Bonjour à tous,
Au secours linuxfr, vous êtes mon seul espoir !
Je viens vers vous car je me retrouve dans une situation qui me fait syncoper :
Comme beaucoup d'entreprises, la mienne privilégie le télétravail. De ce fait j'ai mis en place un VPN classique "ssh" via un Zyxel pour tous mes utilisateurs Windows bien entendu non compatible avec nos gus qui utilisent Linux (si vous avez une solution pour ça, je suis preneur bien entendu).
Par une suite d'événements, le prestataire externe a installé un VPN IPSec/IKEv prévu pour Linux.
Ce dernier prestataire m'encourage à utiliser StrongSwan pour arriver à mes fins.
Et c'est là que c'est le drame. Je suis un néophyte sur Linux, je connais les bases (BASES) de l'administration et StrongSwan est assez costaud.
J'ai fait une première config qui ne donne rien.
- Disons que mon adresse publique est : 11.22.33.44
- Que j'ai prévu une plage 192.168.80.0/24 pour ceux qui se connectent en VPN IPSec
- L'authentification se fait par Clef (insérée dans le fichier /etc/ipsec.secrets)
Voici ma config /etc/ipsec.conf :
config setup
charondebug="all"
uniqueids=yes
conn vpn
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=%any
leftsubnet=%any
right=11.22.33.44
rightsubnet=192.168.80.0/24
ike=aes256-sha1-modp1024
esp=aes256-sha1
aggressive=yes
keyingtries=%forever
ikelifetime=43200s
lifetime=3600s
dpdaction=restart
J'espère que je n'ai pas fait trop crisper certains avec mon incompétence.
En vous souhaitant une très bonne journée !
Très cordialement,
# comprendre ces deux idées, et ca aide en general
Posté par NeoX . Évalué à 4.
comme toi, quand j'ai fait mes armes sur IPSec, j'ai lutté un moment jusqu'à tomber sur l'info suivante qui aide à bien comprendre
1°) Leftxxx => ta machine Locale
2°) Rightxxx => ta machine Remote
3°) il faut un paragraphe pour chaque sous reseau
dans ton cas, tu veux configurer ton poste CLIENT
il aura donc un Left=%any, Leftsubnet=%any en effet
mais le RightSubnet doit etre le reseau qu'il voudra joindre par ce VPN, donc le reseau de l'entreprise
si l'entreprise a plusieurs reseau, il te faudra autant de paragraphe que nécessaire
sinon si ce sont de vrais postes clients avec interfaces graphiques, il y a des modules pour network-manager pour gérer ton VPN en cliquant sur l'icône reseau à coté de l'horloge
[^] # Re: comprendre ces deux idées, et ca aide en general
Posté par CartonSatyre . Évalué à 1.
Tout d'abord merci de ta réponse !
MERCI pour le mnémotechnique ! J'avais compris le principe mais là ça prend son sens.
Effectivement, c'est bien une machine CLIENT que je configure. Mea Culpa pour la confusion !
Du coup mes postes clients ne doivent atteindre qu'un seul réseau, à savoir le 192.168.80.0/24, du coup on reste bien sur un
Sinon pour l'instant j'aimerais éviter les interfaces graphiques
Malgré cette config, impossible de joindre mon réseau.
[^] # Re: comprendre ces deux idées, et ca aide en general
Posté par NeoX . Évalué à 3.
cette config te permet de joindre le "serveur VPN" hébergé sur 11.22.33.44 (attention a bien avoir ouvert les ports nécessaires (500 et 4500 de memoire)
il faut ensuite que le serveur VPN, soit configuré pour router les flux entre le VPN et le LAN (ip_forward=1 si on est sur un serveur linux) avec éventuellement du masquerade pour cacher les clients derriere l'IP du serveur (pour que les autres machines internes renvoient leur réponse au serveur VPN et pas à la passerelle par defaut)
[^] # Re: comprendre ces deux idées, et ca aide en general
Posté par CartonSatyre . Évalué à 1.
Tout ce que tu me dis est mis en place.
Pas d'évolution de mon côté, je bloque à :
[^] # Re: comprendre ces deux idées, et ca aide en general
Posté par CartonSatyre . Évalué à 1.
