Context Navigation

Client1

Timestamp:: Apr 28, 2007, 12:14:15 AM (18 years ago)
Author:: alladoum
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

Realisations/2006-2007/Projet/Entreprise2/Client1

-                      v8
+                      v9
 Cet exemple a été écrit pour la création d'un flux IPSec en mode Transport entre [wiki:Entreprise2Client1 CLIENT1.ENT2](10.40.0.13) et [wiki:Entreprise2Serveur1 SERVEUR1.ENT2] (10.40.0.9). [[BR]]
+   * Vérifiez que les options
+=== Vérifiez les options ===
+Les options
 {{{
 options  IPSEC
 options  IPSEC_ESP
 options  IPSEC_DEBUG
 }}}
 sont bien présentes dans le noyau, sinon [http://www.freebsdebutant.org/index.php?page=configuration_noyau recompilez votre noyau].
+options  IPSEC_DEBUG (optionnel mais fortement recommandé)
+}}}
+ doivent être installées sur le noyau que vous exécutez, sinon [http://www.freebsdebutant.org/index.php?page=configuration_noyau recompilez votre noyau].
    * Installez IPSec-tools et Racoon ( votre bonheur se trouve dans les /usr/ports/security)
+   * Configurez IPSec pour FreeBSD:
 [[BR]]
    -> Créer le fichier /etc/ipsec.conf :
+=== Configurez IPSec pour FreeBSD ===
+[[BR]]
+   * Créer le fichier /etc/ipsec.conf :
 {{{
 $ cat > /etc/ipsec.conf << EOF
 …
 EOF
 }}}
    -> Puis entrez
+   * Puis entrez
 {{{
 $ setkey -v -f /etc/ipsec.conf
 }}}
    -> Maintenant, si vous entrez
+   * Maintenant, si vous entrez
 {{{
 $ setkey -D -P
 …
         refcnt=1
 }}}
    -> Pour automatiser cette procédure au démarrage de la machine, éditez dans /etc/rc.conf en ajoutant :
+   * Pour automatiser cette procédure au démarrage de la machine, éditez dans /etc/rc.conf en ajoutant :
 {{{
 ipsec_enable="YES"
 ipsec_file="/etc/ipsec.conf"
 }}}
    -> '''Votre démon IPSec sera actif avec les bons paramètres dès le prochain démarrage'''
 [[BR]]
+   * Configurer Racoon
 [[BR]]
    -> Créer psk.txt initiant l'échange de clé partagé
+   * '''Votre démon IPSec sera actif avec les bons paramètres dès le prochain démarrage'''
+[[BR]]
+=== Configurer Racoon ===
+[[BR]]
+   * Créer psk.txt initiant l'échange de clé partagé
 {{{
 $ cat > psk.txt << EOF
 …
 }}}
 L'adresse IP est celle de la cible (ici Serveur1), suivi du mot de passe.
    -> Créer racoon.conf. Vous pouvez vous inspirer de l'exemple fourni par défaut avec Racoon, ou bien utiliser (en le modifiant) celui-ci:
+   * Créer racoon.conf. Vous pouvez vous inspirer de l'exemple fourni par défaut avec Racoon, ou bien utiliser (en le modifiant) celui-ci:
 {{{
 $ cat > racoon.conf << EOF
 …
 EOF
 }}}
    -> A présent, lancez:
+   * A présent, lancez:
 {{{
 $ /usr/local/sbin/racoon -l /var/log/racoon.log -f /chemin/vers/racoon.conf
