doc-linux-fr-html 2013.01-3ubuntu1 / usr / share / doc / HOWTO / fr-html / VPN-Masquerade-HOWTO.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for HTML5 for Linux version 5.2.0">
<title>Linux VPN Masquerade HOWTO - Version fran�aise</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Linux VPN Masquerade
HOWTO - Version fran�aise</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">John D. Hardin
&lt;jhardin@wolfenet.com&gt;, version fran�aise par Yann Hirou
&lt;hirou@linuxfr.org&gt;</a></h3>
<p class="PUBDATE">$Revision: 2.19 $ $Date: 2000-10-22 12:07:43-07
$<br></p>
<div>
<div class="ABSTRACT"><a name="AEN11" id="AEN11"></a>
<p>Ce document d�crit comment configurer un pare-feu Linux pour
masquer le trafic d'un r�seau priv� virtuel (NdT: Virtual Private
Network, VPN) utilisant IPsec ou PPTP, vous permettant ainsi
d'�tablir une connexion VPN sans perdre ni la s�curit� ni la
flexibilit� apport�es par la connexion internet de votre pare-feu
Linux, et vous permettant de rendre accessible un serveur VPN qui
n'a pas d'adresse IP publique. Des informations sur la
configuration du client et du serveur VPN sont �galement
fournies.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="AEN13" id="AEN13">Introduction</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN15" id="AEN15">Introduction</a></h3>
<p>Ce document d�crit comment configurer le masquage d'un trafic
VPN de type IPsec ou PPTP. Les VPNs utilisant SSH (comme celui
vendu par F-Secure, et r�f�renc� dans le <a href=
"http://www.linux.org/help/ldp/mini/VPN.html" target="_top">VPN
mini-HOWTO</a>) sont fond�s sur un trafic TCP standard, et ne
n�cessitent aucune modification particuli�re du noyau.</p>
<p>Le masquage de VPN vous permet d'�tablir une ou plusieurs
sessions IPsec et/ou PPTP vers des serveurs VPN accessibles sur
internet via votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?firewall+machine"
target="_top">pare-feu internet</a> sans que vous deviez connecter
la machine sur laquelle tourne le client VPN directement � votre
<a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?internet+service+provider"
target="_top">FAI (Fournisseur d'Acc�s Internet)</a> - donc en
conservant tous les avantages de votre pare-feu internet sous
Linux. Il vous est �galement possible de configurer un serveur VPN
avec une adresse IP de r�seau priv� (voir le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a>) derri�re un pare-feu Linux faisant du masquage,
vous permettant ainsi de fournir de fa�on assez s�curis�e un acc�s
� un r�seau priv� via seulement une seule adresse IP r�f�renc�e - y
compris si cette adresse IP repr�sente celle d'une connexion modem
pouvant varier.</p>
<p>Il est tr�s fortement recommand� que vous compreniez,
configuriez et testiez le masquage IP avant de tenter de mettre en
place du masquage VPN. Consultez le <a href=
"http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html" target=
"_top">IP Masquerade HOWTO</a> et la page de ressources sur le
masquage IP � l'adresse <a href="http://ipmasq.cjb.net/" target=
"_top">http://ipmasq.cjb.net/</a> avant de commencer. La
planification et la mise en place de votre VPN et de votre pare-feu
d�passent le cadre de ce document. Voici quelques ressources :</p>
<ul>
<li>
<p><a href=
"http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html" target=
"_top">http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html</a></p>
</li>
<li>
<p><a href=
"http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html"
target=
"_top">http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html</a></p>
</li>
</ul>
<p>Le patch pour les noyaux de la s�rie 2.0.x fonctionne bien sur
la version 2.0.36 du noyau Linux, et a �t� int�gr� dans la version
2.0.37. Il doit �galement fonctionner sur les versions ant�rieures
� la 2.0.36, et devrait fonctionner sur les noyaux Linux jusqu'� la
version 2.1.102. Le code du masquage IP se trouvant dans le noyau a
�t� restructur� autour de la version 2.1.103, n�cessitant un patch
diff�rent pour les s�ries de noyaux 2.1.105+ et 2.2.x.. Un patch
est disponible pour les noyaux de 2.2.5 � 2.2.17, et il devrait
fonctionner sur les noyaux ant�rieurs.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN34" id="AEN34">Avis, Cr�dits &amp;
Ressources</a></h3>
<p>Le site o� trouver les patchs du noyau pour le masquage VPN avec
Linux est <a href=
"http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a></p>
<p>N'h�sitez pas � m'envoyer votre avis ou des commentaires sur ce
document � l'adresse <a href="mailto:jhardin@wolfenet.com" target=
"_top">&lt;jhardin@wolfenet.com&gt;</a>. La version actuelle est
disponible � l'adresse :</p>
<ul>
<li>
<p>HTML: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html</a></p>
</li>
<li>
<p>PostScript: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz</a></p>
</li>
<li>
<p>SGML source: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml</a></p>
</li>
</ul>
Si vous travaillez avec un noyau dont le num�ro de version est
sup�rieur � tous ceux mentionn�s dans ce document, <span class=
"emphasis"><i class="EMPHASIS">merci</i></span> de regarder s'il
n'y a pas une version � jour de ce HOWTO sur le site cit� ci-dessus
avant de me contacter directement.
<p>Il peut �galement �tre trouv� via le <a href=
"http://metalab.unc.edu/LDP/HOWTO/" target="_top">r�pertoire
HOWTO</a> du <a href="http://metalab.unc.edu/LDP/" target=
"_top">Linux Documentation Project</a> et le r�pertoire <tt class=
"LITERAL"><a href="file:/usr/doc/HOWTO/" target=
"_top">/usr/doc/HOWTO/</a></tt> sur la machine Linux la plus
proche. Ces copies ne sont pas directement mises � jour par moi,
donc elles peuvent �tre un peu d�pass�es.</p>
<p>J'ai personnellement de l'exp�rience sur le masquage de clients
IPsec et PPTP tournant sur MS W'98 et NT, sur la configuration d'un
serveur PPTP avec une adresse IP publique, et sur l'utilisation de
PPTP pour du routage inter-r�seaux.</p>
<p>Les informations sur le masquage d'un serveur PPTP avec une
adresse IP priv�e proviennent de discussions avec Len Bayles
<a href="mailto:len@isdi.com" target=
"_top">&lt;len@isdi.com&gt;</a>, Simon Cocking <a href=
"mailto:simon@ibs.com.au" target=
"_top">&lt;simon@ibs.com.au&gt;</a> et C. Scott Ananian <a href=
"mailto:cananian@lcs.mit.edu" target=
"_top">&lt;cananian@lcs.mit.edu&gt;</a>.</p>
<p>Le site pour le patch du noyau concernant uniquement le masquage
PPTP pour les s�ries de noyaux 2.1.105+ et les premiers 2.2.x est
<a href="http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html"
target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Le site pour le patch du noyau concernant la redirection de port
<tt class="LITERAL">ipportfw</tt> et pour l'outil de configuration
des noyaux 2.0.x est <a href=
"http://www.ox.compsoc.org.uk/~steve/portforwarding.html" target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port est incluse dans les noyaux 2.2.x, et
l'outil de configuration <tt class="LITERAL">ipmasqadm</tt>
contr�lant la redirection de port des 2.2.x peut �tre obtenu �
l'adresse <a href="http://juanjox.kernelnotes.org/" target=
"_top">http://juanjox.kernelnotes.org/</a>.</p>
<p>Le site pour le redirecteur IP g�n�rique <tt class=
"LITERAL">ipfwd</tt> est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
<p>Pleins de remerciements � Gordon Chaffee <a href=
"mailto:chaffee@cs.berkeley.edu" target=
"_top">&lt;chaffee@cs.berkeley.edu&gt;</a> pour avoir cod� et
partag� un patch pour traceroute qui permet de tracer le trafic
GRE. Il va se montrer d'une valeur inestimable pour la d�tection
d'erreurs si votre trafic GRE se trouve bloqu� quelque part. Le
patch est disponible � l'adresse <a href=
"http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz" target=
"_top">http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz</a></p>
<p>Encore plus de remerciements � Steve Chinatti <a href=
"mailto:chinatti@alumni.Princeton.EDU" target=
"_top">&lt;chinatti@alumni.Princeton.EDU&gt;</a> pour avoir partag�
sa modification du masquage IPsec, d'o� j'ai r�cup�r� sans vergogne
quelques id�es tr�s importantes...</p>
<p>De plus amples informations sur comment installer des r�gles de
pare-feu s'ex�cutant automatiquement - y compris comment utiliser
automatiquement la bonne adresse IP dans un environnement
d'adressage IP dynamique - peuvent se trouver � l'adresse <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a></p>
<p>Le site pour Linux FreeS/WAN (IPsec pour Linux) est <a href=
"http://www.xs4all.nl/~freeswan/" target=
"_top">http://www.xs4all.nl/~freeswan/</a> - c'est la solution de
VPN sous Linux conseill�e.</p>
<p>Un serveur PPTP Linux natif appel� PoPToP est disponible �
l'adresse <a href="http://www.moretonbay.com/vpn/pptp.html" target=
"_top">http://www.moretonbay.com/vpn/pptp.html</a> - pour les
informations les plus � jour sur PPTP sous Linux, allez y.</p>
<p>Paul Cadach <a href="mailto:paul@odt.east.telecom.kz" target=
"_top">&lt;paul@odt.east.telecom.kz&gt;</a> a �crit des patchs qui
ajoutent au pppd de Linux le support MS-CHAP-v2, MPPE et Multilink.
Allez voir <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz</a>
pour MS-CHAP et MPPE, et <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz</a>
pour Multilink. Un autre ensemble de patchs (probablement
int�ressants) pour pppd est disponible sur le site de
t�l�chargement de PoPToP � l'adresse <a href=
"http://www.moretonbay.com/vpn/download_pptp.html" target=
"_top">http://www.moretonbay.com/vpn/download_pptp.html</a>.</p>
<p>Le site du projet original PPTP pour Linux est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP</a> et
un patch pour ajouter les fonctionnalit�s de serveur PPTP est
disponible � l'adresse <a href=
"http://debs.fuller.edu/cgi-bin/display?list=pptp=222" target=
"_top">http://debs.fuller.edu/cgi-bin/display?list=pptp=222</a></p>
<p>Merci � Eric Raymond de maintenir <a href=
"http://www.tuxedo.org/jargon/" target="_top">Le fichier du Jargon
(The Jargon File)</a>, et � Denis Howe de maintenir <a href=
"http://foldoc.doc.ic.ac.uk/" target="_top">Le dictionnaire en
ligne gratuit de l'informatique (The Free On-line Dictionary of
Computing)</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN93" id="AEN93">Copyright &amp; mise
en garde</a></h3>
<p>Ce document est Coyright © 1999-2000 par John D. Hardin. Vous
avez la permission de le redistribuer sous les termes de la licence
LDP, disponible � l'adresse <a href=
"http://www.linuxdoc.org/COPYRIGHT.html" target=
"_top">http://www.linuxdoc.org/COPYRIGHT.html</a></p>
<p>Les informations fournies dans ce document sont correctes dans
la limite de mon savoir. Le masquage IP est <span class=
"emphasis"><i class="EMPHASIS">exp�rimental</i></span>, et il est
possible que j'aie fait des erreurs en �crivant ou testant le patch
du noyau, ou encore en �crivant les instructions dans ce document ;
� vous de d�cider si vous souhaitez effectuer les changements
indiqu�s dans ce document.</p>
<pre class="SCREEN"><span class="emphasis"><i class=
"EMPHASIS">L'AUTEUR NE PEUT ETRE TENU RESPONSABLE POUR DES DEGATS CAUSES PAR DES
ACTIONS BASEES SUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT.
SAUVEGARDEZ TOUTES LES DONNEES CRITIQUES AVANT D'EFFECTUER LES 
CHANGEMENTS INDIQUES DANS CE DOCUMENT. ASSUREZ VOUS D'AVOIR UN NOYAU
QUI MARCHE, SUR LEQUEL VOUS POUVEZ DEMARRER, AVANT DE PATCHER ET
DE RECOMPILER VOTRE NOYAU COMME INDIQUE DANS CE DOCUMENT.</i></span> </pre>
En d'autres mots, prenez des pr�cautions.</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN102" id="AEN102">Connaissances
requises</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN104" id="AEN104">Qu'est-ce qu'un VPN
?</a></h3>
<p>Un <a href="http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?VPN"
target="_top">R�seau Priv� Virtuel (Virtual Private Network)</a>,
ou "VPN", est un tunnel qui v�hicule le trafic d'un r�seau priv�
d'un syst�me terminal vers un autre, en empruntant un r�seau public
(comme l'internet), sans que les interm�diaires entre les deux
machines terminales soient visibles du point de vue du trafic
v�hicul�, et sans que les �quipements interm�diaires voient les
paquets qui sont en train de transiter dans le tunnel. Le tunnel
peut en option compresser et/ou crypter les donn�es, fournissant