EDIT :
J'arrive à joindre ma machine serveur ! C'est déjà une petite victoire.
Juste maintenant j'ai un "IKE_SA failed" lorsque j'essaye de me connecter. Mais là le soucis est propre à mon install'
[^] # Re: comprendre ces deux idées, et ca aide en general
Posté par NeoX . Évalué à 2.
IKE_SA c'est qu'il n'identifie pas les reseaux de tes clients.
tu as vu la config coté client,
c'est maintenant coté serveur
il te faut autant de right que de client, si possible avec l'IP fixe du client, et son reseau, et idéalement avec des subnet differents
sinon le serveur IPsec ne saura pas à quel client répondre
# Linux
Posté par Sylvain (site web personnel) . Évalué à 1.
Pour que ca marche sous linux tu dois abandonner les "easy VPN" et autre "wizard" VPN de zyxel.
Tu dois creer un vpn avec L2TP et ou IPSEC.
[^] # Re: Linux
Posté par CartonSatyre . Évalué à 1.
Hello Sylvain !
Quand tu parles de easy VPN tu inclus StrongSwan dedans ?
[^] # Re: Linux
Posté par Sylvain (site web personnel) . Évalué à 2. Dernière modification le 01 février 2021 à 17:36.
non quand je parle de easy VPN c'est l'espece de WIZARD de Zyxel pour creer un VPN.
Ce genre de VPN ne sont pas des VPN Classique ( VPNSSL chez forti par exemple ).
Le probleme par exemple chez Zyxel et easyvpn c'est qu'il n'y a pas de client linux a proprement parler, par contre chez forti tu as un client vpnssl.
Si tu veux pouvoir faire du VPN Standard ( geré dans le network manager ), il faut que tu fasse soit du L2TP ou soit de l'ipsec.
StrongSwan c'est un logiciel pour faire de l'ipsec pur, si ta passerelle VPN en face n'est pas configuré comme il faut rien ne fonctionne.
Le probleme de l'ipsec c'est qu'il faut une IPFixe pour le client pour avoir un setup simple, sinon faut sortir la grosse artillerie ROADWarrior ( c'est le terme si tu cherche su google pour avoir un ipsec avec ip dynamique ).
La solution la plus simple pour ma part c'est du L2TP actif pour les clients linux, chez moi c'est ce qui marche partout ( Zyxel et Forti ) mais depuis que forti a sorti un vrai client linux on passe tout en VPNSSSL.
[^] # Re: Linux
Posté par CartonSatyre . Évalué à 1.
Merci de ta réponse, elle m'a bien aidé !
Effectivement je suis obligé de passer par du RoadWarrior.
J'arrive maintenant à me connecter sur mon Zyxel mais impossible de ping une machine du réseau de l'entreprise.
Le routage ROADWarrior a l'air affreux !
[^] # Commentaire supprimé
Posté par minhphuongshowroom119 . Évalué à 1. Dernière modification le 04 février 2021 à 12:54.
Ce commentaire a été supprimé par l’équipe de modération.
# Rien à voir, mais vraiment rien, mais
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 01 février 2021 à 16:29.
Mais je reconnais cet avatar ou plutôt son image, vu que je l'ai dessiné il y a un certain temps :-)
Ça fait bizarre.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Rien à voir, mais vraiment rien, mais
Posté par CartonSatyre . Évalué à 1.
Incroyable !
Je l'ai pris un peu au pif vu que je l'avais chopé sur internet et je l'avais bien aimé, si ça te dérange je peux le retirer sans aucun problème !
[^] # Re: Rien à voir, mais vraiment rien, mais
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 1. Dernière modification le 02 février 2021 à 13:27.
Non, ça ne me dérange pas, tu peux garder. Je trouve ça amusant (et assez flatteur) surtout.
Le clavier complet est même disponible en téléchargement avec une licence de type domaine public volontaire.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Rien à voir, mais vraiment rien, mais
Posté par CartonSatyre . Évalué à 1.
MERCI !
Ca va m'être utile !
[^] # Commentaire supprimé
Posté par minhphuongshowroom119 . Évalué à 1. Dernière modification le 04 février 2021 à 12:53.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.