Comment peut-on faire dans le cadre d'une configuration isakmpd
déclarant un lien ipsec transport entre deux hôtes pour ne crypter que
certains types de traffic (ex: tunnel ipip d'un tunnel gif).
J'ai essayé avec isakmpd.policy de spécifier un local_filter_proto de la
façon suivante :
KeyNote-Version: 2
Authorizer: "POLICY"
Licensees: "passphrase:mapassphraseamoiquejai"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
local_filter_proto == 94
esp_enc_alg != "null"
-> "true" ;
Mais cela ne semble pas fonctionner (les logs ne me disent pas grand
chose)
Je n'ai pas vraiment trouvé de docs explicites sur le sujet (la défunte
section 13 de la Faq et les différents hits sur google semblent se
concentrer sur l'usage en mode tunnel)
Bref quelqu'un aurait-il une idée sur le sujet ou un lien ?
Eric Masson
--
E> desole mais je n est pas trop l habitude des groupes de discutions
Leçon n° 1 : on répond en haut et on vire le message auquel on répond
Cette suppression facilite grandement la lecture !!!
-+- DrN in <http://www.le-gnu.net> : Le Neuneu par l'exemple -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Fri, 20 Feb 2004 09:13:52 +0100, Eric Masson wrote:
Comment peut-on faire dans le cadre d'une configuration isakmpd déclarant un lien ipsec transport entre deux hôtes pour ne crypter que certains types de traffic (ex: tunnel ipip d'un tunnel gif).
Moi je fais ça (enfin, quelque chose de similaire, sans tunnel gif, en utilisant juste le tunnel IPsec directement) juste en me basant sur les adresses source et/ou destination dans les commandes setkey. Sinon tu peux rajouter des ports (mais pas des protocoles...) entre []...
J'ai essayé avec isakmpd.policy de spécifier un local_filter_proto de la façon suivante : KeyNote-Version: 2 Authorizer: "POLICY" Licensees: "passphrase:mapassphraseamoiquejai" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && local_filter_proto == 94 esp_enc_alg != "null" -> "true" ;
Mmmm... Il me semble que les filtres ici sont sur la configuration IPsec (ça va affecter la négo ISAKMP en fonction du type de tunnel) plutôt que par paquet. A priori c'est au niveau de setkey que ça doit se passer plutôt que isakmpd.policy, non?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Fri, 20 Feb 2004 09:13:52 +0100, Eric Masson <emss@free.fr> wrote:
Comment peut-on faire dans le cadre d'une configuration isakmpd
déclarant un lien ipsec transport entre deux hôtes pour ne crypter que
certains types de traffic (ex: tunnel ipip d'un tunnel gif).
Moi je fais ça (enfin, quelque chose de similaire, sans tunnel gif, en
utilisant juste le tunnel IPsec directement) juste en me basant sur les
adresses source et/ou destination dans les commandes setkey. Sinon tu peux
rajouter des ports (mais pas des protocoles...) entre []...
J'ai essayé avec isakmpd.policy de spécifier un local_filter_proto de la
façon suivante :
KeyNote-Version: 2
Authorizer: "POLICY"
Licensees: "passphrase:mapassphraseamoiquejai"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
local_filter_proto == 94
esp_enc_alg != "null"
-> "true" ;
Mmmm... Il me semble que les filtres ici sont sur la configuration IPsec
(ça va affecter la négo ISAKMP en fonction du type de tunnel) plutôt que
par paquet. A priori c'est au niveau de setkey que ça doit se passer
plutôt que isakmpd.policy, non?
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Fri, 20 Feb 2004 09:13:52 +0100, Eric Masson wrote:
Comment peut-on faire dans le cadre d'une configuration isakmpd déclarant un lien ipsec transport entre deux hôtes pour ne crypter que certains types de traffic (ex: tunnel ipip d'un tunnel gif).
Moi je fais ça (enfin, quelque chose de similaire, sans tunnel gif, en utilisant juste le tunnel IPsec directement) juste en me basant sur les adresses source et/ou destination dans les commandes setkey. Sinon tu peux rajouter des ports (mais pas des protocoles...) entre []...