des performances accrues et quelques mesures de s�curit�.</p>
<p>La partie "Virtuelle" vient du fait que vous construisez une
liaison priv�e au dessus d'un r�seau public, plut�t que d'acheter
une liaison en dur sur une ligne lou�e. Le VPN vous permet de
consid�rer que vous utilisez une ligne lou�e ou une ligne
t�l�phonique pour communiquer entre les deux points terminaux.</p>
<p>Pour information, vous pouvez trouver la FAQ sur le VPN �
l'adresse <a href=
"http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html" target=
"_top">http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN111" id="AEN111">Qu'est-ce qu'IPsec
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?IPsec" target=
"_top">IPsec</a></i></span> est un ensemble de protocoles standards
pour impl�menter des communications s�curis�es ainsi que l'�change
de cl�s de cryptage entre ordinateurs. Il peut �tre utilis� pour
mettre en place un VPN.</p>
<p>Un r�seau priv� virtuel IPsec consiste g�n�ralement en deux
canaux de communication entre les machines terminales : un canal
d'�change de cl�s, par lequel les informations sur
l'authentification et les cl�s de cryptage transitent, et un ou
plusieurs canaux de donn�es par lesquels le trafic du r�seau priv�
est v�hicul�.</p>
<p>Le canal d'�change de cl�s est une connexion UDP standard en
provenance de et vers le port 500. Le canal de donn�es transportant
le trafic entre le client et le serveur utilise le protocole IP
num�ro 50 (ESP).</p>
<p>Vous pouvez trouver de plus amples informations dans la FAQ
IPsec de F-Secure, � l'adresse <a href=
"http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html"
target=
"_top">http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html</a>,
et dans les <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2402.html" target=
"_top">RFC2402</a> (le protocole AH, protocole IP num�ro 51),
<a href="http://andrew2.andrew.cmu.edu/rfc/rfc2406.html" target=
"_top">RFC2406</a> (le protocole ESP, protocole IP num�ro 50), et
<a href="http://andrew2.andrew.cmu.edu/rfc/rfc2408.html" target=
"_top">RFC2408</a> (le protocole d'�change de cl�s ISAKMP).</p>
<p>IPsec est un protocole de communication sym�trique. Cependant,
vu que la plupart des gens vont s'y trouver confront� uniquement
sous la forme d'un client Windows acc�dant � une passerelle
centrale de s�curit� r�seau, le terme "client" va �tre utilis� pour
d�signer la machine devant laquelle l'utilisateur est assis, et le
terme "serveur" va �tre utilis� pour d�signer la passerelle
centrale de s�curit� r�seau.</p>
<p>Note importante : si votre VPN est bas� sur le protocole AH (y
compris AH+ESP), il ne peut pas �tre masqu�. Le protocole AH
utilise un contr�leur d'int�grit� cryptographique sur des parties
de l'ent�te IP, y compris l'adresse IP. Le masquage IP modifie
l'adresse source pour les paquets sortants, et l'adresse
destination pour les paquets entrants. La passerelle de masquage ne
pouvant pas participer � l'�change de cl�s, elle ne peut pas
r�g�n�rer correctement les contr�leurs d'int�grit� cryptographiques
pour les ent�tes IP modifi�s. Les paquets IP modifi�s seront donc
rejet�s par le destinataire comme des paquets invalides, car ils ne
passeront pas le test d'int�grit� cryptographique.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN125" id="AEN125">Qu'est-ce que PPTP
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?PPTP" target=
"_top">PPTP</a></i></span> signifie <span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint-to-<span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint <span class=
"emphasis"><i class="EMPHASIS">T</i></span>unnelling <span class=
"emphasis"><i class="EMPHASIS">P</i></span>rotocol. C'est un
protocole propos� par Microsoft pour r�aliser un VPN.</p>
<p>Le protocole VPN PPTP consiste en deux canaux de communication
entre le client et le serveur : un canal de contr�le par lequel les
informations de gestion du lien transitent, et un canal de donn�es
par lequel le trafic (�ventuellement crypt�) du r�seau priv� est
v�hicul�.</p>
<p>Le canal de contr�le est une connexion TCP standard vers le port
1723 du serveur. Le canal de donn�es v�hiculant le trafic du r�seau
priv� utilise le protocole IP num�ro 47, un protocole
d'encapsulation g�n�rique d�crit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1701.html" target=
"_top">RFC1701</a>. La transmission transparente des donn�es sur le
canal de donn�es est r�alis�e par la n�gociation d'une connexion
PPP standard sur ce canal, simplement comme s'il s'agissait d'une
connexion modem directement du client vers le serveur. Les options
n�goci�es sur le tunnel via le protocole PPP contr�lent si les
donn�es sont compress�es et/ou crypt�es, et donc PPTP n'a rien �
voir avec le cryptage.</p>
<p>Les d�tails du protocole PPTP sont document�s dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">RFC2637</a>.</p>
<p>L'impl�mentation du protocole PPTP par Microsoft n'est pas
consid�r�e comme tr�s s�curis�e. Si vous �tes int�ress�s par les
d�tails, voici trois analyses diff�rentes :</p>
<p><a href="http://www.counterpane.com/pptp.html" target=
"_top">http://www.counterpane.com/pptp.html</a></p>
<p><a href="http://www.geek-girl.com/bugtraq/1999_1/0664.html"
target=
"_top">http://www.geek-girl.com/bugtraq/1999_1/0664.html</a></p>
<p><a href="http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html"
target=
"_top">http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN146" id="AEN146">Qu'est-ce que FWZ
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">FWZ</i></span> est un
protocole de cryptage propri�taire d�velopp� par <a href=
"http://www.checkpoint.com/" target="_top">Check Point Software
Technologies</a>. Il est utilis� dans les VPNs qui sont construits
autour de leur produit Firewall-1.</p>
<p>Un pare-feu Checkpoint peut �tre configur� avec diff�rents
modes. Le mode d' "encapsulation FWZ" <span class=
"emphasis"><i class="EMPHASIS">ne peut pas</i></span> �tre masqu�.
Le mode "IKE", qui utilise les protocoles standards IPsec, peut
�tre masqu� avec des changements de configuration minimes sur la
passerelle VPN.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN153" id="AEN153">Pourquoi masquer un
client VPN ?</a></h3>
<p>La plupart des clients VPN actuels partent du principe que vous
allez connecter l'ordinateur client directement � internet. Faire
cela lorsque vous n'avez qu'une seule connexion d'acc�s internet
contourne votre pare-feu Linux, la s�curit�, ainsi que les
capacit�s de partage d'acc�s qu'il fournit. �tendre le pare-feu
Linux pour aussi masquer le trafic VPN vous permet de conserver la
s�curit� pare-feu fournie par le pare-feu Linux, ainsi que
d'autoriser d'autres syst�mes de votre r�seau local � acc�der �
internet, sans avoir � prendre en compte le fait que la connexion
VPN soit active ou non.</p>
<p>Si votre pare-feu est utilis� en environnement professionnel,
vous pouvez �galement souhaiter imposer aux utilisateurs clients du
VPN de traverser ce pare-feu pour des raisons de s�curit�, plut�t
que de leur fournir des modems pour qu'ils puissent se connecter
tout seuls � l'ext�rieur quand ils ont besoin d'utiliser le VPN. Le
masquage VPN vous permet de le faire m�me si les machines clientes
n'ont pas des adresses IP publiques.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN157" id="AEN157">Plusieurs clients
sur mon r�seau local peuvent-ils utiliser IPsec simultan�ment
?</a></h3>
<p>Oui, bien qu'il puisse y avoir parfois quelques probl�mes
mineurs.</p>
<p>Les protocoles IPsec d�finissent une m�thode pour identifier les
flux de trafic appel�e <span class="emphasis"><i class=
"EMPHASIS">Index des Param�tres de S�curit� (Security Parameters
Index)</i></span> ("SPI"). Malheureusement le SPI utilis� pour le
trafic sortant est diff�rent du SPI utilis� pour le trafic entrant,
et il n'y a pas d'autre information permettant l'identification qui
ne soit pas crypt�e, donc l'association entre le flux entrant et le
flux sortant est difficile et pas parfaitement fiable.</p>
<p>Le masquage IPsec tente d'associer les trafics ESP entrant et
sortant en mettant en s�rie les nouvelles connexions. Alors que
ceci fonctionne bien pendant les tests, on ne peut pas garantir que
ce soit parfaitement fiable, et la s�rialisation des nouveaux
trafics peut aboutir � des fins d'attente (timeouts) si la liaison
est satur�e ou si plusieurs machines locales faisant de l'IPsec
tentent d'initier des communications ou de r��changer leurs cl�s
simultan�ment, avec la m�me machine distante faisant de
l'IPsec.</p>
<p>Il est �galement reconnu que ce sch�ma associatif peut ne pas
arriver � associer les flux de trafic correctement, les machines
faisant de l'IPsec ne vont alors pas prendre en compte le trafic
mal dirig�, car il aura de mauvaises valeurs SPI. Ce comportement
est requis par le RFC sur IPsec.</p>
<p>Ces probl�mes auraient pu �tre supprim�s s'il y avait eu un
moyen d'�couter les nouvelles valeurs SPI provenant de l'�change de
cl�s ISAKMP avant que le moindre trafic ESP n'apparaisse, mais
malheureusement cette partie de l'�change de cl�s est crypt�e.</p>
<p>Afin de minimiser les probl�mes associ�s � cela, il est
recommand� d'ouvrir une fen�tre de commandes sur votre machine
IPsec masqu�e, et de lancer le programme "ping" vers une machine du
r�seau distant pour maintenir le tunnel actif.</p>
<p>Regardez les notes techniques sur IPsec � la fin du document
pour de plus amples d�tails.</p>
<p><a name="MULTICLIENTPPTP" id="MULTICLIENTPPTP"></a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN169" id="AEN169">Plusieurs clients
sur mon r�seau local peuvent-ils utiliser PPTP simultan�ment
?</a></h3>
<p>Oui.</p>
<p>Vous devez mettre en place le masquage d'identifiant d'appel
PPTP (PPTP Call ID) lors de la configuration de votre noyau, afin
de distinguer les diff�rents flux de donn�es en provenance du m�me
serveur. Le masquage PPTP avec le masquage d'identifiant d'appel
activ� va permettre d'avoir plusieurs sessions masqu�es simultan�es
sans restriction sur le choix du serveur que le client appelle.</p>
<p><a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">Le RFC sur PPTP</a> sp�cifie dans la section 3.1.3 qu'il ne
peut y avoir qu'un seul canal de contr�le entre deux syst�mes. Ceci
<span class="emphasis"><i class="EMPHASIS">devrait</i></span>
signifier que vous pouvez masquer seulement une session PPTP � la
fois avec un serveur distant donn�, mais dans la pratique
l'impl�mentation PPTP de MS ne tient pas compte de �a, tout du
moins pas dans le Service Pack 4 de NT 4.0. Si le serveur PPTP que
vous cherchez � atteindre n'autorise qu'une seule connexion � la
fois, il suit correctement le protocole. Notez que cela n'affecte
pas un serveur masqu�, mais seulement plusieurs clients masqu�s
cherchant � se connecter au m�me serveur distant.</p>
<p>Pour d'autres alternatives, voir la question suivante...</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN177" id="AEN177">Puis-je acc�der au
r�seau distant depuis l'ensemble de mon r�seau local ?</a></h3>
<p>Oui. Cependant, votre client VPN doit pouvoir faire suivre un
trafic IP (IP forwarding).</p>
<p>Ceci signifie que vous devrez utiliser soit un client VPN Linux
ou un client VPN MS NT. La pile IP de W'95 et W'98 ne permet pas de
faire suivre un trafic IP. NT Workstation le g�re, et est moins
cher que NT Server si vous ne l'utilisez que pour router un trafic
crypt�.</p>
<p>Si vous ne pouvez pas installer un client Linux ou NT, alors
vous devrez activer le masquage d'identifiant d'appel PPTP si vous
utilisez PPTP, et installer un logiciel client VPN sur toutes les
machines auxquelles vous voulez fournir un acc�s. Ceci est peu
efficace, esth�tiquement r�voltant, s�curitairement mauvais, et
peut ne pas fonctionner si le serveur PPTP impl�mente correctement
le protocole, mais c'est moins cher que d'acheter des licences
NT.</p>
<p>Le routage r�seau � r�seau avec cette m�thode fonctionne tr�s
bien. C'est comme �a que j'ai install� mon r�seau � la maison. Cela
requiert un petit peu plus de connaissances r�seau que de
simplement donner � tout le monde son client VPN.</p>
<p>De par mon exp�rience, le routage de r�seau � r�seau dans un
environnement purement MS requiert l'installation de RRAS des deux
