ipsec

Le
Thomas
bonjour :-)


j'aimerais mettre en place IPSec
est ce que c'est le bon forum pour demander de l'aide ?


j'ai
- mac os x 10.4.9
- un routeur "LanBooster 2104 W"

j'ai accès au routeur avec une connexion PPTP


pour commencer,

sur le client,
quand je fais "nouvelle connexion VPN", ca me demande de choisir entre
"PPTP" et "L2TP via IPSec"
alors je vais bien sur choisir "L2TP via IPSec",

mais sur le serveur, j'ai le choix entre 3 vpn :
"activer le VPN en mode
- PPTP"
- IPSec"
- L2TP"

est ce que je dois cocher à la fois IPSec et L2TP, pour pouvoir utiliser
"L2TP via IPSec" ?


mais c'est surtout après que ça se complique

je sais utiliser les clés avec ssh,
j'ai cru comprendre que IPSec utilise des clés aussi,

mais je suis tellement embrouillé que je ne sais même pas quelles
questions poser

est ce que qqn pourrais m'aiguiller sur la marche à suivre, svp ? :-)

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nina Popravka
Le #882854
On Tue, 28 Aug 2007 15:42:43 +0200, Thomas

est ce que je dois cocher à la fois IPSec et L2TP, pour pouvoir utiliser
"L2TP via IPSec" ?
L2TP

Votre Mac, en standard, ne fait pas d'IPSEC pur et dur.
--
Nina

Nina Popravka
Le #882853
On Tue, 28 Aug 2007 15:48:44 +0200, Nina Popravka

Votre Mac, en standard, ne fait pas d'IPSEC pur et dur.


Mais si vous y tenez, il y a un darwin port de Racoon, que j'ai déjà
fait tomber en marche :-)
(enfin sur un tunnel simple, je n'y suis jamais arrivée sur un tordu
avec des cryptages différents sur les phases 1 et 2)
--
Nina

Thomas
Le #882852
In article Nina Popravka
On Tue, 28 Aug 2007 15:42:43 +0200, Thomas

est ce que je dois cocher à la fois IPSec et L2TP, pour pouvoir utiliser
"L2TP via IPSec" ?
L2TP

Votre Mac, en standard, ne fait pas d'IPSEC pur et dur.


merci :-)


qq c'est la différence ?

l'avantage des clés c'est que même si le pirate *connaît* le mdp et en
est sur, ça ne lui sert à rien tant qu'il n'a pas la clé privée
est ce qu'on a cet avantage là avec "L2TP via IPSec" ?

de toutes façons même si c'est pas le cas, la sécurité est probablement
u peu meilleure qu'avec un PPTP tout simple ?


ps :
Racoon : merci mais je verrais plus tard, je vais y aller par étapes :-)

--
j'agis contre l'assistanat, je travaille dans une SCOP !


Nina Popravka
Le #882851
On Tue, 28 Aug 2007 16:05:19 +0200, Thomas

qq c'est la différence ?
L2TP n'a pas la merveilleuse élégance d'IPSEC dans tout son

dépouillement :-))))

l'avantage des clés c'est que même si le pirate *connaît* le mdp et en
est sur, ça ne lui sert à rien tant qu'il n'a pas la clé privée
est ce qu'on a cet avantage là avec "L2TP via IPSec" ?
Oui, je vois plein d'options possibles en faisant "modifier les

configurations" dans la config de L2TP sur MacOSX.
--
Nina

Eric Masson
Le #882850
Nina Popravka
'Lut,

L2TP n'a pas la merveilleuse élégance d'IPSEC dans tout son
dépouillement :-))))


Je te sens encore moqueuse sur ce coup là ;)

Tant que tu ne joues pas avec des extensions propriétaires, ça reste
accessible non ?

l'avantage des clés c'est que même si le pirate *connaît* le mdp et en
est sur, ça ne lui sert à rien tant qu'il n'a pas la clé privée
est ce qu'on a cet avantage là avec "L2TP via IPSec" ?



Ben ça dépend de la manière dont le transport ipsec est mis en oeuvre...

Dans le cadre d'une mise en oeuvre l2tp/ipsec classique comme celle de
MSL2TP et du serveur associé, par défaut, l'authentification ipsec se
fait par psk, il n'y a pas de raison que le client MacOS X fasse
beaucoup mieux en standard.

Oui, je vois plein d'options possibles en faisant "modifier les
configurations" dans la config de L2TP sur MacOSX.


Pour disposer de quelque chose qui tient la route, il faut passer à une
authentification mutuelle par certificats (faire une recherche sur les
pki à base openssl, CA.pl, sur google)

Le client MacOS X doit supporter ce mode, il faut juste que le serveur
en soit lui aussi capable.

