On Fri, Nov 08, 2002 at 08:15:43PM +0100, Xavier MAILLARD wrote: > On Thu, 7 Nov 2002, Lionel Elie Mamane spake thusly: >> Oui, oui. J'ai aussi mis en place IPSEC sur le réseau sans fil, pour >> avoir un minimum de vie privée. Tu te sens partant pour ça? >> (Si tu as des machines Microsoft Windows 2000 dans le lot, >> z'attention, il y a des pièges à éviter). > Une adresse à ma proposer, un howto bien senti ? Euh... Pour les machines Windows 2000, ce qui m'a sauvé la vie, c'est http://jixen.tripod.com/win2k-screen.html Sinon, le web regorge de howto's diverses et variées. J'ai posté mes configs dans un autre message, tu peux t'en inspirer. Sinon, par rapport à l'URL que je t'ai donnée, j'ai mis 3DES/SHA1 en premier choix (et non MD5). N'utilise pas de l'authentification par clé partagée, utilise des certificats X.509 si tu peux, c'est beaucoup mieux. Pour importer le certificat, attention!!!! Ne pas double-cliquer dessus!!! Je l'ai fait, il l'a mis dans les "certificats utilisateurs", et pas "certificats machine". Pas grave, me suis-je dit. Glisser-déposer, et hop! Cet imbécile de Windows 2000 n'a copié que la clé publique, pas la clé privée. Mais quand on double-clique sur le certificat il dit toujours "Vous avez la clé secrète pour ce certificat", alors qu'il l'a perdue :( Procédure détaillée là: http://support.real-time.com/open-source/ipsec/index.html Bon, pour les machines sérieuses, quelques docs qui m'ont l'air pas trop mal (mais que je n'ai pas utilisées moi-même, use the source (err... documentation) Luke: http://www.natecarlson.com/linux/ipsec-x509.php http://security.nta.no/freeswan-w2k.html Et, last but not least: file:/usr/share/doc/freeswan/ En vrac: - les logs de pluto sont dans /var/log/auth.log La première fois, ça surprend - les logs de la partie kernel (klips? j'ai oublié) sont dans /var/log/syslog, comme on s'y attend. - tu sais recompiler un kernel? N'oublies pas "export PATCH_THE_KERNEL=AUTO", --added-patches=freeswan et "--config menuconfig". Fais bien un "make-kpkg clean" avant. J'ai utilisé le kernel 2.4.19 (paquet de sources Debian), et le freeswan et kernel-patch-freeswan-ext de sid. Pour bien enfoncer le clou: Utilise de l'authentification RSA ou par certificats X.509. Pas de secret partagé, non. Bon, voilà, je vois rien d'autre de spécial à dire pour l'instant. Si t'as des questions, n'hésites pas (sur la liste, mais CC (ou BCC) moi, je lis pas la liste très régulièrement). -- Lionel
Attachment:
pgp3qQODJxDTx.pgp
Description: PGP signature