c�t�s du tunnel.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN184" id="AEN184">Pourquoi masquer le
serveur VPN ?</a></h3>
<p>Si votre serveur VPN a une adresse IP publique, vous n'avez pas
besoin de le masquer, configurez simplement votre pare-feu pour
router le trafic VPN correctement, comme indiqu� plus bas.</p>
<p>Si votre serveur VPN a une adresse IP de r�seau priv�, vous
aurez besoin de rediriger vers lui le trafic entrant, et de masquer
son trafic sortant. Le masquage vous permet de rendre le serveur
VPN accessible depuis internet m�me si vous n'avez qu'une seule
adresse IP publique. Ceci devrait aussi fonctionner m�me si votre
adresse IP est assign�e dynamiquement : rendez simplement publique
l'adresse IP pour les clients au travers de l'utilisation d'un
service de DNS dynamique externe, comme par exemple celui fourni
par <a href="http://www.ddns.org/" target="_top">DDNS.ORG</a> ou
<a href="http://www.cjb.net/" target="_top">CJB.NET</a> et
configurez les clients pour se connecter � une machine appel�e
<tt class="LITERAL">notre-entreprise.ddns.org</tt> ou quelque chose
du genre. Notez que ceci est une faille de s�curit�, car il est
possible que le client r�cup�re du serveur DNS dynamique une
mauvaise adresse IP � cause d'une mauvaise synchronisation, suite �
un probl�me lors de l'enregistrement de l'adresse IP actuelle, ou
suite � l'enregistrement d'une adresse IP diff�rente avec le m�me
nom par une tierce partie.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN191" id="AEN191">Pourquoi patcher le
noyau Linux ?</a></h3>
<p>Le plus gros probl�me dans le masquage de trafic VPN vient du
fait que le masquage IP Linux de base n'a aucune connaissance des
protocoles IP autres que TCP, UDP et ICMP.</p>
<p>Tout le trafic peut �tre redirig� et filtr� par adresse IP, mais
le masquage de protocoles IP autres que TCP, UDP et ICMP n�cessite
une modification du noyau.</p>
<p>Le canal de contr�le PPTP est du TCP pur, et ne n�cessite aucune
configuration particuli�re autre que de le laisser passer au
travers du pare-feu et de le masquer.</p>
<p>Masquer les canaux de donn�es IPsec et PPTP n�cessite une
modification qui ajoute le support des protocoles ESP et GRE au
code de masquage, et le masquage du protocole d'�change de cl�s
ISAKMP n�cessite une modification qui emp�che l'op�ration de
masquage de modifier le num�ro de port UDP source et qui remplace
le suivi des valeurs de cookies ISAKMP par le suivi du num�ro de
port.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN197" id="AEN197">�tat actuel</a></h3>
<p>Le patch pour les noyaux 2.0.x fonctionne sur le noyau 2.0.36 et
est inclus dans les versions standards des noyaux 2.0.37 et
sup�rieurs. Il devrait fonctionner sur les noyaux ant�rieurs, mais
je n'ai pas test�, et je vous recommande, si vous utilisez un noyau
plus ancien, de passer au noyau 2.0.38 pour des questions de
s�curit�.</p>
<p>Le patch pour les noyaux 2.2.x fonctionne sur les noyaux de
2.2.5 � 2.2.17, et devrait fonctionner sur les noyaux plus r�cents,
mais �a n'a pas �t� test�. Il a �t� soumis pour �tre inclus dans la
version standard 2.2.18.</p>
<p>Je n'ai pas les moyens de suivre les noyaux de d�veloppement,
donc actuellement aucun travail n'a �t� fait sur le masquage VPN
pour les 2.3.x et 2.4.x. Si vous connaissez quelqu'un qui
<span class="emphasis"><i class="EMPHASIS">travaille</i></span>
dessus, merci de me le faire savoir.</p>
<p>Le patch pour les noyaux 2.0.x a �t� test� et fonctionne sur les
machines � base de x86 et sparc, et le patch pour les noyaux 2.2.x
a �t� test� et fonctionne sur les machines � base de x86 et
PowerPC, mais il ne devrait pas y avoir de probl�me majeur pour le
porter sur d'autres architectures. Je crois que les d�pendances
vis-�-vis des architectures proviennent seulement de la
repr�sentation interne des nombres dans la d�finition de l'ent�te
GRE utilis� pour formater les messages du journal et de d�boguage.
Si quelqu'un porte ce patch pour une architecture autre qu'Intel,
j'appr�cierais d'en avoir un �cho, afin que je puisse int�grer les
changements � la version d'origine.</p>
<p>Un patch noyau sp�cifique � PPTP pour les noyaux 2.1.105+ et les
premiers 2.2.x est disponible � l'adresse <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Allez voir le site sur le masquage VPN � l'adresse <a href=
"http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a>
pour l'�tat des patchs de masquage VPN, et <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>
pour l'�tat du patch de masquage sp�cifique pour PPTP s'appliquant
aux 2.1.105+/2.2.x.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN209" id="AEN209">Configurer le
pare-feu Linux</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN211" id="AEN211">Exemple de
r�seau</a></h3>
<p>Pour les exemples de configuration avec des adresses IP priv�es
de ce document, nous allons utiliser cet exemple de r�seau :</p>
<pre class="SCREEN">
Internet-------- 200.200.200.*   ppp0 ou  200.200.200.200 eth1
                                 Pare-feu Linux � deux cartes
            .--- 10.0.0.1        eth0
            |
            |--- 10.0.0.2        Client ou serveur VPN
            |</pre>
Pour les exemples de configuration avec des adresses IP publiques
de ce document, nous allons utiliser cet exemple de r�seau :
<pre class="SCREEN">Internet-------- 200.200.200.200 eth1
                                 Pare-feu Linux � deux cartes
            .--- 222.0.0.1       eth0
            |
            |--- 222.0.0.2       Client ou serveur VPN
            |</pre>
Le serveur VPN auquel les clients des exemples se connecteront sera
<tt class="LITERAL">199.0.0.1</tt>
<p>Les clients VPN qui se connecteront au serveur des exemples
seront <tt class="LITERAL">199.0.0.2</tt> et <tt class=
"LITERAL">199.0.0.3</tt></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN220" id="AEN220">D�terminer ce qui
doit �tre fait sur le pare-feu</a></h3>
<p>Si votre client ou serveur VPN a une adresse IP publique, vous
n'avez <span class="emphasis"><i class="EMPHASIS">pas</i></span>
besoin de faire du masquage ni de modifier votre noyau - le noyau
de base va correctement router tout trafic VPN. Vous pouvez
directement passer aux sections ci-dessous sur la mise en place
avec adresse IP publique.</p>
<p>Si votre client ou serveur VPN a une adresse IP de r�seau priv�
comme d�crit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a> vous avez besoin de patcher votre noyau (� moins
que ce ne soit un noyau 2.0.37 ou sup�rieur, dans la s�rie
2.0.x).</p>
<p>Si vous installez un serveur VPN masqu�, vous allez aussi devoir
r�cup�rer les deux paquetages suivants.</p>
<p></p>
<ul>
<li>
<p>Pour rediriger le trafic TCP/UDP entrant (le canal de contr�le
PPTP 1723/tcp ou le canal ISAKMP 500/udp), vous avez besoin du
patch noyau de redirection de port appropri� <tt class=
"LITERAL">ipportfw</tt> r�cup�rable sur <a href=
"http://www.ox.compsoc.org.uk/~steve/portforwarding.html" target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port a �t� incorpor�e dans les noyaux 2.2.x.
Regardez <tt class="LITERAL">man ipmasqadm</tt> pour les d�tails de
configuration. Si <tt class="LITERAL">ipmasqadm</tt> n'est pas
inclus dans votre distribution, il peut �tre obtenu � l'adresse
<a href="http://juanjox.kernelnotes.org/" target=
"_top">http://juanjox.kernelnotes.org/</a>.</p>
</li>
<li>
<p>Pour rediriger le tunnel contenant le trafic initial entrant
(GRE pour PPTP et ESP pour IPsec), vous avez besoin du redirecteur
IP g�n�rique <tt class="LITERAL">ipfwd</tt>, qui se trouve sur
<a href="http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/"
target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
</li>
</ul>
<p>Vous n'avez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> besoin de redirection de port ni d'ipfwd
si vous ne masquez que les clients.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN242" id="AEN242">Patcher et
configurer le noyau 2.0.x pour le support de masquage VPN</a></h3>
<p></p>
<ol type="1">
<li>
<p>Installez les sources du noyau (de pr�f�rence version 2.0.37),
que vous pouvez obtenir sur <a href="http://www.kernel.org/"
target="_top">http://www.kernel.org/</a> ou un site miroir. Les
sources doivent se d�compacter automatiquement dans le r�pertoire
<tt class="LITERAL">/usr/src/linux</tt>.</p>
</li>
<li>
<p>Configurer et tester le masquage IP standard (regardez le
<a href="http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html"
target="_top">IP Masquerade HOWTO</a>). Ceci va vous permettre de
vous familiariser avec la recompilation de votre noyau, et plus
largement, vous faire aborder le masquage IP.</p>
</li>
<li>
<p><span class="emphasis"><i class="EMPHASIS">Sauvegardez les
sources de votre noyau.</i></span></p>
</li>
<li>
<p>R�cup�rez le patch noyau si n�cessaire.</p>
<p>Si la version de votre noyau est 2.0.36 ou inf�rieure, r�cup�rez
le patch du masquage VPN pour noyau 2.0.x sur le site du masquage
VPN list� dans la section "Ressources" plus haut.</p>
<p>Si la version de votre noyau est 2.0.37 ou plus dans la s�rie
2.0.x, vous n'avez pas besoin d'appliquer de patch. Le code du
masquage VPN est inclus dans le noyau. Passez la discussion sur le
le patch du noyau.</p>
<p>Pour les besoins de ce document, nous supposerons que vous avez
sauvegard� le patch appropri� sous le chemin <tt class=
"LITERAL">/usr/src/ip_masq_vpn.patch.gz</tt>.</p>
</li>
<li>
<p>Appliquez le patch de masquage VPN � votre noyau, si n�cessaire
:</p>
<p></p>
<ul>
<li>
<p>Allez dans le r�pertoire des sources du noyau :</p>
<pre class="SCREEN"><tt class=
"LITERAL">cd /usr/src/linux</tt></pre></li>
<li>
<p>Appliquez le patch :</p>
<pre class="SCREEN"><tt class=
"LITERAL">zcat ../ip_masq_vpn.patch.gz &amp;verbar; patch -l -p0 &gt; vpn-patch.log 2&gt;&amp;1</tt></pre>
<pre class="SCREEN">
Notez que les options sont "tiret L minuscule, tiret P minuscule
zero".
Vous pourriez avoir des r�sultats �tranges si vous changez l'ordre des
arguments, car la commande patch semble sensible � l'ordre dans lequel
ils apparaissent sur la ligne de commande.</pre></li>
<li>
<p>V�rifiez le contenu du fichier <tt class=
"LITERAL">vpn-patch.log</tt> pour voir si certaines �tapes ont
�chou�. Si certaines �tapes n'ont pas fonctionn�, alors vous avez
s�rement oubli� des options, ou lanc� le programme patch depuis le
mauvais r�pertoire. Utilisez votre sauvegarde pour r�cup�rer votre
noyau, et recommencez.</p>
</li>
</ul>
</li>
<li>
<p>Si vous masquez un serveur VPN, r�cup�rez et installez le patch
<tt class="LITERAL">ipportfw</tt> depuis le site indiqu� plus
haut.</p>
<p>Il existe un conflit connu entre le patch de masquage VPN et
deux autres patchs r�seau : le patch de cha�nes pare-feu IP
(ipchains), et le patch ipportfw. Ils cherchent tous � ajouter des
options au m�me endroit dans <tt class=
"LITERAL">net/ipv4/Config.in</tt>, et les changements effectu�s par
un patch alt�rent le contexte recherch� par les autres patchs.</p>
<p>Si vous appliquez le patch de masquage VPN et les patchs de
cha�nes pare-feu IP ou ipportfw sur votre noyau 2.0.x, vous allez
devoir �diter � la main le fichier <tt class=
"LITERAL">net/ipv4/Config.in</tt> et ajouter le bloc des options de
configuration du fichier patch qui n'ont pas �t� appliqu�es. En
regardant le fichier patch vous devez trouver o� les nouvelles
options doivent �tre ajout�es dans le fichier <tt class=
"LITERAL">net/ipv4/Config.in</tt>.</p>
<p>La syntaxe des fichiers patch est simple. Pour chaque bloc de
changements � effectuer, il y a 2 parties : la premi�re indique
l'�tat "avant" avec une indication des lignes devant �tre chang�es
ou effac�es ; la seconde indique l'�tat "apr�s", avec une
indications des lignes qui ont �t� chang�es ou ajout�es. Utilisez
la premi�re partie pour trouver o� ajouter les lignes, et ajoutez
les lignes qui sont indiqu�es dans la seconde partie.</p>
<p>Ceci ne devrait pas �tre un probl�me, ces patchs �tant � jour
pour les noyaux 2.0.37+.</p>
</li>
<li>
<p>Configurez votre noyau et s�lectionnez les options suivantes -
r�pondez <span class="emphasis"><i class="EMPHASIS">YES</i></span>
� ce qui suit :</p>
<pre class="SCREEN">
* Prompt for development and/or incomplete code/drivers 
    CONFIG_EXPERIMENTAL 
        - Vous devez l'activer pour voir les options de masquage VPN