J'ai essayé avec isakmpd.policy de spécifier un local_filter_proto de la façon suivante : KeyNote-Version: 2 Authorizer: "POLICY" Licensees: "passphrase:mapassphraseamoiquejai" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && local_filter_proto == 94 esp_enc_alg != "null" -> "true" ;
Mmmm... Il me semble que les filtres ici sont sur la configuration IPsec (ça va affecter la négo ISAKMP en fonction du type de tunnel) plutôt que par paquet. A priori c'est au niveau de setkey que ça doit se passer plutôt que isakmpd.policy, non?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Eric Masson
"Jacques" == Jacques Caron writes:
'Lut,
Jacques> Moi je fais ça (enfin, quelque chose de similaire, sans tunnel Jacques> gif, en utilisant juste le tunnel IPsec directement) juste en Jacques> me basant sur les adresses source et/ou destination dans les Jacques> commandes setkey. Sinon tu peux rajouter des ports (mais pas Jacques> des protocoles...) entre []...
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne idée), isakmpd négocie donc à la fois les SP et les SA.
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors d'une configuration autre que manuelle.
Bref, je patauge.
Eric
-- donc, si tu n'en a rien à foutre tu ne lis pas les mess qui ne te sont pas adressés, c'est le problème de poster sur plusieurs forums, tu parles au charcutier, et c'est la saucisse qui te répond :-)" -+- Sandra in GNU : Si six neuneux scient six saucisses -+-
"Jacques" == Jacques Caron <jc@imfeurope.com> writes:
'Lut,
Jacques> Moi je fais ça (enfin, quelque chose de similaire, sans tunnel
Jacques> gif, en utilisant juste le tunnel IPsec directement) juste en
Jacques> me basant sur les adresses source et/ou destination dans les
Jacques> commandes setkey. Sinon tu peux rajouter des ports (mais pas
Jacques> des protocoles...) entre []...
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de
setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne
idée), isakmpd négocie donc à la fois les SP et les SA.
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors
d'une configuration autre que manuelle.
Bref, je patauge.
Eric
--
donc, si tu n'en a rien à foutre tu ne lis pas les mess qui ne te sont
pas adressés, c'est le problème de poster sur plusieurs forums, tu
parles au charcutier, et c'est la saucisse qui te répond :-)"
-+- Sandra in GNU : Si six neuneux scient six saucisses -+-
Jacques> Moi je fais ça (enfin, quelque chose de similaire, sans tunnel Jacques> gif, en utilisant juste le tunnel IPsec directement) juste en Jacques> me basant sur les adresses source et/ou destination dans les Jacques> commandes setkey. Sinon tu peux rajouter des ports (mais pas Jacques> des protocoles...) entre []...
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne idée), isakmpd négocie donc à la fois les SP et les SA.
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors d'une configuration autre que manuelle.
Bref, je patauge.
Eric
-- donc, si tu n'en a rien à foutre tu ne lis pas les mess qui ne te sont pas adressés, c'est le problème de poster sur plusieurs forums, tu parles au charcutier, et c'est la saucisse qui te répond :-)" -+- Sandra in GNU : Si six neuneux scient six saucisses -+-
Jacques Caron
On Fri, 20 Feb 2004 10:46:57 +0100, Eric Masson wrote:
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne idée), isakmpd négocie donc à la fois les SP et les SA.
Ah, je pensais que ça se ressemblait. Mais comment est-ce-que tu détermines quel trafic doit être chiffré ou pas? Il doit bien y avoir un sélecteur d'adresses IP et/ou d'interfaces sur lesquelles effectuer du chiffrement, non?
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors d'une configuration autre que manuelle.
Enchanté :-)
Bref, je patauge.
Je dois avouer que la config de isakmpd me laisse quelquefois rêveur. J'ai un setup qui marche très bien, mais j'avoue qu'on me demanderait de l'expliquer, j'aurais du mal! ;-(
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Fri, 20 Feb 2004 10:46:57 +0100, Eric Masson <emss@free.fr> wrote:
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de
setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne
idée), isakmpd négocie donc à la fois les SP et les SA.
Ah, je pensais que ça se ressemblait. Mais comment est-ce-que tu
détermines quel trafic doit être chiffré ou pas? Il doit bien y avoir un
sélecteur d'adresses IP et/ou d'interfaces sur lesquelles effectuer du
chiffrement, non?
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors
d'une configuration autre que manuelle.
Enchanté :-)
Bref, je patauge.
Je dois avouer que la config de isakmpd me laisse quelquefois rêveur. J'ai
un setup qui marche très bien, mais j'avoue qu'on me demanderait de
l'expliquer, j'aurais du mal! ;-(
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Fri, 20 Feb 2004 10:46:57 +0100, Eric Masson wrote:
Justement, contrairement à l'implémentation KAME, Open ne dispose pas de setkey (les sélecteurs dans setkey sont à ce sujet vraiment une bonne idée), isakmpd négocie donc à la fois les SP et les SA.
