Comment se passe une connection en IPSec avec une PSK
5 réponses
Stephane TOUGARD
Bonjour,
J'ai quelques questions sur l'IPSec, vos reponses seront les bienvenues.
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant
tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan,
OpenSwan et StrongSwan ?
Seconde question : comment se passe l'initialisation d'une connexion en
IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel
est-il deja etabli a ce niveau ou pas encore) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane TOUGARD
Nina Popravka wrote:
Seconde question : comment se passe l'initialisation d'une connexion en IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel est-il deja etabli a ce niveau ou pas encore) ? IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est établie en phase 1.
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel.
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble des parametres des 2 phases ?
Nina Popravka wrote:
Seconde question : comment se passe l'initialisation d'une connexion en
IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel
est-il deja etabli a ce niveau ou pas encore) ?
IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est
établie en phase 1.
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me
dit exactement le contraire. Dans un sens, il estime IKE ne pourra
s'etablir que des que le VPN sera en phase 2 et que j'enverrai les
paquets via le tunnel.
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas
ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble
des parametres des 2 phases ?
Seconde question : comment se passe l'initialisation d'une connexion en IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel est-il deja etabli a ce niveau ou pas encore) ? IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est établie en phase 1.
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel.
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble des parametres des 2 phases ?
Nina Popravka
On 29 Aug 2007 22:45:17 GMT, Stephane TOUGARD wrote:
J'ai quelques questions sur l'IPSec, vos reponses seront les bienvenues. Bon, je vais y aller en attendant que quelqu'un de compétent se
réveille :-)
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan, OpenSwan et StrongSwan ? Jamais testé. Déjà que *nix et moi, ça fait deux, alors le noyau
2.4... Me semble toutefois que lorsque j'avais cherché comment fallait faire avec MacOSX, j'étais tombée sur des mecs qui y étaient arrivés avant avec OpenSwan.
Seconde question : comment se passe l'initialisation d'une connexion en IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel est-il deja etabli a ce niveau ou pas encore) ? IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est établie en phase 1.
Troisieme question : qu'est ce que le Layer 3 ? ??? Ben dans ce contexte, à part IP = couche réseau = couche 3 OSI, je
vois pas trop.
Bon courage, et y a un truc à savoir, qui n'avait fait perdre pas mal de temps : quand tu patauges allégrement pour faire tomber le truc en marche, tu peux très bien te retrouver avec des liaisons à moitié ouvertes qui empêchent tout essai ultérieur de fonctionner, même si tu as trouvé les bons paramètres. Probablement parce que ça tape directement dans IP. J'avais fini par redémarrer le routeur et la bécane à chaque nouvel essai... -- Nina
On 29 Aug 2007 22:45:17 GMT, Stephane TOUGARD <stephane@unices.org>
wrote:
J'ai quelques questions sur l'IPSec, vos reponses seront les bienvenues.
Bon, je vais y aller en attendant que quelqu'un de compétent se
réveille :-)
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant
tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan,
OpenSwan et StrongSwan ?
Jamais testé. Déjà que *nix et moi, ça fait deux, alors le noyau
2.4... Me semble toutefois que lorsque j'avais cherché comment fallait
faire avec MacOSX, j'étais tombée sur des mecs qui y étaient arrivés
avant avec OpenSwan.
Seconde question : comment se passe l'initialisation d'une connexion en
IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel
est-il deja etabli a ce niveau ou pas encore) ?
IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est
établie en phase 1.
Troisieme question : qu'est ce que le Layer 3 ?
??? Ben dans ce contexte, à part IP = couche réseau = couche 3 OSI, je
vois pas trop.
Bon courage, et y a un truc à savoir, qui n'avait fait perdre pas mal
de temps : quand tu patauges allégrement pour faire tomber le truc en
marche, tu peux très bien te retrouver avec des liaisons à moitié
ouvertes qui empêchent tout essai ultérieur de fonctionner, même si tu
as trouvé les bons paramètres. Probablement parce que ça tape
directement dans IP. J'avais fini par redémarrer le routeur et la
bécane à chaque nouvel essai...
