# [(open) VPN] Créer un tunnel IPSec entre deux LAN via le net

## moon06

Bonsoir tout le monde  :Smile: 

Je prévois d'installer un VPN entre mon réseau à la maison, et celui de mon bureau ; pour simplifier l'explication, voici un "schéma" :

[ réseau local 192.168.1.0 ] <=> [ passerelle sous Gentoo ] <=> [ ip publique Freebox 1.2.3.4 ] <=> [ internet ] <=> [ ip publique Freebox 5.6.7.8 ] <=> [ passerelle sous Gentoo ] <=> [ réseau local 192.168.2.0 ]

Ce que je souhaite est simple : créer un tunnel (IPSec ?) permanent entre les deux réseaux locaux, sachant qu'il y a une passerelle Gentoo qui fait office de routeur de chaque côté.

Selon ma humble expérience en la matière, OpenVPN semble pouvoir faire l'affaire ; mais quel guide suivre : celui-ci ?

Sinon, y a-t-il un soft mieux qu'OpenVPN ?

Merci  :Smile: 

----------

## SlashRhumSlashNeisson

Salut,

Tu peux aussi jeter un oeil sur openssh.

http://www.openssh.com/fr/index.html

Explications dans la rubrique documentations & scripts

https://forums.gentoo.org/viewtopic-t-281671-highlight-openssh.html

Perso j'utilise openssh   :Wink: 

----------

## kwenspc

 *moon06 wrote:*   

> 
> 
> Sinon, y a-t-il un soft mieux qu'OpenVPN ?
> 
> 

 

Dans ce domaine du VPN non, OpenVPN est le meilleur. Pour IPSec sur IPv4 tu as StongSwan et OpenSwan...quelque peu galère à mettre en place. Sinon tu as l'IPv6 qui supporte nativement l'IPSec.

[edit] +1 pour SlashRhumSlashNeisson, pour un tunnel simple et rapide à mettre en place ssh vaut le coup en effet [/edit]

----------

## GentooUser@Clubic

Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6   :Laughing: 

----------

## moon06

C'est clair que ça vaudrait le coup de tester ... mais je suis bien en IPv4 pour le moment même si je défends avec ferveur l'IPv6 depuis des années  :Very Happy: 

----------

## geekounet

 *GentooUser@Clubic wrote:*   

> Bah si ses deux freebox sont en zone dégroupé ça peut être sympa de faire mumuse avec l'IPSec natif en IPv6  

 

Dégroupé ou non, t'as l'ipv6 dans tous les cas, suffit d'un tunnel, ce que fait la freebox d'ailleurs... la différence c'est qu'en non-dégroupé tu dois le faire par toi même  :Razz: 

----------

## GentooUser@Clubic

Mais si tu as besoin d'une large bande passante, passer par un Tunnel Broker n'est pas l'idéal sans parler du ping.

Si tu parle du 6to4 via le 192.88.99.1 de Free y'a pas de route vers la moitié de sites que j'ai essayer de visiter via ce tunnel :/

----------

## loopx

Salut, 

J'ai un VPN (openVPN) qui respecte ton schéma. Je n'utilise pas IPsec (je sais meme pas ce que c'est et donc à quoi ca sert ...) mais je peux te dire qu'un du routage via tes passerelle Gentoo sont un bon choix. Tu pourrais y placer un protocole de routage dynamique (pour l'ajout/suppression de route sur tes passerelle vers les réseaux virtuel externe).

J'utilise donc ceci:

- OpenVPN

- quagga (pour le routage dynamique OSPF (avec une clé pour ne pas que quelqu'un pirate le routage dynamique)

- ip_forward = 1

- iptables (accepter le forward)

tu as le choix aussi ... soit tu met du nat (pas bien), soit tu n'en met pas (bien)   :Rolling Eyes: 

Le tout fonctionne très bien depuis 2 ans ... et pourtant, ce "vpn" passe par minimum 30 routeurs avant de trouver sa destination   :Wink: 

----------

## tr4x

Bonsoir,

J'avais il y a un long moment fait l'essai d'un tunnel VPN sur IPSec.

J'avais utilisé l'implémentation IPSec intégrée au noyau (Origine : KAME)

Tu dois en effet recompiler les noyaux des passerelles pour prendre en charge IPSec (sockets PK_Key, API des cryptages AH,ESP, etc ...)

Ensuite tu installes simplement ipsec-tools.

Il y a un fichier de configuration à pondre, dans lequel figurent deux associations de sécurité et la politique de sécurité.

J'ai préféré utilisé les clés manuelles, vu que ton vpn restera statique...pourquoi pas.

Une fois le fichier de conf fait, tu dois inverser les deux paramètres (-P in et -P out) dans la politique de sécurité. Tu l'envoies à ton second routeur (via SSH ...  ou encore SFTP ...).

un chmod +x dessus pour les rendre exécutables ... 

Et au niveau filtrage, on filtre sur les hooks INPUT et OUTPUT, le protocole 50 (ESP), sans état de paquets. (peut etre le 51 (AH) a vérifier)

Sur le Forward , avec les adresses Locales des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 (et dans les deux sens, ce que tu envoies et ce que tu recois)

Au niveau routage, ta passerelle sait que derriere le tunnel se trouve le réseau de ton correspondant, donc pas besoin de modifier la table de routage.

Au niveau client, si ta passerelle est route par défaut, ca suffit.

La seule contrainte est que les Freebox ont une ip internet Fixe. ( Edit : faute de sens , "que les paserelles ont une IP internet Fixe", la freebox n'est pas routeur ici...a priori)

Et enfin , un p'ti lien http://www.ipsec-howto.org/x299.html

Bon courage.

ps : cela fait un moment que je ne fais plus de Linux, alors peut être que l'implémentation KAME est vétuste maintenant ...

@+

----------

## moon06

 *loopx wrote:*   

> 
> 
> J'utilise donc ceci:
> 
> - OpenVPN
> ...

 

Bon, j'ai cherché sur le net, mais je trouve pas grand chose en tutos OpenVPN à part du client <=> server.

Tu aurais un howto sous la main ?  :Smile: 

Merci !

----------

## moon06

Bon à priori j'ai trouvé bien plus simple que OpenVPN : OpenSWAN !

En plus il y a un HOWTO sur le wiki Gentoo qui détaille exactement ce que je souhaite faire  :Smile: 

----------

