure publiée par la Free Software Foundation ; avec aucune section inaltérable, aucun texte de première page de couverture, et aucun texte de dernière page de couverture. Une copie de la licence est disponible dans la page GNU Free Documentation License. 2

Table des matières Table des matières 3 1 Introduction 4 2 Préparation de la passerelle 5 2.1 Installation des paquets................................ 5 2.2 Certificats SSL..................................... 5 2.3 Configuration de base................................. 5 2.4 Configuration de Shorewall............................... 6 3 Tunnel de passerelle à passerelle 7 3.1 Principe......................................... 7 4 Configuration en mode "RoadWarrior" 8 4.1 Principe......................................... 8 4.2 Configuration de la passerelle............................. 8 5 Clients "RoadWarrior" Linux 10 5.1 Installation des paquets................................ 10 5.2 Configuration de Racoon................................ 10 5.3 Configuration de Shorewall............................... 11 5.4 Gestion du tunnel.................................... 11 6 Clients "RoadWarrior" Mac OS X 12 7 Clients "RoadWarrior" Windows 13 8 Références 14 3

Chapitre 1 Introduction - Permet d établir un tunnel inter-site, éventuellement avec un concentrateur matériel (Cisco PIX, Netopia,...) - Permet de donner un accès complet aux roadwarriors 4

Chapitre 2 Préparation de la passerelle 2.1 Installation des paquets # aptitude install racoon ipsec - tools 2.2 Certificats SSL Création de l autorité de certification # openssl genrsa -des3 -out / etc/ ssl/ private/ ca. key 2048 # openssl req -new -x509 -days 3650 -key / etc/ ssl/ private/ ca. key -out / etc/ ssl/ certs/ ca. pem Création de la demande de signature : # openssl genrsa -out / etc/ ssl/ private/ vpn. key 2048 # openssl req -new -key / etc/ ssl/ private/ vpn. key -out / etc/ ssl/ certs/ vpn. csr Signature du certificat : # openssl x509 -req -days 3650 - CAcreateserial \ -in / etc/ ssl/ certs/ vpn. csr -out / etc/ ssl/ certs/ vpn. pem \ -CA /etc/ssl/certs/ca.pem -CAkey /etc/ssl/private/ca.key \ 2.3 Configuration de base - distribution des routes - distribution des DNS 5

2.4 Configuration de Shorewall Dans /etc/shorewall/zones : net lan vpn ipv4 ipv4 ipsec Dans /etc/shorewall/tunnels : ipsec net 0.0.0.0/0 vpn ipsecnat net 0.0.0.0/0 vpn Dans /etc/shorewall/hosts : vpn ppp0 :0.0.0.0/0 Dans /etc/shorewall/policy : vpn lan ACCEPT 6

Chapitre 3 Tunnel de passerelle à passerelle 3.1 Principe - schéma 7

Chapitre 4 Configuration en mode "RoadWarrior" 4.1 Principe - l adresse du clients n est pas déterminable à l avance - schéma 4.2 Configuration de la passerelle Dans /etc/racoon/racoon.conf : listen { adminsock disabled ; } remote anonymous { exchange_mode aggressive ; certificate_type x509 "/ etc/ ssl/ certs/ vpn. pem" "/ etc/ ssl/ private/ vpn. key "; ca_type x509 "/ etc/ ssl/ certs/ ca. pem "; my_identifier asn1dn; proposal_check claim; generate_policy on; nat_traversal on; dpd_delay 20; ike_frag on; proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method hybrid_rsa_server ; dh_group 2; } } mode_cfg { network4 192.168.100.1; # 192.168.100.1 est la premiere adresse allouee aux clients VPN pool_size 20; netmask4 255.255.255.0; auth_source system; dns4 192.168.200.254; # 192.168.200.254 est l adresse du DNS dans le reseau local distant banner "/ etc/ racoon/ motd "; pfs_group 2; } sainfo anonymous { 8

} pfs_group 2; lifetime time 1 hour; encryption_algorithm aes; authentication_algorithm hmac_sha1 ; compression_algorithm deflate; 9

Chapitre 5 Clients "RoadWarrior" Linux 5.1 Installation des paquets Les clients Linux utilisent également Racoon pour établir le tunnel avec le concentrateur VPN. # aptitude install racoon ipsec - tools # cp / usr/ share/ doc/ racoon/ examples / samples/ roadwarrior / client/ phase1 -*. sh / etc/ racoon/ 5.2 Configuration de Racoon Dans /etc/racoon/racoon.conf : path pre_shared_key "/ etc/ racoon/ psk. txt "; listen { adminsock "/ var/ run/ racoon/ racoon. sock" " root" " operator " 0660; } # 1.2.3.4 est l adresse publique de la passerelle VPN remote 1.2.3.4 { exchange_mode aggressive ; ca_type x509 "/ etc/ ssl/ certs/ vpn. pem "; proposal_check obey; nat_traversal on; ike_frag on; mode_cfg on; script "/ etc/ racoon/ phase1 - up. sh" phase1_up ; script "/ etc/ racoon/ phase1 - down. sh" phase1_down ; verify_cert off; passive off; } proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method hybrid_rsa_client ; dh_group 2; } sainfo anonymous { pfs_group 2; 10

} lifetime time 1 hour; encryption_algorithm aes; authentication_algorithm hmac_sha1 ; compression_algorithm deflate ; 5.3 Configuration de Shorewall Dans /etc/shorewall/zones : net wlan vpn ipv4 ipv4 ipsec Dans /etc/shorewall/tunnels : ipsec net 0.0.0.0/0 vpn ipsecnat net 0.0.0.0/0 vpn ipsec wlan 0.0.0.0/0 vpn ipsecnat wlan 0.0.0.0/0 vpn Dans /etc/shorewall/hosts : vpn eth0 :0.0.0.0/0 vpn wlan0 :0.0.0.0/0 5.4 Gestion du tunnel - établissement du tunnel : # racoonctl vc -u <mon_login > 1.2.3.4 - fermeture du tunnel : # racoonctl vd 1.2.3.4 11

Chapitre 6 Clients "RoadWarrior" Mac OS X Sous MacOS X, c est également Racoon qui est utiliser pour établir les tunnels IPSec. Il existe ensuite plusieurs interfaces graphiques permettant de configurer Racoon le plus simplement possible. Sous MacOS 10.4, l interface native fournie par Apple est assez simpliste et ne permet pas d établir le tunnel IPSec dans tous les cas de figure. Il y a donc deux solutions pour configurer correctement Racoon : Configuration manuelle comme sous linux. Utilisation d une autre interface à Racoon comme IPSecuritas [1]. Avec MacOS 10.5 le support des VPN IPSec est beaucoup plus complet et il est possible de tout faire avec le client natif. http ://www.jacco2.dds.nl/networking/openswan-macosx.html#certs 12

Chapitre 7 Clients "RoadWarrior" Windows Le client natif de windows est assez limité mais il existe un très bon client IPSec gratuit développé par Shrew Soft [2]. 13

Chapitre 8 Références [1] Client ipsec pour macos x : Ipsecuritas. www.lobotomo.com/products/ipsecuritas/. [2] Client ipsec pour windows : Shrewsoft vpn client. shrew.net/?page=download&prod=vpn. [3] Site officiel du projet debian. www.debian.org. [4] Site officiel des ipsec-tools. ipsec-tools.sourceforge.net. 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back