Lorsque que l'on configure manuellement un 2.6 pour faire de l'IPsec,
on définit des associations de sécurité permettant ensuite d'utiliser
AH dans la politique de sécurité. Si maintenant, on rajoute quelque
chose comme Racoon pour gérer automatiquement les associations de
sécurité, tous les exemples que j'ai vu font passer AH à la trappe.
Est-ce dû au fait que l'on considère que l'authentification passe par
l'échange de clefs ou le challenge avec le serveur ISAKMP ?
--
Use the good features of a language; avoid the bad ones.
- The Elements of Programming Style (Kernighan & Plaugher)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Masson
"Vincent" == Vincent Bernat writes:
'Lut,
Vincent> Lorsque que l'on configure manuellement un 2.6 pour Vincent> faire de l'IPsec, on définit des associations de sécurité Vincent> permettant ensuite d'utiliser AH dans la politique de Vincent> sécurité. Si maintenant, on rajoute quelque chose comme Racoon Vincent> pour gérer automatiquement les associations de sécurité, tous Vincent> les exemples que j'ai vu font passer AH à la trappe.
IIrc, la sÃrie 2.6 utilise KAME, donc logiquement, tu dois configurer des SP via setkey (exemple de configuration à passer à setkey)
flush ; spdflush ;
spdadd 0.0.0.0/0 0.0.0.0/0[53] any -P out none ; spdadd 0.0.0.0/0[53] 0.0.0.0/0 any -P in none ;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P out ipsec esp/transport//use ; spdadd 0.0.0.0/0 0.0.0.0/0 any -P in ipsec esp/transport//use ;
Rien ne t'empÃche à ce moment d'ajouter une policy ah (valide uniquement en mode transport), racoon utilisera la SPD pour dÃterminer les SA qu'il doit nÃgocier avec le peer.
Eric Masson
-- Ce qu'il y a de cruel, avec ces forums, c'est qu'ils nous confrontent impitoyablement aux insoutenables limites de l'intelligence humaine. On ne saurait être humaniste sans en concevoir une profonde angoisse. -+-DL in <http://www.le-gnu.net>: L'insoutenable lourdeur du neuneu -+-
"Vincent" == Vincent Bernat <vincent.bernat@raysa.org> writes:
'Lut,
Vincent> Lorsque que l'on configure manuellement un 2.6 pour
Vincent> faire de l'IPsec, on définit des associations de sécurité
Vincent> permettant ensuite d'utiliser AH dans la politique de
Vincent> sécurité. Si maintenant, on rajoute quelque chose comme Racoon
Vincent> pour gérer automatiquement les associations de sécurité, tous
Vincent> les exemples que j'ai vu font passer AH à la trappe.
IIrc, la sÃrie 2.6 utilise KAME, donc logiquement, tu dois configurer
des SP via setkey (exemple de configuration à passer à setkey)
flush ;
spdflush ;
spdadd 0.0.0.0/0 0.0.0.0/0[53] any -P out none ;
spdadd 0.0.0.0/0[53] 0.0.0.0/0 any -P in none ;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P out ipsec esp/transport//use ;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P in ipsec esp/transport//use ;
Rien ne t'empÃche à ce moment d'ajouter une policy ah (valide uniquement
en mode transport), racoon utilisera la SPD pour dÃterminer les SA qu'il
doit nÃgocier avec le peer.
Eric Masson
--
Ce qu'il y a de cruel, avec ces forums, c'est qu'ils nous confrontent
impitoyablement aux insoutenables limites de l'intelligence humaine. On
ne saurait être humaniste sans en concevoir une profonde angoisse.
-+-DL in <http://www.le-gnu.net>: L'insoutenable lourdeur du neuneu -+-
Vincent> Lorsque que l'on configure manuellement un 2.6 pour Vincent> faire de l'IPsec, on définit des associations de sécurité Vincent> permettant ensuite d'utiliser AH dans la politique de Vincent> sécurité. Si maintenant, on rajoute quelque chose comme Racoon Vincent> pour gérer automatiquement les associations de sécurité, tous Vincent> les exemples que j'ai vu font passer AH à la trappe.