 }}}
 Un fichier de log (utile pour le debug) sera crée à l'adresse /var/log/racoon.log
+   -> ''' Votre Racoon est lancé  !! ''' et le traçage des paquets ISAKMP peut se voir, via le monitoring
+   * ''' Votre Racoon est lancé  !! '''
+=== Vérifier le fonctionnement ===
+Via le monitoring, vous devriez observer des échanges similaires aux suivants.
 {{{
 Capturing on dc3
 [...]
+Echange de cle avec ISAKMP
 .714799    10.40.0.9 -> 10.40.0.13   ISAKMP Aggressive
 .715327    10.40.0.9 -> 10.40.0.13   ISAKMP Aggressive
 .715883    10.40.0.9 -> 10.40.0.13   ISAKMP Aggressive
 [...]
+}}}
+[[BR]]
+----
+Pour plus d'infos, se référer aux man de setkey , racoon , ipsec
+Communication Securisee via IPSec/ESP
+0.000000 10.40.0.9  10.40.0.13 ESP ESP (SPI=0x000007d1)
+0.000588 10.40.0.9  10.40.0.13 ESP ESP (SPI=0x000007d1)
+0.000711 10.40.0.13 10.40.0.9  TCP 61738 > 10987 [ACK] Seq=0 Ack=0 Win=17879 Len=1424 TSV=2005181 TSER=751670683
+0.001238 10.40.0.13 10.40.0.9  TCP [TCP Out-Of-Order] 61738 > 10987 [ACK] Seq=0 Ack=0 Win=17879 Len=1424 TSV=2005181 TSER=751670683
+0.001792 10.40.0.13 10.40.0.9  TCP [TCP Out-Of-Order] 61738 > 10987 [ACK] Seq=0 Ack=0 Win=17879 Len=1424 TSV=2005181 TSER=751670683
+0.002747 10.40.0.13 10.40.0.9  TCP 61738 > 10987 [ACK] Seq=1424 Ack=1399 Win=17691 Len=1424 TSV=2005183 TSER=751670687
+0.002864 10.40.0.9  10.40.0.13 ESP ESP (SPI=0x000007d1)
+0.003315 10.40.0.13 10.40.0.9  TCP [TCP Out-Of-Order] 61738 > 10987 [ACK] Seq=1424 Ack=1399 Win=17691 Len=1424 TSV=2005183 TSER=751670687
+Authentication Header
+Data (1424 bytes)
+  01 56 07 d2 b2 50 99 a6 fc 4c 1d bb 2a 88 d9 09   .V...P...L..*...
+  e5 05 ad fa c1 4b 62 a5 7b c6 dd d2 ee 4e d7 c7   .....Kb.{....N..
+  a8 95 6b da b3 ec 28 5c f4 5a 99 08 0a dd 39 20   ..k...(\.Z....9
+  c0 ef 9c 7c 6b dc 66 e1 b0 c0 a5 bb 9f bc 4e 99   ...|k.f.......N.
+  bc f3 38 70 d4 8f 1c f8 fe 8d 4c 8a 94 97 b4 b6   ..8p......L.....
+  12 1f a1 1b 57 ac 28 97 1a 67 0e e7 aa b8 3a 1b   ....W.(..g....:.
+  4e 8b 19 6c 80 48 77 aa 80 c5 05 46 74 37 2d 5a   N..l.Hw....Ft7-Z
+  b3 94 73 9a 13 b7 bf 81 65 11 d8 16 e8 88 e2 5f   ..s.....e......_
+  6f dc c6 7d fc a7 77 e7 f4 39 12 b3 e9 17 52 b6   o..}..w..9....R.
+[...]
+}}}
+[[BR]]
+Vous pouvez télécharger un exemple de trames échangées entre les stations [wiki:Entreprise2Client1 CLIENT1.ENT2] et [wiki:Entreprise2Serveur1 SERVEUR1.ENT2] via ce
+[http://projet.reseau.free.fr/data/AS65004/trace_ipsec lien]. A noter que la trace pèse env. 14Mo (10 000 paquets capturés).
+Pour voir les échanges, vous devrez ouvrir cette trace avec un outil, comme Wireshark.
+----
+Pour plus d'infos, se référer aux '''man de Setkey , Racoon  , IPSec'''
 ----