--
Enfin, quelqu'un de sensé.
(Ca ne me regarde pas, pas je tenais à souligner ce point)
-+- RS in GNU Quand on a rien à dire, il importe de le faire savoir -+-


Nina Popravka
Le #882848
On Tue, 28 Aug 2007 16:38:52 +0200, Eric Masson
L2TP n'a pas la merveilleuse élégance d'IPSEC dans tout son
dépouillement :-))))
Je te sens encore moqueuse sur ce coup là ;)

Pour une fois, je ne suis absolument pas moqueuse, je trouve

*vraiment* qu'IPSEC est d'une élégance technique esbaudissante :-)

Tant que tu ne joues pas avec des extensions propriétaires, ça reste
accessible non ?
Toutafé, même moi j'y arrive, c'est dire. ;->

(enfin au début je me suis beaucoup fait cracher à la gueule à grands
coups de "no proposal chosen", hein...)
--
Nina


Thomas
Le #882847
In article Eric Masson
Nina Popravka
l'avantage des clés c'est que même si le pirate *connaît* le mdp et en
est sur, ça ne lui sert à rien tant qu'il n'a pas la clé privée
est ce qu'on a cet avantage là avec "L2TP via IPSec" ?



Ben ça dépend de la manière dont le transport ipsec est mis en oeuvre...

Dans le cadre d'une mise en oeuvre l2tp/ipsec classique comme celle de
MSL2TP et du serveur associé, par défaut, l'authentification ipsec se
fait par psk, il n'y a pas de raison que le client MacOS X fasse
beaucoup mieux en standard.

Oui, je vois plein d'options possibles en faisant "modifier les
configurations" dans la config de L2TP sur MacOSX.


Pour disposer de quelque chose qui tient la route, il faut passer à une
authentification mutuelle par certificats (faire une recherche sur les
pki à base openssl, CA.pl, sur google)

Le client MacOS X doit supporter ce mode, il faut juste que le serveur
en soit lui aussi capable.


bon, comme je vous l'ai dit je sais pas quoi faire
(je comprends pas tout ce que vous avez dit, là)


donc je vous montre ce que j'ai sur le serveur :

mon compte :
http://dl.free.fr/aTbh7LZOx/Image1.png
on peut indiquer si on autorise tel ou tel protocole, on peut entrer un
mdp, mais pas une clé publique apparemment ...

j'ai pas bien compris ce que c'est, ça :
http://dl.free.fr/a5vEhgJPA/Image2.png
(j'y ai pas touché, le PPTP marche)

là, je devine que je dois faire qqch, mais quoi ? ....
http://dl.free.fr/cXkAQETkZ/Image3.png
est ce que je dois faire un couple de clés sur mon ordi, et mettre la
clé publique là ?

mais à cet endroit c'est sur tout le routeur que ça se passe,
je devrais mettre la même clé privée sur les autres ordis qui doivent se
connecter au même routeur ?
non, ça serais trop bizarre ...

--
j'agis contre l'assistanat, je travaille dans une SCOP !



Thomas
Le #882846
In article Nina Popravka
On Tue, 28 Aug 2007 16:38:52 +0200, Eric Masson
L2TP n'a pas la merveilleuse élégance d'IPSEC dans tout son
dépouillement :-))))
Je te sens encore moqueuse sur ce coup là ;)

Pour une fois, je ne suis absolument pas moqueuse, je trouve

*vraiment* qu'IPSEC est d'une élégance technique esbaudissante :-)

Tant que tu ne joues pas avec des extensions propriétaires, ça reste
accessible non ?
Toutafé, même moi j'y arrive, c'est dire. ;->

(enfin au début je me suis beaucoup fait cracher à la gueule à grands
coups de "no proposal chosen", hein...)


bon, vous me faites comprendre que IPSec c'est assez compliqué à
parametrer quand même ...

est ce que "L2TP via IPSec" c'est un peu plus facile ?

sinon, est ce que ça augmente quand même un peu la sécurité d'utiliser
L2TP avec un bête mdp (en attendant mieux) par rapport à PPTP ?

--
j'agis contre l'assistanat, je travaille dans une SCOP !



Eric Masson
Le #882845
Thomas
donc je vous montre ce que j'ai sur le serveur :


Le routeur semble ne supporter que les psk et non pas les certificats,
donc pas trop de questions à se poser de ce coté là.

Par contre, je ne comprends pas trop pourquoi le routeur requiert une
adresse ip pour l'hôte distant, un mobile n'a par défaut pas une adresse
fixe.

Pour ce qui est du paramétrage, il faut sélectionner l2tp, spécifier
obligatoire dans la dropdown à coté (lien ipsec).

à terme, une fois que la conf l2tp/ipsec est fonctionnelle, il est
préférable de désactiver pptp, dont la protection est inexistante.

je devrais mettre la même clé privée sur les autres ordis qui doivent
se connecter au même routeur ?


Dans le cadre d'une authentification psk, il n'y a pas le choix, c'est
bien ce qu'il faut faire, cette clé ne sera utilisée que pour
l'établissement du lien ipsec, il faudra aussi procéder à
l'authentification au niveau l2tp.

non, ça serais trop bizarre ...


Pourquoi ?

--
Je pense qu'il vaut mieux avoir une carte american express, avec
laquelle on ne peut être piégé. Annule ta visa et prends l'amex, qui est
d'ailleurs plus universellement acceptée.
-+- LC in
Nina Popravka
Le #882608
On Tue, 28 Aug 2007 17:12:36 +0200, Thomas

non, ça serais trop bizarre ...


Pourquoi ? Quand tu branches des bécanes sur une borne wifi, elles
utilisent toutes la même clé, non ? C'est exactement la même chose.
--
Nina

Publicité
Poster une réponse
Anonyme