--
Nina
On 29 Aug 2007 22:45:17 GMT, Stephane TOUGARD wrote:
J'ai quelques questions sur l'IPSec, vos reponses seront les bienvenues. Bon, je vais y aller en attendant que quelqu'un de compétent se
réveille :-)
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan, OpenSwan et StrongSwan ? Jamais testé. Déjà que *nix et moi, ça fait deux, alors le noyau
2.4... Me semble toutefois que lorsque j'avais cherché comment fallait faire avec MacOSX, j'étais tombée sur des mecs qui y étaient arrivés avant avec OpenSwan.
Seconde question : comment se passe l'initialisation d'une connexion en IPSec avec une PSK ? a quel moment se fait la partie IKE (un tunnel est-il deja etabli a ce niveau ou pas encore) ? IKE, ce sont les préliminaires. Il ne se passe rien avant. Surtout pas
un tunnel. Le tunnel n'est défini que durant la phase 2, la SA est établie en phase 1.
Troisieme question : qu'est ce que le Layer 3 ? ??? Ben dans ce contexte, à part IP = couche réseau = couche 3 OSI, je
vois pas trop.
Bon courage, et y a un truc à savoir, qui n'avait fait perdre pas mal de temps : quand tu patauges allégrement pour faire tomber le truc en marche, tu peux très bien te retrouver avec des liaisons à moitié ouvertes qui empêchent tout essai ultérieur de fonctionner, même si tu as trouvé les bons paramètres. Probablement parce que ça tape directement dans IP. J'avais fini par redémarrer le routeur et la bécane à chaque nouvel essai... -- Nina
Eric Masson
Stephane TOUGARD writes:
'Lut,
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel.
Soit deux machines disposant d'un ISAKMPd : La PSK ou les certificats servent à établir l'ISAKMP-SA, qui va permettre aux deux ISAKMPd de sécuriser la suite de leur dialogue. Une fois cette SA établie, les deux ISAKMPd vont alors procéder à la négociation des SA ipsec en fonction de leur paramétrage et des SPD de chacune des machines.
Le lien suivant rentre dans les détails : http://www.ciscopress.com/articles/article.asp?p%474&rl=1
-- Je précise que je défends aucunement le contributeur que vous insultez, car vous faites un amalgame entre ses opinions et convictions et le fait qu'il dise donc constamment des conneries. -+- JH in <http://www.le-gnu.net> : Bien étaler sa mauvaise foi -+-
Stephane TOUGARD <stephane@unices.org> writes:
'Lut,
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me
dit exactement le contraire. Dans un sens, il estime IKE ne pourra
s'etablir que des que le VPN sera en phase 2 et que j'enverrai les
paquets via le tunnel.
Soit deux machines disposant d'un ISAKMPd :
La PSK ou les certificats servent à établir l'ISAKMP-SA, qui va
permettre aux deux ISAKMPd de sécuriser la suite de leur dialogue.
Une fois cette SA établie, les deux ISAKMPd vont alors procéder à la
négociation des SA ipsec en fonction de leur paramétrage et des SPD de
chacune des machines.
Le lien suivant rentre dans les détails :
http://www.ciscopress.com/articles/article.asp?p%474&rl=1
--
Je précise que je défends aucunement le contributeur que vous
insultez, car vous faites un amalgame entre ses opinions et
convictions et le fait qu'il dise donc constamment des conneries.
-+- JH in <http://www.le-gnu.net> : Bien étaler sa mauvaise foi -+-
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel.
Soit deux machines disposant d'un ISAKMPd : La PSK ou les certificats servent à établir l'ISAKMP-SA, qui va permettre aux deux ISAKMPd de sécuriser la suite de leur dialogue. Une fois cette SA établie, les deux ISAKMPd vont alors procéder à la négociation des SA ipsec en fonction de leur paramétrage et des SPD de chacune des machines.
