En mode Tunnel, le paquet IP interne détermine la stratégie IPsec qui protège son contenu.
Cette procédure est une extension de la procédure Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec. La configuration est décrite à la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN.
Pour une description plus détaillée des raisons pour lesquelles certaines commandes doivent être exécutées, reportez-vous aux étapes correspondantes à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.
Outre la connexion de deux systèmes, vous connectez deux intranets qui leur sont connectés. Les systèmes de cette procédure fonctionnent comme des passerelles.
Avant de commencer
Chaque système est une zone globale ou une zone en mode IP exclusif. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.
Un utilisateur disposant des droits spécifiques peut exécuter les commandes sans être utilisateur root.
Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).
Pour modifier les fichiers système ayant trait à IPsec et créer des clés, vous utilisez la commande pfedit.
Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier.
Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
# routeadm -d ipv4-routing # ipadm set-prop -p forwarding=off ipv4 # routeadm -u
La désactivation du transfert IP empêche le transfert de paquets d'un réseau vers un autre par l'intermédiaire de ce système. La commande routeadm est décrite à la page de manuel routeadm(1M).
# ipadm set-prop -p hostmodel=strong ipv4
L'activation du multihébergement IP strict requiert que les paquets de l'une des adresses de destination du système arrivent à l'adresse de destination adéquate.
Lorsque le paramètre hostmodel est défini sur strong, les paquets arrivant sur une interface particulière doivent être adressés à l'une des adresses IP locales de cette interface. Tous les autres paquets sont abandonnés, même les paquets envoyés vers d'autres adresses locales du système.
Assurez-vous que le service ssh est en cours d'exécution.
% svcs | grep network … online Aug_09 svc:/network/ssh:default
Pour obtenir des exemples supplémentaires, reportez-vous à la section Protection d'un VPN à l'aide d'IPsec en mode Tunnel (exemples).
Dans cette stratégie, la protection IPsec n'est pas requise entre les systèmes du réseau local et l'adresse IP interne de la passerelle, d'où l'ajout d'une déclaration bypass.
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-2. {tunnel tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
# LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-2. {tunnel tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Configurez IKE en suivant l'une des procédures de configuration décrites à la section Configuration d'IKEv2. La syntaxe du fichier de configuration IKE est décrite à la page de manuel ikev2.config(4). Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, reportez-vous à la section Configuration d'IKEv1 et à la page de manuel ike.config(4).
# ipsecconf -c /etc/inet/ipsecinit.conf
Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.
# svcadm refresh ipsec/policy
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.
# svcadm enable ipsec/policy
Les commandes suivantes configurent les interfaces internes et externes, créent le tunnel tun0 et attribuent des adresses IP au tunnel.
# ipadm create-ip net1 # ipadm create-addr -T static -a local=10.1.3.3 net1/inside # dladm create-iptun -T ipv4 -a local=192.168.13.213,remote=192.168.116.16 tun0 # ipadm create-ip tun0 # ipadm create-addr -T static \ -a local=10.1.3.3,remote=10.16.16.6 tun0/v4tunaddr
La première commande crée l'interface IP net1. La seconde commande ajoute des adresses à net1. La troisième commande crée l'interface IP tun0. La quatrième commande ajoute les adresses IP sont encapsulés dans la liaison de tunnel. Pour plus d'informations, reportez-vous aux pages de manuel dladm(1M) et ipadm(1M).
# ipadm create-ip net1 # ipadm create-addr -T static -a local=10.16.16.6 net1/inside # dladm create-iptun -T ipv4 -a local=192.168.116.16,remote=192.168.13.213 tun0 # ipadm create-ip tun0 # ipadm create-addr -T static \ -a local=10.16.16.6,remote=10.1.3.3 tun0/v4tunaddr
Pour plus d'informations sur ces commandes, reportez-vous aux pages de manuel dladm(1M) et ipadm(1M) ainsi qu'à la section Configuration d’une interface IPv4 du manuel Configuration et administration des composants réseau dans Oracle Solaris 11.2 . Pour plus d'informations sur les noms personnalisés, reportez-vous à la section Résolution de noms de périphériques réseau et des liaisons de données dans Oracle Solaris du manuel Configuration et administration des composants réseau dans Oracle Solaris 11.2 .
# ipadm set-ifprop -m ipv4 -p forwarding=on net1 # ipadm set-ifprop -m ipv4 -p forwarding=on tun0 # ipadm set-ifprop -m ipv4 -p forwarding=off net0
Le transfert IP signifie que les paquets arrivant peuvent être transférés. Le transfert IP signifie également que les paquets quittant l'interface peuvent provenir d'un autre emplacement. Pour que le transfert de paquet s'effectue sans erreur, vous devez activer le transfert IP à la fois sur l'interface réceptrice et sur l'interface émettrice.
Etant donné que l'interface net1 se trouve dans l'intranet, le transfert IP doit être activé pour net1. Comme tun0 connecte les deux systèmes via Internet, le transfert IP doit être activé pour tun0. Le transfert IP de l'interface net0 est désactivé afin d'éviter toute injection de paquets par un concurrent externe sur Internet dans l'intranet protégé.
# ipadm set-addrprop -p private=on net0
Même si le transfert IP de net0 est désactivé, l'implémentation d'un protocole de routage peut permettre d'annoncer l'interface. Par exemple, le protocole in.routed peut encore annoncer que net0 est disponible pour transférer des paquets à ses homologues dans l'intranet. Pour éviter ces annonces, définissez l'indicateur private de l'interface.
# svcadm restart svc:/network/initial:default
La route par défaut doit correspondre à un routeur bénéficiant d'un accès direct à Internet.
# route -p add net default 192.168.13.5
# route -p add net default 192.168.116.4
Même si l'interface net0 ne fait pas partie de l'intranet, net0 n'a pas besoin de passer par Internet pour atteindre le système homologue. Pour trouver son homologue, net0 requiert des informations sur le routage Internet. Pour le reste d'Internet, le système VPN apparaît comme étant un hôte, non un routeur. Par conséquent, vous pouvez utiliser un routeur par défaut ou exécuter le protocole de recherche de routeur pour rechercher le système. Pour plus d'informations, reportez-vous aux pages de manuel route(1M) et in.routed(1M).