  * Networking support 
    CONFIG_NET 

  * Network firewalls 
    CONFIG_FIREWALL 

  * TCP/IP networking 
    CONFIG_INET 

  * IP: forwarding/gatewaying 
    CONFIG_IP_FORWARD 

  * IP: firewalling 
    CONFIG_IP_FIREWALL 

  * IP: masquerading (EXPERIMENTAL) 
    CONFIG_IP_MASQUERADE 
        - Option n�cessaire.

  * IP: PPTP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_PPTP
        - Active le masquage de canal de donn�es PPTP, si vous
          masquez un client ou un serveur PPTP.

  * IP: PPTP Call ID masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_PPTP_MULTICLIENT
        - Active le masquage d'identifiant d'appel PPTP; n�cessaire
          uniquement si vous comptez masquer plusieurs clients
          se connectant au m�me serveur distant. N'activez PAS
          cette option si vous masquez un serveur PPTP.

  * IP: IPsec ESP &amp; ISAKMP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPSEC
        - Active le masquage IPsec, si vous masquez une machine
          IPsec.

  * IP: IPSEC masq table lifetime (minutes)
        - Voyez avec votre administrateur r�seau pour d�terminer
          quel est "l'intervalle de renouvellement des cl�s"
          ou la "dur�e de validit� d'une cl�".
          La dur�e de validit� par d�faut pour les entr�es de la
          table de masquage est de trente minutes.
          Si l'intervalle de renouvellement des cl�s est sup�rieur
          � trente minutes, vous devez alors augmenter la dur�e 
          de validit� jusqu'� une valeur l�g�rement sup�rieure
          � l'intervalle de renouvellement des cl�s.

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG 
        - Tr�s fortement recommand� pour un pare-feu.
</pre>
<span class="emphasis"><i class="EMPHASIS">NOTE :</i></span> ce ne
sont que les �l�ments dont vous avez besoin pour le masquage.
S�lectionnez �galement toutes les autres options dont vous avez
besoin pour votre configuration sp�cifique.</li>
<li>
<p>Recompilez le noyau, et installez-le pour le tester. Ne
remplacez pas un noyau qui marche par votre nouveau noyau tant que
vous n'avez pas v�rifi� qu'il fonctionnait.</p>
</li>
</ol>
<p>Pour d�terminer si le noyau qui tourne inclut ou non le support
du masquage VPN, lancez la commande suivante :</p>
<pre class="SCREEN">grep -i masq /proc/ksyms</pre>
...et cherchez les entr�es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class=
"LITERAL">ip_masq_out_get_isakmp</tt>, <tt class=
"LITERAL">ip_masq_in_get_isakmp</tt>, <tt class=
"LITERAL">ip_fw_masq_esp</tt> et <tt class=
"LITERAL">ip_fw_demasq_esp</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_fw_masq_gre</tt> et
<tt class="LITERAL">ip_fw_demasq_gre</tt></p>
</li>
<li>
<p>Masquage d'identifiant d'appel PPTP : <tt class=
"LITERAL">ip_masq_pptp</tt></p>
</li>
</ul>
<p>Si vous ne trouvez pas ces entr�es, le masquage VPN n'est
probablement pas support�. Si vous avez des messages d'erreurs sur
l'indisponibilit� de <tt class="LITERAL">/proc/ksyms</tt> ou de
<tt class="LITERAL">/proc</tt>, assurez-vous d'avoir activ� le
syst�me de fichiers <tt class="LITERAL">/proc</tt> dans la
configuration de votre noyau.</p>
<p>Regardez le <a href=
"http://metalab.unc.edu/LDP/HOWTO/Kernel-HOWTO.html" target=
"_top">Kernel HOWTO</a> pour plus de d�tails sur la configuration
et la recompilation de votre noyau.</p>
<p>Si vous utilisez le masquage IPsec et que votre syst�me g�n�re
des erreurs de protection g�n�rale (regardez <tt class=
"LITERAL">/var/log/messages</tt>) ou bien se bloque, regardez le
<a href="http://www.impsec.org/linux/masquerade/ip_masq_vpn.html"
target="_top">site du masquage VPN</a> pour une mise � jour. Ce
patch est pour le noyau 2.0.38, mais devrait fonctionner sur les
noyaux ant�rieurs. Il a �t� soumis � Alan Cox pour �tre inclus dans
le noyau 2.0.39.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN320" id="AEN320">Patcher et
configurer le noyau 2.2.x pour le support de masquage VPN</a></h3>
<p></p>
<ol type="1">
<li>
<p>Installez les sources du noyau (de pr�f�rence version 2.2.17 ou
plus), que vous pouvez obtenir sur <a href="http://www.kernel.org/"
target="_top">http://www.kernel.org/</a> ou un miroir. Les sources
doivent �tre automatiquement extraites dans le r�pertoire
<tt class="LITERAL">/usr/src/linux</tt>.</p>
</li>
<li>
<p>Configurez et testez le masquage IP standard (regardez le
<a href="http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html"
target="_top">IP Masquerade HOWTO</a>). Ceci va vous permettre de
vous familiariser avec la recompilation de votre noyau, et plus
largement, vous faire aborder le masquage IP.</p>
</li>
<li>
<p><span class="emphasis"><i class="EMPHASIS">Sauvegardez les
sources de votre noyau.</i></span></p>
</li>
<li>
<p>R�cup�rez le patch noyau depuis le site du masquage VPN indiqu�
dans la section "Ressources" plus haut.</p>
<p>Pour les besoins de ce document, nous supposerons que vous avez
sauvegard� le patch appropri� sous <tt class=
"LITERAL">/usr/src/ip_masq_vpn.patch.gz</tt>.</p>
</li>
<li>
<p>Appliquez le patch de masquage VPN � votre noyau, si
n�cessaire.</p>
<p></p>
<ul>
<li>
<p>Allez dans le r�pertoire des sources :</p>
<pre class="SCREEN"><tt class="LITERAL">cd /usr/src</tt></pre></li>
<li>
<p>Appliquez le patch :</p>
<pre class="SCREEN"><tt class=
"LITERAL">zcat ip_masq_vpn.patch.gz &amp;verbar; patch -l -p0 &gt; vpn-patch.log 2&gt;&amp;1</tt></pre>
<pre class="SCREEN">
Notez que les options sont "tiret L minuscule, tiret P minuscule z�ro".
Vous pourriez avoir des r�sultats �tranges si vous changez l'ordre des arguments,
car la commande patch semble sensible � l'ordre dans lequel ils apparaissent sur
la ligne de commande.</pre>
<pre class="SCREEN">
Notez �galement que le r�pertoire depuis lequel vous lancez la commande
patch est diff�rent pour le patch noyau 2.2.x.</pre></li>
<li>
<p>V�rifiez le contenu du fichier <tt class=
"LITERAL">vpn-patch.log</tt> pour voir si certaines �tapes ont
�chou�. Si des �tapes ont �chou�, alors vous avez s�rement oubli�
des options, ou lanc� la commande patch depuis le mauvais
r�pertoire. Utilisez votre sauvegarde pour r�cup�rer votre noyau,
et recommencez.</p>
</li>
</ul>
</li>
<li>
<p>Si vous masquez un serveur VPN, vous n'avez <span class=
"emphasis"><i class="EMPHASIS">pas</i></span> besoin du patch
<tt class="LITERAL">ipportfw</tt> car la redirection de port est
maintenant de base. Regardez la page de manuel de <tt class=
"LITERAL">ipmasqadm</tt> pour de plus amples d�tails. Si <tt class=
"LITERAL">ipmasqadm</tt> n'est pas inclus dans votre distribution,
vous pouvez l'obtenir � l'adresse <a href=
"http://juanjox.kernelnotes.org/" target=
"_top">http://juanjox.kernelnotes.org/</a>.</p>
</li>
<li>
<p>Configurez votre noyau et s�lectionnez les options suivantes -
r�pondez <span class="emphasis"><i class="EMPHASIS">YES</i></span>
� ce qui suit :</p>
<pre class="SCREEN">
* Prompt for development and/or incomplete code/drivers 
    CONFIG_EXPERIMENTAL 
        - Vous devez l'activer pour voir les options de masquage VPN.