Ah, je pensais que ça se ressemblait. Mais comment est-ce-que tu détermines quel trafic doit être chiffré ou pas? Il doit bien y avoir un sélecteur d'adresses IP et/ou d'interfaces sur lesquelles effectuer du chiffrement, non?
ipsecadm (l'équivalent de setkey) n'est pas sensé être utilisé en dehors d'une configuration autre que manuelle.
Enchanté :-)
Bref, je patauge.
Je dois avouer que la config de isakmpd me laisse quelquefois rêveur. J'ai un setup qui marche très bien, mais j'avoue qu'on me demanderait de l'expliquer, j'aurais du mal! ;-(
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Eric Masson
"Jacques" == Jacques Caron writes:
Jacques> Ah, je pensais que ça se ressemblait. Mais comment est-ce-que Jacques> tu détermines quel trafic doit être chiffré ou pas ?
Pour le moment, dans le fichier de conf isakmpd ou chaque peer est en ID-type IPV4_ADDR, ce qui spécifie un lien de type transport, par contre je n'ai aucun contrôle sur le type de traffic qui subira la transformation (a ce point, tout traffic entre les deux hôtes est chiffré)
Jacques> Il doit bien y avoir un sélecteur d'adresses IP et/ou Jacques> d'interfaces sur lesquelles effectuer du chiffrement, non?
Euh, en relisant la page de man isakmpd.conf(5) pour environ la 20ème fois en trois jours, je viens de tomber sur une piste au niveau de la section _IPsec-ID_ avec les mots clés protocol et port, que je n'avais pas vu jusqu'à maintenant. http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&apropos=0&sektion=0&manpath=OpenBSD+3.4&arch=i386&format=html
Jacques> Je dois avouer que la config de isakmpd me laisse quelquefois Jacques> rêveur.
isakmpd semble très puissant en termes de configuration et son paramétrage est logiquement assez complexe. Racoon est lui moins fouillé, mais son fichier de conf est vraiment plus simple à appréhender.
Jacques> J'ai un setup qui marche très bien, mais j'avoue qu'on me Jacques> demanderait de l'expliquer, j'aurais du mal! ;-(
Ben à force de bosser avec, cela doit finir par être possible.
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une réécriture de la section 13 de la FAQ, ou cela en est-il ? Parce que même si elle "n'est pas maintenue et contient des erreurs", elle m'a bien servi pour appréhender le paramétrage et le fonctionnement d'ipsec sous Open.
Eric
-- Je retire ce que j'ai dit pour Zizi Jeanmaire : j'ai été devancé d'une demi-heure par gdlf et j'ai horreur de ne pas être le premier à dire une connerie. -+-TH in <http://www.le-gnu.net>: Les Paul position -+-
"Jacques" == Jacques Caron <jc@imfeurope.com> writes:
Jacques> Ah, je pensais que ça se ressemblait. Mais comment est-ce-que
Jacques> tu détermines quel trafic doit être chiffré ou pas ?
Pour le moment, dans le fichier de conf isakmpd ou chaque peer est en
ID-type IPV4_ADDR, ce qui spécifie un lien de type transport, par contre
je n'ai aucun contrôle sur le type de traffic qui subira la
transformation (a ce point, tout traffic entre les deux hôtes est
chiffré)
Jacques> Il doit bien y avoir un sélecteur d'adresses IP et/ou
Jacques> d'interfaces sur lesquelles effectuer du chiffrement, non?
Euh, en relisant la page de man isakmpd.conf(5) pour environ la 20ème
fois en trois jours, je viens de tomber sur une piste au niveau de la
section _IPsec-ID_ avec les mots clés protocol et port, que je n'avais
pas vu jusqu'à maintenant.
http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&apropos=0&sektion=0&manpath=OpenBSD+3.4&arch=i386&format=html
Jacques> Je dois avouer que la config de isakmpd me laisse quelquefois
Jacques> rêveur.
isakmpd semble très puissant en termes de configuration et son
paramétrage est logiquement assez complexe. Racoon est lui moins
fouillé, mais son fichier de conf est vraiment plus simple à
appréhender.
Jacques> J'ai un setup qui marche très bien, mais j'avoue qu'on me
Jacques> demanderait de l'expliquer, j'aurais du mal! ;-(
Ben à force de bosser avec, cela doit finir par être possible.
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une
réécriture de la section 13 de la FAQ, ou cela en est-il ?