Le lien suivant rentre dans les détails : http://www.ciscopress.com/articles/article.asp?p%474&rl=1
-- Je précise que je défends aucunement le contributeur que vous insultez, car vous faites un amalgame entre ses opinions et convictions et le fait qu'il dise donc constamment des conneries. -+- JH in <http://www.le-gnu.net> : Bien étaler sa mauvaise foi -+-
Nina Popravka
On 30 Aug 2007 07:17:39 GMT, Stephane TOUGARD wrote:
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel. Moi je veux bien, mais je viens d'établir une connexion chez un client
et regarder les logs de sa boîte, ça commence par "receiving IKE request" :-)
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble des parametres des 2 phases ? Je vois pas comment, mais bon je suis pas une déesse d'IPSec non plus,
j'arrive juste en général à le faire tomber en marche. -- Nina
On 30 Aug 2007 07:17:39 GMT, Stephane TOUGARD <stephane@unices.org>
wrote:
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me
dit exactement le contraire. Dans un sens, il estime IKE ne pourra
s'etablir que des que le VPN sera en phase 2 et que j'enverrai les
paquets via le tunnel.
Moi je veux bien, mais je viens d'établir une connexion chez un client
et regarder les logs de sa boîte, ça commence par "receiving IKE
request" :-)
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas
ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble
des parametres des 2 phases ?
Je vois pas comment, mais bon je suis pas une déesse d'IPSec non plus,
j'arrive juste en général à le faire tomber en marche.
--
Nina
On 30 Aug 2007 07:17:39 GMT, Stephane TOUGARD wrote:
Je suis bete ou il y a un truc que je comprend pas, la partie adverse me dit exactement le contraire. Dans un sens, il estime IKE ne pourra s'etablir que des que le VPN sera en phase 2 et que j'enverrai les paquets via le tunnel. Moi je veux bien, mais je viens d'établir une connexion chez un client
et regarder les logs de sa boîte, ça commence par "receiving IKE request" :-)
Y-t-il une configuration ou cela est possible ? par exemple, dans le cas ou on utilise une Pre-Shared Key et ou on regle a l'avance l'ensemble des parametres des 2 phases ? Je vois pas comment, mais bon je suis pas une déesse d'IPSec non plus,
j'arrive juste en général à le faire tomber en marche. -- Nina
Eric Belhomme
Stephane TOUGARD wrote in news:fb4stt$cal$1 @mawar.singnet.com.sg:
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan, OpenSwan et StrongSwan ?
oula, mes tentatives avec le noyau 2.4 et FreesWan ont toujours echouées.
Par contre le couple linux 2.6 et racoon fonctionne bien en production. cf le site de kame et des ipsec-tools : http://www.kame.net http://ipsec-tools.sourceforge.net
Troisieme question : qu'est ce que le Layer 3 ?
A priori je suppose que tu fais référence à la couche "réseau" du modèle
OSI, mais sans contexte, ce n'est qu'une supposition : http://en.wikipedia.org/wiki/OSI_model http://www.commentcamarche.net/forum/affich-58068-modele-osi
-- Rico
Stephane TOUGARD <stephane@unices.org> wrote in news:fb4stt$cal$1
@mawar.singnet.com.sg:
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant
tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan,
OpenSwan et StrongSwan ?
oula, mes tentatives avec le noyau 2.4 et FreesWan ont toujours echouées.
Par contre le couple linux 2.6 et racoon fonctionne bien en production. cf
le site de kame et des ipsec-tools :
http://www.kame.net
http://ipsec-tools.sourceforge.net
Troisieme question : qu'est ce que le Layer 3 ?
A priori je suppose que tu fais référence à la couche "réseau" du modèle
OSI, mais sans contexte, ce n'est qu'une supposition :
http://en.wikipedia.org/wiki/OSI_model
http://www.commentcamarche.net/forum/affich-58068-modele-osi
Stephane TOUGARD wrote in news:fb4stt$cal$1 @mawar.singnet.com.sg:
Je tente de connecter un Linux 2.4 avec un NetScreen en IPSec. Avant tout, quel est le programme IPSec le plus adapte, j'ai trouve FreeSwan, OpenSwan et StrongSwan ?
oula, mes tentatives avec le noyau 2.4 et FreesWan ont toujours echouées.
Par contre le couple linux 2.6 et racoon fonctionne bien en production. cf le site de kame et des ipsec-tools : http://www.kame.net http://ipsec-tools.sourceforge.net
Troisieme question : qu'est ce que le Layer 3 ?
A priori je suppose que tu fais référence à la couche "réseau" du modèle
OSI, mais sans contexte, ce n'est qu'une supposition : http://en.wikipedia.org/wiki/OSI_model http://www.commentcamarche.net/forum/affich-58068-modele-osi