  * Networking support 
    CONFIG_NET 

  * Network firewalls 
    CONFIG_FIREWALL 

  * TCP/IP networking 
    CONFIG_INET 

  * IP: firewalling 
    CONFIG_IP_FIREWALL 

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG 
        - N�cessaire pour le masquage. Cette option peut �tre
          ou ne pas �tre dans la configuration de votre
          noyau. Si elle n'est pas pr�sente, vous
          devez ex�cuter ceci dans vos scripts de d�marrage :
        echo 1 &gt; /proc/sys/net/ipv4/ip_always_defrag

  * IP: masquerading (EXPERIMENTAL) 
    CONFIG_IP_MASQUERADE 
        - Option n�cessaire.

  * IP: masquerading special modules support
    CONFIG_IP_MASQUERADE_MOD
        - Option n�cessaire.

  * IP: ipportfw masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPPORTFW
        - Activer cette option va vous permettre de masquer un serveur VPN.

  * IP: PPTP masq support
    CONFIG_IP_MASQUERADE_PPTP
        - Active le masquage de canal de donn�es PPTP, si vous
          masquez un client ou un serveur PPTP. Cette option
          est maintenant disponible en module.
          Notez que vous n'avez plus besoin de sp�cifier
          le masquage d'identifiant d'appel.

  * IP: IPsec ESP &amp; ISAKMP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPSEC
        - Active le masquage IPsec, si vous masquez une machine
          IPsec. Cette option est maintenant disponible en module.

  * IP: IPsec masq table lifetime (minutes)
        - Voyez avec votre administrateur r�seau pour d�terminer
          quel est "l'intervalle de renouvellement des cl�s"
          ou "la dur�e de validit� d'une cl�".
          La dur�e de validit� par d�faut pour les entr�es de la
          table de masquage est de trente minutes.
          Si l'intervalle de renouvellement des cl�s est sup�rieur
          � trente minutes, vous devez alors augmenter la dur�e 
          de validit� jusqu'� une valeur l�g�rement sup�rieure
          � l'intervalle de renouvellement des cl�s.