Parce que même si elle "n'est pas maintenue et contient des erreurs",
elle m'a bien servi pour appréhender le paramétrage et le fonctionnement
d'ipsec sous Open.
Eric
--
Je retire ce que j'ai dit pour Zizi Jeanmaire : j'ai été devancé d'une
demi-heure par gdlf et j'ai horreur de ne pas être le premier à dire
une connerie.
-+-TH in <http://www.le-gnu.net>: Les Paul position -+-
Jacques> Ah, je pensais que ça se ressemblait. Mais comment est-ce-que Jacques> tu détermines quel trafic doit être chiffré ou pas ?
Pour le moment, dans le fichier de conf isakmpd ou chaque peer est en ID-type IPV4_ADDR, ce qui spécifie un lien de type transport, par contre je n'ai aucun contrôle sur le type de traffic qui subira la transformation (a ce point, tout traffic entre les deux hôtes est chiffré)
Jacques> Il doit bien y avoir un sélecteur d'adresses IP et/ou Jacques> d'interfaces sur lesquelles effectuer du chiffrement, non?
Euh, en relisant la page de man isakmpd.conf(5) pour environ la 20ème fois en trois jours, je viens de tomber sur une piste au niveau de la section _IPsec-ID_ avec les mots clés protocol et port, que je n'avais pas vu jusqu'à maintenant. http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&apropos=0&sektion=0&manpath=OpenBSD+3.4&arch=i386&format=html
Jacques> Je dois avouer que la config de isakmpd me laisse quelquefois Jacques> rêveur.
isakmpd semble très puissant en termes de configuration et son paramétrage est logiquement assez complexe. Racoon est lui moins fouillé, mais son fichier de conf est vraiment plus simple à appréhender.
Jacques> J'ai un setup qui marche très bien, mais j'avoue qu'on me Jacques> demanderait de l'expliquer, j'aurais du mal! ;-(
Ben à force de bosser avec, cela doit finir par être possible.
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une réécriture de la section 13 de la FAQ, ou cela en est-il ? Parce que même si elle "n'est pas maintenue et contient des erreurs", elle m'a bien servi pour appréhender le paramétrage et le fonctionnement d'ipsec sous Open.
Eric
-- Je retire ce que j'ai dit pour Zizi Jeanmaire : j'ai été devancé d'une demi-heure par gdlf et j'ai horreur de ne pas être le premier à dire une connerie. -+-TH in <http://www.le-gnu.net>: Les Paul position -+-
Miod Vallat
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une réécriture de la section 13 de la FAQ, ou cela en est-il ?
Si suffisamment de gens envoient de gentils messages à nick@ afin de lui mettre doucement la pression, il n'est pas impossible qu'elle soit réecrite pour la sortie de 3.5.
Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une
réécriture de la section 13 de la FAQ, ou cela en est-il ?
Si suffisamment de gens envoient de gentils messages à nick@ afin de lui
mettre doucement la pression, il n'est pas impossible qu'elle soit
réecrite pour la sortie de 3.5.
Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Enfin, question aux OpenBSDistes du coin, pas mal de liens parlent d'une réécriture de la section 13 de la FAQ, ou cela en est-il ?
Si suffisamment de gens envoient de gentils messages à nick@ afin de lui mettre doucement la pression, il n'est pas impossible qu'elle soit réecrite pour la sortie de 3.5.
Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Eric Masson
"Miod" == Miod Vallat writes:
Miod> Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Marfi Tonton Miod ;)
Eric Masson
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution, les hommes sont encore au stade *primitive* : peur de ce k'on ne connait pas, juger ses sembles a tout prix, coller une etiquette et j'en passe. -+- Gl in : <http://www.le-gnu.net> - fufe, c'est du Darwin -+-
"Miod" == Miod Vallat <miod@online.fr> writes:
Miod> Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Marfi Tonton Miod ;)
Eric Masson
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution,
les hommes sont encore au stade *primitive* : peur de ce k'on ne connait
pas, juger ses sembles a tout prix, coller une etiquette et j'en passe.
-+- Gl in : <http://www.le-gnu.net> - fufe, c'est du Darwin -+-
Miod> Mais surtout, ne dites pas que c'est moi qui vous ait dit ça.
Marfi Tonton Miod ;)
Eric Masson
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution, les hommes sont encore au stade *primitive* : peur de ce k'on ne connait pas, juger ses sembles a tout prix, coller une etiquette et j'en passe. -+- Gl in : <http://www.le-gnu.net> - fufe, c'est du Darwin -+-