IIrc, la sÃrie 2.6 utilise KAME, donc logiquement, tu dois configurer des SP via setkey (exemple de configuration à passer à setkey)
flush ; spdflush ;
spdadd 0.0.0.0/0 0.0.0.0/0[53] any -P out none ; spdadd 0.0.0.0/0[53] 0.0.0.0/0 any -P in none ;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P out ipsec esp/transport//use ; spdadd 0.0.0.0/0 0.0.0.0/0 any -P in ipsec esp/transport//use ;
Rien ne t'empÃche à ce moment d'ajouter une policy ah (valide uniquement en mode transport), racoon utilisera la SPD pour dÃterminer les SA qu'il doit nÃgocier avec le peer.
Eric Masson
-- Ce qu'il y a de cruel, avec ces forums, c'est qu'ils nous confrontent impitoyablement aux insoutenables limites de l'intelligence humaine. On ne saurait être humaniste sans en concevoir une profonde angoisse. -+-DL in <http://www.le-gnu.net>: L'insoutenable lourdeur du neuneu -+-
Vincent Bernat
OoO En ce début d'après-midi nuageux du vendredi 09 avril 2004, vers 14:19, Eric Masson disait:
Rien ne t'empêche à ce moment d'ajouter une policy ah (valide uniquement en mode transport)
J'utilisais justement AH en mode tunnel. Ce n'est en fait pas possible/conseillé ? -- A BELCH IS NOT AN ORAL REPORT A BELCH IS NOT AN ORAL REPORT A BELCH IS NOT AN ORAL REPORT -+- Bart Simpson on chalkboard in episode BABF11
OoO En ce début d'après-midi nuageux du vendredi 09 avril 2004, vers
14:19, Eric Masson <emss@free.fr> disait:
Rien ne t'empêche à ce moment d'ajouter une policy ah (valide uniquement
en mode transport)
J'utilisais justement AH en mode tunnel. Ce n'est en fait pas
possible/conseillé ?
--
A BELCH IS NOT AN ORAL REPORT
A BELCH IS NOT AN ORAL REPORT
A BELCH IS NOT AN ORAL REPORT
-+- Bart Simpson on chalkboard in episode BABF11
OoO En ce début d'après-midi nuageux du vendredi 09 avril 2004, vers 14:19, Eric Masson disait:
Rien ne t'empêche à ce moment d'ajouter une policy ah (valide uniquement en mode transport)
J'utilisais justement AH en mode tunnel. Ce n'est en fait pas possible/conseillé ? -- A BELCH IS NOT AN ORAL REPORT A BELCH IS NOT AN ORAL REPORT A BELCH IS NOT AN ORAL REPORT -+- Bart Simpson on chalkboard in episode BABF11
Eric Masson
"Vincent" == Vincent Bernat writes:
'Lut,
Vincent> J'utilisais justement AH en mode tunnel. Ce n'est en fait pas Vincent> possible/conseillé ?
Vérifies dans les archives sur http://www.Kame.net, iirc, tu devrais y trouver une explication sur le pourquoi de leur position plus que réservée sur l'utilisation d'ah en mode tunnel.
Eric Masson
-- Créons donc un groupe spécial pour les cons et les connes. Tu seras la modératrice en chef. -+- C in <http://www.le-gnu.net>-Je veux être le premier à y poster -+-
"Vincent" == Vincent Bernat <vincent.bernat@raysa.org> writes:
'Lut,
Vincent> J'utilisais justement AH en mode tunnel. Ce n'est en fait pas
Vincent> possible/conseillé ?
Vérifies dans les archives sur http://www.Kame.net, iirc, tu devrais y
trouver une explication sur le pourquoi de leur position plus que
réservée sur l'utilisation d'ah en mode tunnel.
Eric Masson
--
Créons donc un groupe spécial pour les cons et les connes. Tu seras la
modératrice en chef.
-+- C in <http://www.le-gnu.net>-Je veux être le premier à y poster -+-
Vincent> J'utilisais justement AH en mode tunnel. Ce n'est en fait pas Vincent> possible/conseillé ?
Vérifies dans les archives sur http://www.Kame.net, iirc, tu devrais y trouver une explication sur le pourquoi de leur position plus que réservée sur l'utilisation d'ah en mode tunnel.
Eric Masson
-- Créons donc un groupe spécial pour les cons et les connes. Tu seras la modératrice en chef. -+- C in <http://www.le-gnu.net>-Je veux être le premier à y poster -+-