  * IP: Enable parallel sessions (possible security risk - see help)
    CONFIG_IP_MASQUERADE_IPSEC_PAROK
        - Regardez les notes techniques sur le masquage IPsec et
          la section sp�ciale sur les informations sur la s�curit� de ce HOWTO
          pour �tre au courant des probl�mes de s�curit� lorsque
          vous faites du masquage. Si vous ne masquez qu'un seul client
          IPsec, cette option n'a aucun effet.
</pre>
R�pondez <span class="emphasis"><i class="EMPHASIS">NO</i></span> �
ce qui suit :
<pre class="SCREEN">  * IP: GRE tunnels over IP
    CONFIG_NET_IPGRE
        - Cette option n'a, contrairement aux apparences, 
          *RIEN* � voir avec PPTP. Elle active le support
          pour les tunnels GRE tels qu'ils sont utilis�s
          par les routeurs Cisco. Le fait que vous voyiez
          cette option n'implique pas que le support de
          PPTP est disponible. Vous devez toujours appliquer
          le patch pour le masquage VPN si les options 
          PPTP list�es ci-dessus n'apparaissent pas lorsque 
          vous configurez votre noyau. N'activez PAS cette 
          option, sauf si vous impl�mentez un tunnel GRE
          vers un routeur Cisco.
</pre>
<span class="emphasis"><i class="EMPHASIS">NOTE :</i></span> ce ne
sont que les options dont vous avez besoin pour faire du masquage.
S�lectionnez �galement toutes les autres options dont vous avez
besoin pour votre configuration sp�cifique.</li>
<li>
<p>Recompilez le noyau et installez-le pour le tester. Ne remplacez
jamais un noyau qui fonctionne par votre nouveau noyau tant que
vous n'avez pas la preuve qu'il fonctionne.</p>
</li>
</ol>
<p>Pour savoir si le noyau qui tourne contient le support de
masquage VPN, lancez la commande suivante :</p>
<pre class="SCREEN">grep -i masq /proc/ksyms</pre>
...et cherchez les entr�es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class="LITERAL">ip_masq_esp</tt> et
<tt class="LITERAL">ip_demasq_esp</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_masq_pptp_tcp</tt> et
<tt class="LITERAL">ip_demasq_pptp_tcp</tt></p>
</li>
</ul>
Ou lancez :
<pre class="SCREEN">lsmod</pre>
...et cherchez les entr�es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class="LITERAL">ip_masq_ipsec</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_masq_pptp</tt></p>
</li>
</ul>
<p>Si vous ne voyez pas ces entr�es, le support de masquage VPN
n'est probablement pas activ� - avez-vous bien tap� <tt class=
"LITERAL">modprobe ip_masq_pptp.o</tt> ou <tt class=
"LITERAL">modprobe ip_masq_ipsec.o</tt> si vous les avez compil�s
en modules ? Si le masquage VPN ne fonctionne plus apr�s le
red�marrage de la machine, avez-vous ins�r� les commandes
<tt class="LITERAL">modprobe</tt> dans votre fichier de d�marrage
<tt class="LITERAL">/etc/rc.d/rc.local</tt> ?</p>
<p>Si vous avez des messages d'erreur sur l'indisponibilit� de
<tt class="LITERAL">/proc/ksyms</tt> ou de <tt class=
"LITERAL">/proc</tt>, assurez-vous d'avoir activ� le syst�me de
fichiers <tt class="LITERAL">/proc</tt> lors de la configuration de
votre noyau.</p>
<p>Allez voir le <a href=
"http://metalab.unc.edu/LDP/HOWTO/Kernel-HOWTO.html" target=
"_top">Kernel HOWTO</a> pour de plus amples informations sur la
configuration et la recompilation de votre noyau.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN401" id="AEN401">Param�trage de
ipfwadm pour un client ou un serveur VPN avec une adresse IP
priv�e</a></h3>
<p>Le pare-feu doit maintenant �tre configur� pour masquer le
trafic VPN sortant. Vous pouvez souhaiter jeter un coup d'oeil sur
<a href="http://www.wolfenet.com/~jhardin/ipfwadm.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm.html</a> pour voir
une interface graphique pour la commande ipfwadm qui automatise une
grande partie du param�trage du filtrage de paquets au niveau de la
s�curit�.</p>
<p>Les r�gles pare-feu minimales sont :</p>
<pre class="SCREEN">
# Met la politique par d�faut de transmission des paquets � REFUS
ipfwadm -F -p deny
# Autorise le trafic sur le r�seau local
ipfwadm -I -a accept    -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth0
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 10.0.0.0/8 -W eth0
# Masque le trafic pour les adresses internet et autorise le trafic internet
ipfwadm -F -a accept -m -S 10.0.0.0/8 -D 0.0.0.0/0  -W ppp0
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W ppp0
ipfwadm -I -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W ppp0
ou, si vous avez une connexion permanente,
ipfwadm -F -a accept -m -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth1
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W eth1
ipfwadm -I -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W eth1</pre>
Mais ce param�trage est compl�tement ouvert. Il va permettre de
masquer <span class="emphasis"><i class="EMPHASIS">tous</i></span>
les trafics en provenance de <span class="emphasis"><i class=
"EMPHASIS">toutes</i></span> les machines du r�seau interne destin�
� <span class="emphasis"><i class="EMPHASIS">n'importe
quelle</i></span> machine sur internet, et ne met en place
absolument <span class="emphasis"><i class=
"EMPHASIS">aucune</i></span> s�curit�.
<p>Un param�trage de pare-feu rigoureux n'autoriserait que le
trafic entre le client et le serveur, et bloquerait tout le reste
:</p>
<pre class="SCREEN"># Met la politique par d�faut � REFUS :
ipfwadm -I -p deny
ipfwadm -O -p deny
ipfwadm -F -p deny
# Autorise le trafic sur le r�seau local
ipfwadm -I -a accept -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth0
ipfwadm -O -a accept -S 0.0.0.0/0  -D 10.0.0.0/8 -W eth0
# Masque uniquement le trafic VPN entre le client VPN et le serveur VPN
ipfwadm -F -a accept -m -P udp -S 10.0.0.2/32 500 -D 199.0.0.1/32 500  -W ppp0
ipfwadm -F -a accept -m -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32 1723 -W ppp0
ipfwadm -F -a deny      -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -F -a deny      -P udp -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -F -a accept -m -P all -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a accept    -P udp -S 200.200.200.0/24 500 -D 199.0.0.1/32 500  -W ppp0
ipfwadm -O -a accept    -P tcp -S 200.200.200.0/24     -D 199.0.0.1/32 1723 -W ppp0
ipfwadm -O -a deny      -P tcp -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a deny      -P udp -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a accept    -P all -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -I -a accept    -P udp -S 199.0.0.1/32 500     -D 200.200.200.0/24 500 -W ppp0
ipfwadm -I -a accept    -P tcp -S 199.0.0.1/32 1723    -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a deny      -P tcp -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a deny      -P udp -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a accept    -P all -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ou, si vous avez une connexion permanente
ipfwadm -F -a accept -m -P udp -S 10.0.0.2/32 500 -D 199.0.0.1/32 500  -W eth1
ipfwadm -F -a accept -m -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32 1723 -W eth1
ipfwadm -F -a deny      -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -F -a deny      -P udp -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -F -a accept -m -P all -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a accept    -P udp -S 200.200.200.200/32 500 -D 199.0.0.1/32 500  -W eth1
ipfwadm -O -a accept    -P tcp -S 200.200.200.200/32     -D 199.0.0.1/32 1723 -W eth1
ipfwadm -O -a deny      -P tcp -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a deny      -P udp -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a accept    -P all -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -I -a accept    -P udp -S 199.0.0.1/32 500  -D 200.200.200.200/32 500 -W eth1
ipfwadm -I -a accept    -P tcp -S 199.0.0.1/32 1723 -D 200.200.200.200/32     -W eth1
ipfwadm -I -a deny      -P tcp -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1
ipfwadm -I -a deny      -P udp -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1
ipfwadm -I -a accept    -P all -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1</pre>
<p>Note : ces r�gles n'autorisent que le trafic VPN et bloquent
<span class="emphasis"><i class="EMPHASIS">tout le
reste</i></span>. Vous devez ajouter des r�gles pour tous les
autres flux que vous voulez autoriser, comme par exemple DNS, HTTP,
POP, IMAP, etc...</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN415" id="AEN415">Param�trage
d'ipchains pour un client ou serveur VPN avec une adresse IP
priv�e</a></h3>
<p>Les r�gles pare-feu ipchains minimales sont :</p>
<pre class="SCREEN">
# Met la politique par d�faut de transmission des paquets � REFUS
ipchains -P forward DENY
# Autorise le trafic sur le r�seau local
ipchains -A input   -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth0
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 10.0.0.0/8 -i eth0
# Masque le trafic vers les adresses internet et autorise le trafic internet
ipchains -A forward -j MASQ   -s 10.0.0.0/8 -d 0.0.0.0/0  -i ppp0
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i ppp0
ipchains -A input   -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i ppp0
ou, si vous avez une connexion permanente,
ipchains -A forward -j MASQ   -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth1
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i eth1
ipchains -A input   -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i eth1</pre>
Mais ce param�trage est compl�tement ouvert. Il va permettre de
masquer <span class="emphasis"><i class="EMPHASIS">tous</i></span>
les trafics en provenance de <span class="emphasis"><i class=
"EMPHASIS">toutes</i></span> les machines du r�seau interne destin�
� <span class="emphasis"><i class="EMPHASIS">n'importe
quelle</i></span> machine sur internet, et ne met en place
absolument <span class="emphasis"><i class=
"EMPHASIS">aucune</i></span> s�curit�.
<p>Un param�trage de pare-feu rigoureux n'autoriserait que le
trafic entre le client et le serveur, et bloquerait tout le reste
:</p>
<pre class="SCREEN"># Met la politique par d�faut � REFUS :
ipchains -P input   DENY
ipchains -P output  DENY
ipchains -P forward DENY
# Autorise le trafic sur le r�seau local
ipchains -A input  -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth0
ipchains -A output -j ACCEPT -s 0.0.0.0/0  -d 10.0.0.0/8 -i eth0
# Masque uniquement le trafic VPN entre le client VPN et le serveur VPN
# IPsec
ipchains -A forward -j MASQ   -p udp -s 10.0.0.2/32 500      -d 199.0.0.1/32 500     -i ppp0
ipchains -A output  -j ACCEPT -p udp -s 200.200.200.0/24 500 -d 199.0.0.1/32 500     -i ppp0
ipchains -A input   -j ACCEPT -p udp -s 199.0.0.1/32 500     -d 200.200.200.0/24 500 -i ppp0
ipchains -A forward -j MASQ   -p 50  -s 10.0.0.2/32          -d 199.0.0.1/32         -i ppp0
ipchains -A output  -j ACCEPT -p 50  -s 200.200.200.0/24     -d 199.0.0.1/32         -i ppp0
ipchains -A input   -j ACCEPT -p 50  -s 199.0.0.1/32         -d 200.200.200.0/24     -i ppp0
# PPTP
ipchains -A forward -j MASQ   -p tcp -s 10.0.0.2/32       -d 199.0.0.1/32 1723 -i ppp0
ipchains -A output  -j ACCEPT -p tcp -s 200.200.200.0/24  -d 199.0.0.1/32 1723 -i ppp0
ipchains -A input   -j ACCEPT -p tcp -s 199.0.0.1/32 1723 -d 200.200.200.0/24  -i ppp0
ipchains -A forward -j MASQ   -p 47  -s 10.0.0.2/32       -d 199.0.0.1/32      -i ppp0
ipchains -A output  -j ACCEPT -p 47  -s 200.200.200.0/24  -d 199.0.0.1/32      -i ppp0
ipchains -A input   -j ACCEPT -p 47  -s 199.0.0.1/32      -d 200.200.200.0/24  -i ppp0
ou, si vous avez une connexion permanente,
# IPsec
ipchains -A forward -j MASQ   -p udp -s 10.0.0.2/32 500        -d 199.0.0.1/32 500       -i eth1
ipchains -A output  -j ACCEPT -p udp -s 200.200.200.200/32 500 -d 199.0.0.1/32 500       -i eth1
ipchains -A input   -j ACCEPT -p udp -s 199.0.0.1/32 500       -d 200.200.200.200/32 500 -i eth1
ipchains -A forward -j MASQ   -p 50  -s 10.0.0.2/32            -d 199.0.0.1/32           -i eth1
ipchains -A output  -j ACCEPT -p 50  -s 200.200.200.200/32     -d 199.0.0.1/32           -i eth1
ipchains -A input   -j ACCEPT -p 50  -s 199.0.0.1/32           -d 200.200.200.200/32     -i eth1
# PPTP
ipchains -A forward -j MASQ   -p tcp -s 10.0.0.2/32        -d 199.0.0.1/32 1723  -i eth1
ipchains -A output  -j ACCEPT -p tcp -s 200.200.200.200/32 -d 199.0.0.1/32 1723  -i eth1
ipchains -A input   -j ACCEPT -p tcp -s 199.0.0.1/32 1723  -d 200.200.200.200/32 -i eth1
ipchains -A forward -j MASQ   -p 47  -s 10.0.0.2/32        -d 199.0.0.1/32       -i eth1
ipchains -A output  -j ACCEPT -p 47  -s 200.200.200.200/32 -d 199.0.0.1/32       -i eth1
ipchains -A input   -j ACCEPT -p 47  -s 199.0.0.1/32       -d 200.200.200.200/32 -i eth1</pre>
<p>Note : ces r�gles n'autorisent que le trafic VPN. Vous devrez
ajouter des r�gles pour tous les autres flux que vous souhaitez
autoriser, comme par exemple DNS, HTTP, POP, IMAP, etc...</p>
<p>Notez �galement combien ces r�gles sont plus propres et plus
faciles � comprendre que les r�gles ipfwadm �quivalentes. C'est
parce que ipchains autorise la sp�cification de tous les protocoles
IP, et pas seulement TCP, UDP, ICMP, ou ALL.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN427" id="AEN427">Une note sur
l'adressage IP dynamique</a></h3>
<p>Si votre pare-feu se voit attribuer une adresse IP dynamique par
votre FAI (les comptes modems fonctionnent comme �a, ainsi que
certains cablo-op�rateurs), alors vous devez ajouter ce qui suit au
script de d�marrage <tt class=
"LITERAL">/etc/rc.d/rc.local</tt>:</p>
<pre class="SCREEN">echo 7 &gt; /proc/sys/net/ipv4/ip_dynaddr</pre>
Ceci active le suivi d'adresse IP dynamique, ce qui signifie que si
votre connexion tombe et remonte, toutes les sessions actives
seront mises � jour avec la nouvelle adresse IP plut�t que de
continuer � essayer d'utiliser l'ancienne adresse IP. Cela ne veut
pas dire que les sessions resteront actives malgr� l'interruption,
mais plut�t qu'elles se fermeront rapidement.
<p>Si vous ne le faites pas, il peut y avoir une "p�riode de
latence" apr�s la reconnexion et avant l'expiration des anciennes
entr�es de la table de masquage pendant laquelle vous serez masqu�
avec la mauvaise adresse IP, ce qui vous emp�chera d'�tablir une
connexion.</p>
<p>Ceci est particuli�rement utile si vous utilisez un d�mon de
demande de connexion comme <tt class="LITERAL">diald</tt> pour
g�rer votre connexion modem.</p>
<p>Regardez le fichier <tt class="LITERAL"><a href=
"file:/usr/src/linux/Documentation/networking/ip_dynaddr.txt"
target=
"_top">/usr/src/linux/Documentation/networking/ip_dynaddr.txt</a></tt>
pour de plus amples d�tails.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN438" id="AEN438">Param�trages
additionnels pour un serveur VPN avec une adresse IP
priv�e</a></h3>
<p>Si vous mettez en place le masquage VPN pour un serveur VPN avec
une adresse IP priv�e (c'est � dire que vous voulez faire du
masquage aussi bien pour les connexions <span class=
"emphasis"><i class="EMPHASIS">entrantes</i></span> que
<span class="emphasis"><i class="EMPHASIS">sortantes</i></span>),
vous avez �galement besoin d'installer deux outils de transmission
de paquets. L'un(<tt class="LITERAL">ipportfw</tt>) fait suivre le
trafic TCP ou UDP entrant adress� � un port sp�cifique du pare-feu
vers une machine sur le r�seau local derri�re le pare-feu. Il est
utilis� pour rediriger le canal de contr�le PPTP initial 1723/tcp
en entr�e, ou le trafic ISAKMP 500/udp vers le serveur VPN. L'autre
(<tt class="LITERAL">ipfwd</tt>) est un outil de transmission de
paquets plus g�n�rique, qui peut �tre utilis� pour tous les
protocoles IP. Il est utilis� pour faire suivre le trafic entrant
initial 47/ip (GRE) ou 50/ip (ESP) du canal de donn�es vers le
serveur VPN.</p>
<p>Les sorties en r�ponse au trafic entrant 1723/tcp ou 500/udp
sont masqu�es gr�ce aux fonctionnalit�s standard de masquage IP du
noyau Linux. Le trafic sortant 47/ip ou 50/ip est masqu� gr�ce au
patch du noyau pour le masquage VPN que vous avez install�
pr�c�demment.</p>
<p>Une fois que ces outils sont install�s, vous devez les
configurer pour faire suivre le trafic vers le serveur VPN.</p>
<p></p>
<ul>
<li>
<p>Param�trer <tt class="LITERAL">ipportfw</tt> pour les noyaux
2.0.x</p>
<p>Les commandes suivantes vont param�trer <tt class=
"LITERAL">ipportfw</tt> pour faire suivre le trafic 500/udp entrant
vers le serveur IPsec :</p>
<pre class="SCREEN">
# Param�trage d'ipportfw pour IPsec avec une adresse IP statique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress� au port 500/udp du pare-feu
# au port 500/udp du serveur IPsec
/sbin/ipportfw -A -u 200.200.200.200/500 -R 10.0.0.2/500</pre>
Les commandes suivantes vont param�trer <tt class=
"LITERAL">ipportfw</tt> pour faire suivre le trafic entrant
1723/tcp initial vers le serveur PPTP :
<pre class="SCREEN">
# Param�trage d'ipportfw pour PPTP avec une adresse IP statique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress� au port 1723/tcp du pare-feu
# vers le port 1723/tcp du serveur PPTP
/sbin/ipportfw -A -t 200.200.200.200/1723 -R 10.0.0.2/1723</pre>
Notez que les param�tres d'ipportfw contiennent l'adresse IP
internet du pare-feu, et que vous ne pouvez pas sp�cifier
l'interface (par exemple <tt class="LITERAL">ppp0</tt>)
contrairement � ipfwadm. Ceci veut dire que dans le cas d'une
connexion IP dynamique (comme pour une connexion PPP par modem)
vous devez lancer ces commandes � chaque fois que vous vous
connectez � internet, et qu'une nouvelle adresse IP vous est
attribu�e. Vous pouvez le faire assez facilement - ajoutez
simplement les lignes suivantes � votre script <tt class=
"LITERAL">/etc/ppp/ip-up</tt> ou <tt class=
"LITERAL">/etc/ppp/ip-up.local</tt> :
<pre class="SCREEN">
# Param�trage d'ippportfw pour IPsec avec une adresse IP dynamique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress� au port 500/udp du pare-feu
# vers le port 500/udp du serveur IPsec
/sbin/ipportfw -A -u ${4}/500 -R 10.0.0.2/500</pre>
ou :
<pre class="SCREEN">
# Param�trage d'ipportfw pour PPTP avec une adresse IP dynamique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress� au port 1723/tcp du pare-feu
# vers le port 1723 du serveur PPTP
/sbin/ipportfw -A -t ${4}/1723 -R 10.0.0.2/1723</pre>
Allez voir <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a>
pour de plus amples d�tails sur la mise en place d'un pare-feu avec
une adresse IP dynamique.</li>
<li>
<p>Configurer <tt class="LITERAL">ipfwd</tt> pour les noyaux 2.0.x
et 2.2.x</p>
<p>La commande suivante va param�trer <tt class=
"LITERAL">ipfwd</tt> pour faire suivre le trafic entrant 50/ip
initial au le serveur IPsec :</p>
<pre class="SCREEN">/sbin/ipfwd --masq 10.0.0.2 50 &amp;</pre>
La commande suivante va param�trer <tt class="LITERAL">ipfwd</tt>
pour faire suivre le trafic entrant 47/ip initial au serveur PPTP :
<pre class="SCREEN">/sbin/ipfwd --masq 10.0.0.2 47 &amp;</pre>
Cette commande n'a besoin d'�tre ex�cut�e qu'une seule fois, depuis
votre script <tt class="LITERAL">/etc/rc.d/rc.local</tt>.</li>
</ul>
<p>Les techniques d�crites ici peuvent �tre g�n�ralis�es pour
autoriser le masquage de la plupart des serveurs - HTTP, FTP, SMTP,
etc. Les serveurs qui sont bas�s uniquement sur TCP ou UDP n'ont
pas besoin de <tt class="LITERAL">ipfwd</tt>.</p>
<p>Si vous masquez un serveur PPTP, vous avez aussi besoin de vous
assurer que vous n'avez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> activ� le masquage d'identifiant d'appel
PPTP dans le noyau. L'activation du masquage d'identifiant d'appel
PPTP fait croire que vous masquez uniquement des clients PPTP,
l'activer risque donc de vous emp�cher de masquer correctement le
trafic du serveur PPTP. Cela signifie �galement qu'avec la version
2.0.x du patch, vous ne pouvez pas masquer simultan�ment un serveur
PPTP et des clients PPTP.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN476" id="AEN476">Param�trage
d'ipfwadm pour un serveur VPN avec une adresse IP publique</a></h3>
<p>Mettre en place un serveur VPN avec une adresse IP publique se
trouvant derri�re un pare-feu Linux est un simple probl�me de
routage et de filtrage de paquets. Le masquage n'est pas
n�cessaire.</p>
<p>Malheureusement les noyaux 2.0.x ne nous permettent pas de
pr�ciser le protocole IP 47 ou 50, donc ce pare-feu est moins s�r
que ce qu'il aurait pu �tre. Si cela vous pose un probl�me, alors
installez le patch noyau pour les cha�nes pare-feu IP ou passez �
un noyau de la s�rie 2.1.x ou 2.2.x, avec lesquels vous pouvez
faire du filtrage par protocole IP.</p>
<p>Les r�gles pare-feu vont avoir un peu cette t�te l� :</p>
<pre class="SCREEN">
# Cette section doit se trouver apr�s vos autres r�gles pare-feu

