4 203
modifications
« IPsec sous debian avec strongswan » : différence entre les versions
Aller à la navigation
Aller à la recherche
IPsec sous debian avec strongswan (voir la source)
Version du 1 janvier 2020 à 01:45
, 1 janvier 2020→création de l'interface
| Ligne 95 : | Ligne 95 : | ||
<br><br> | <br><br> | ||
A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | A ce stade, seul le tunnel sera joignable (10.66.10.1 et 10.66.10.2) car ipsec a installé une policy restrictive (<code>ip xfrm policy</code>).<br> | ||
Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI) : | Si d'autres ranges doivent être joignable de part et d'autres du VPN (ce qui est probable sinon vous n'utiliseriez pas VTI), vous avez deux solutions : désactiver l'installation automatique des policy et installer votre policy manuellement, ou modifier la configuration d'ipsec. | ||
===Solution 1 : installation manuelle des policy=== | |||
* Passez <code>installpolicy</code> à <code>no</code> dans <code>/etc/ipsec.conf</code> | * Passez <code>installpolicy</code> à <code>no</code> dans <code>/etc/ipsec.conf</code> | ||
* Installez votre propre policy ouverte : | * Installez votre propre policy ouverte : | ||
| Ligne 103 : | Ligne 104 : | ||
ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir out priority 368255 ptype main mark 0x2a tmpl src $LOCAL_IP dst $REMOTE_IP proto esp reqid 1 mode tunnel | ip xfrm policy add src 0.0.0.0/0 dst 0.0.0.0/0 dir out priority 368255 ptype main mark 0x2a tmpl src $LOCAL_IP dst $REMOTE_IP proto esp reqid 1 mode tunnel | ||
</pre> | </pre> | ||
Note : | ===Solution 2 : modification de la configuration IPsec=== | ||
Note : Cette solution est compatible avec pfsense depuis la version 2.4.4-p3 | |||
Dans ipsec.conf : | |||
* maintenez <code>installpolicy = yes</code> | |||
* Modifiez | |||
==Routage== | |||