# Pr�cisez explicitement les clients potentiels pour plus de s�curit�
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -S 199.0.0.2/32 500 -D 222.0.0.2/32 500
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -D 199.0.0.2/32 500 -S 222.0.0.2/32 500
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -S 199.0.0.3/32 500 -D 222.0.0.2/32 500
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -D 199.0.0.3/32 500 -S 222.0.0.2/32 500
# Autorise le canal de contr�le PPTP en entr�e et en sortie
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -S 199.0.0.2/32 -D 222.0.0.2/32 1723
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -D 199.0.0.2/32 -S 222.0.0.2/32 1723
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -S 199.0.0.3/32 -D 222.0.0.2/32 1723
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -D 199.0.0.3/32 -S 222.0.0.2/32 1723

# Bloque tous les autres trafics TCP et UDP en provenance d'internet
# Ceci est principalement une r�gle "d�faut refus TCP/UDP" qui
# ne s'applique qu'� l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P tcp
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P udp

# Pr�cisez explicitement les clients potentiels pour plus de s�curit�
# Notez que ce param�trage est trop large, car nous sommes
# oblig�s de pr�ciser "-P all" au lieu de "-P 47" ou "-P 50"...
# Autorise le canal de donn�es PPTP et le trafic ESP IPsec entrant et sortant.
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -S 199.0.0.2/32 -D 222.0.0.2/32
ipfwadm -0 -a accept -W eth1 -V 200.200.200.200 -P all -D 199.0.0.2/32 -S 222.0.0.2/32
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -S 199.0.0.3/32 -D 222.0.0.2/32
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P all -D 199.0.0.3/32 -S 222.0.0.2/32

# Bloque tous les autres trafics en provenance d'internet.
# Ceci est principalement une r�gle du type "par d�faut, refus"
# qui ne s'applique qu'� l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200</pre>
<p>Si vous installez des r�gles pare-feu ou des r�gle de
transmission de paquets sur l'interface interne, vous aurez � faire
quelque chose de semblable. L'exemple ci-dessus ne concerne que le
trafic VPN ; il vous faut l'ins�rer dans votre param�trage pare-feu
actuel pour autoriser les autres trafics dont vous avez besoin.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN483" id="AEN483">Param�trage
d'ipfwadm pour un client VPN avec une adresse IP publique</a></h3>
<p>La mise en place d'un client VPN avec une adresse IP publique
derri�re un pare-feu Linux est similaire � celle d'un serveur VPN
avec une adresse IP publique.</p>
<p>Les r�gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -S 222.0.0.2/32 500 -D 199.0.0.1/32 500
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -D 222.0.0.2/32 500 -S 199.0.0.1/32 500
# Autorise le canal de contr�le PPTP en entr�e et en sortie.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -S 222.0.0.2/32 -D 199.0.0.1/32 1723
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -D 222.0.0.2/32 -S 199.0.0.1/32 1723

# Bloque tous les autres trafics TCP et UDP en provenance d'internet.
# Ceci est principalement une r�gle "par d�faut, refus de TCP/UDP" qui
# ne s'applique qu'� l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P tcp
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P udp

# Notez que ce param�trage est trop large, car nous sommes
# oblig�s de pr�ciser "-P all" au lieu de "-P 47" ou "-P 50"...
# Autorise le canal de donn�es PPTP et le trafic ESP IPsec entrant et sortant.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P all -S 222.0.0.2/32 -D 199.0.0.1/32
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -D 222.0.0.2/32 -S 199.0.0.1/32

# Bloque tous les autres trafics en provenance d'internet.
# Ceci est principalement une r�gle du type "par d�faut, refus"
# qui ne s'applique qu'� l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN488" id="AEN488">Param�trage
d'ipchains pour un serveur VPN avec une adresse IP
publique</a></h3>
<p>Mettre en place un serveur VPN avec une adresse IP publique
derri�re un pare-feu Linux correspond � v�rifier que les commandes
de routage et de filtrage de paquet appropri�es sont bien en place.
Le masquage n'est pas n�cessaire.</p>
<p>Les r�gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Sp�cifiez explicitement les clients potentiels pour plus de s�curit�.
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipchains -A input  -j ACCEPT -p udp -s 199.0.0.2/32 500 -d 222.0.0.2/32 500 -i eth1
ipchains -A output -j ACCEPT -p udp -d 199.0.0.2/32 500 -s 222.0.0.2/32 500 -i eth1
ipchains -A input  -j ACCEPT -p udp -s 199.0.0.3/32 500 -d 222.0.0.2/32 500 -i eth1
ipchains -A output -j ACCEPT -p udp -d 199.0.0.3/32 500 -s 222.0.0.2/32 500 -i eth1
# Autorise le trafic ESP IPsec entrant et sortant.
ipchains -A input  -j ACCEPT -p 50  -s 199.0.0.2/32     -d 222.0.0.2/32     -i eth1
ipchains -A output -j ACCEPT -p 50  -d 199.0.0.2/32     -s 222.0.0.2/32     -i eth1
ipchains -A input  -j ACCEPT -p 50  -s 199.0.0.3/32     -d 222.0.0.2/32     -i eth1
ipchains -A output -j ACCEPT -p 50  -d 199.0.0.3/32     -s 222.0.0.2/32     -i eth1
# Autorise le canal de contr�le PPTP en entr�e et en sortie.
ipchains -A input  -j ACCEPT -p tcp -s 199.0.0.2/32 -d 222.0.0.2/32 1723 -i eth1
ipchains -A output -j ACCEPT -p tcp -d 199.0.0.2/32 -s 222.0.0.2/32 1723 -i eth1
ipchains -A input  -j ACCEPT -p tcp -s 199.0.0.3/32 -d 222.0.0.2/32 1723 -i eth1
ipchains -A output -j ACCEPT -p tcp -d 199.0.0.3/32 -s 222.0.0.2/32 1723 -i eth1
# Autorise le tunnel PPTP en entr�e et en sortie.
ipchains -A input  -j ACCEPT -p 47  -s 199.0.0.2/32 -d 222.0.0.2/32      -i eth1
ipchains -A output -j ACCEPT -p 47  -d 199.0.0.2/32 -s 222.0.0.2/32      -i eth1
ipchains -A input  -j ACCEPT -p 47  -s 199.0.0.3/32 -d 222.0.0.2/32      -i eth1
ipchains -A output -j ACCEPT -p 47  -d 199.0.0.3/32 -s 222.0.0.2/32      -i eth1</pre>
<p>Si vous installez des r�gles pare-feu ou des r�gles de
transmission de paquets sur l'interface interne, vous aurez � faire
quelque chose de semblable. L'exemple ci-dessus ne concerne que le
trafic VPN ; il vous faut l'ins�rer dans votre param�trage pare-feu
actuel pour autoriser les autres trafics dont vous avez besoin.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN494" id="AEN494">Param�trage
d'ipchains pour un client VPN avec une adresse IP publique</a></h3>
<p>La mise en place d'un client VPN avec une adresse IP publique
derri�re un pare-feu Linux est identique � celle d'un serveur VPN
avec une adresse IP publique.</p>
<p>Les r�gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipchains -A output -j ACCEPT -p udp -s 222.0.0.2/32 500 -d 199.0.0.1/32 500 -i eth1
ipchains -A input  -j ACCEPT -p udp -d 222.0.0.2/32 500 -s 199.0.0.1/32 500 -i eth1
# Autorise le trafic ESP IPsec entrant et sortant.
ipchains -A output -j ACCEPT -p 50  -s 222.0.0.2/32     -d 199.0.0.1/32     -i eth1
ipchains -A input  -j ACCEPT -p 50  -d 222.0.0.2/32     -s 199.0.0.1/32     -i eth1
# Autorise le canal de contr�le PPTP en entr�e et en sortie.
ipchains -A output -j ACCEPT -p tcp -s 222.0.0.2/32 -d 199.0.0.1/32 1723 -i eth1
ipchains -A input  -j ACCEPT -p tcp -d 222.0.0.2/32 -s 199.0.0.1/32 1723 -i eth1
# Autorise le tunnel PPTP en entr�e et en sortie.
ipchains -A output -j ACCEPT -p 47  -s 222.0.0.2/32 -d 199.0.0.1/32      -i eth1
ipchains -A input  -j ACCEPT -p 47  -d 222.0.0.2/32 -s 199.0.0.1/32      -i eth1</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN499" id="AEN499">Masquage VPN et
LRP</a></h3>
<p>Le projet de routeur Linux (Linux Router Project), qui se trouve
� l'adresse <a href="http://www.linuxrouter.org/" target=
"_top">http://www.linuxrouter.org/</a>, fournit un kit
pare-feu-sur-disquette bas� sur Linux. Avec un PC '386, deux cartes
r�seaux, et un lecteur de disquette, vous pouvez mettre en place un
pare-feu masquant avec toutes les fonctionnalit�s. Aucun disque dur
n'est n�cessaire.</p>
<p>Le masquage VPN est cens� �tre inclus dans la version 2.2.9 de
LRP - pour v�rifier s'il est disponible, regardez si <tt class=
"LITERAL">ip_masq_ipsec</tt> ou <tt class=
"LITERAL">ip_masq_pptp</tt> sont dans la liste des modules
chargeables dans <tt class="LITERAL">Package Settings -&gt;
Modules</tt>, ou faites un grep sur <tt class=
"LITERAL">/proc/ksyms</tt> comme d�crit plus haut. Si vous voulez
ajouter le masquage VPN � une version ant�rieure du LRP, alors
quelqu'un sur la liste de diffusion du LRP pourra vous fournir une
image de disquette, ou bien vous pouvez faire votre propre noyau en
utilisant les instructions qui se trouvent sur la page du LRP.</p>
<p>Les r�gles pare-feu seront ajout�es au script de d�marrage dans
<tt class="LITERAL">Network Settings -&gt; Direct Network
Setup</tt>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN510" id="AEN510">Masquage VPN sur un
syst�me tournant avec FreeS/WAN ou PoPToP</a></h3>
<p>Si vous souhaitez utiliser le pare-feu en tant que passerelle
IPsec avec FreeS/WAN, vous <span class="emphasis"><i class=
"EMPHASIS">ne devez pas</i></span> activer le masquage IPsec. Si
vous souhaitez utiliser le pare-feu comme serveur PPTP avec PoPToP,
ou comme client PPTP en utilisant le logiciel client PPTP pour
Linux, vous <span class="emphasis"><i class="EMPHASIS">ne devez
pas</i></span> activer le masquage PPTP.</p>
<p>Le masquage VPN et le client ou serveur VPN utilisant les m�mes
protocoles, ils ne peuvent pas cohabiter sur le m�me
ordinateur.</p>
<p>Votre pare-feu <span class="emphasis"><i class=
"EMPHASIS">peut</i></span>, cependant, �tre une passerelle VPN
IPsec FreeS/WAN et faire du masquage PPTP, ou vice-versa.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN518" id="AEN518">Configurer le client
VPN</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN520" id="AEN520">Configurer un client
MS W'95</a></h3>
<p></p>
<ol type="1">
<li>
<p>Configurez votre routage pour que votre pare-feu Linux soit
votre passerelle par d�faut :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de configuration/R�seau</tt>
ou faites un clic droit sur "Voisinage R�seau" et cliquez sur
<tt class="LITERAL">Propri�t�s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Configuration</tt>.</p>
</li>
<li>
<p>Dans la liste des composants r�seaux install�s, faites un
double-clic sur la ligne "TCP/IP -&gt; votre-carte-r�seau".</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Passerelle</tt>.</p>
</li>
<li>
<p>Entrez l'adresse IP locale de votre pare-feu Linux. Enlevez les
autres passerelles.</p>
</li>
<li>
<p>Cliquez sur le bouton "OK".</p>
</li>
</ol>
</li>
<li>
<p>Testez le masquage. Par exemple, lancez "<tt class=
"LITERAL">telnet le.serveur.de.mail.de.mon.fai smtp</tt>" et vous
devriez voir la banni�re d'accueil du serveur de mail.</p>
</li>
<li>
<p>Installez et configurez le logiciel de VPN. Pour le logiciel
IPsec, suivez les instructions de l'�diteur. Pour PPTP de MS :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de Configuration/R�seau</tt>
ou faites un clic droit sur "Voisinage R�seau" et cliquez sur
<tt class="LITERAL">Propri�t�s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Configuration</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Ajouter", et cliquez ensuite sur la ligne
"Carte".</p>
</li>
<li>
<p>S�lectionnez "Microsoft" comme constructeur, et ajoutez
l'adaptateur "Carte de R�seau Priv� Virtuel Microsoft".</p>
</li>
<li>
<p>Red�marrez lorsque l'ordinateur vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin de cryptage fort (128 bits), t�l�chargez la
mise � jour pour cryptage fort de DUN 1.3 sur le site s�curis� de
MS � l'adresse <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez la, red�marrez ensuite quand l'ordinateur vous le
demande.</p>
</li>
<li>
<p>Cr�ez une nouvelle entr�e dans votre carnet d'adresse d'appel
distant pour votre serveur PPTP.</p>
</li>
<li>
<p>S�lectionnez l'adaptateur VPN comme p�riph�rique � utiliser, et
entrez l'adresse IP internet du serveur PPTP comme num�ro de
t�l�phone.</p>
</li>
<li>
<p>S�lectionnez l'onglet <tt class="LITERAL">Types de Serveur</tt>,
et cochez les cases <tt class="LITERAL">Activer la compression
logicielle</tt> et <tt class="LITERAL">Demander un mot de passe
crypt�</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Param�trages TCP/IP".</p>
</li>
<li>
<p>Renseignez les informations concernant l'adresse IP
dynamique/statique de votre client comme pr�cis� par
l'administrateur de votre serveur PPTP.</p>
</li>
<li>
<p>Si vous souhaitez avoir acc�s � votre r�seau local pendant que
votre connexion PPTP est active, d�cochez la case "Utiliser la
passerelle par d�faut pour le r�seau distant".</p>
</li>
<li>
<p>Red�marrez encore quelques fois, juste par habitude... :-)</p>
</li>
</ol>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN582" id="AEN582">Configurer un client
MS W'98</a></h3>
<p></p>
<ol type="1">
<li>
<p>Configurez le routage pour que le pare-feu Linux soit votre
passerelle par d�faut, et testez le masquage comme indiqu� plus
haut.</p>
</li>
<li>
<p>Installez et configurez le logiciel de VPN. Pour un logiciel
IPsec, suivez les instructions de l'�diteur. Pour PPTP de MS :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
Configuration/Ajout/Suppression de programme</tt> et cliquez sur
l'onglet<tt class="LITERAL">Installation de Windows</tt>.</p>
</li>
<li>
<p>Cliquez sur l'option <tt class="LITERAL">Communications</tt> et
cliquez sur le bouton "D�tails...".</p>
</li>
<li>
<p>Assurez vous que l'option "R�seau Priv� Virtuel (VPN)" est
coch�e. Cliquez alors sur le bouton "OK".</p>
</li>
<li>
<p>Red�marrez la machine lorsqu'on vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin d'utiliser du cryptage fort (128 bits),
t�l�chargez la mise � jour s�curit� pour le cryptage fort VPN sur
le site s�curis� de MS � l'adresse : <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez-la, et ensuite red�marrez encore lorsqu'on vous le
demande.</p>
</li>
</ol>
</li>
<li>
<p>Cr�ez et testez une nouvelle entr�e pour votre serveur VPN dans
votre carnet d'adresse d'appel distant, comme d�crit plus haut.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN607" id="AEN607">Configurer un client
MS W'ME</a></h3>
<p>Je n'en ai pas vu pour l'instant. Je suppose que la proc�dure
est tr�s proche de celle pour W'98. Quelqu'un pourrait-il me dire
quelles sont les diff�rences, s'il y en a ? Merci.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN610" id="AEN610">Configurer un client
MS NT</a></h3>
<pre class="SCREEN">
Note: cette section peut �tre incompl�te car �a fait
un petit moment que je n'ai pas install� PPTP sur un syst�me NT.</pre>
<p></p>
<ol type="1">
<li>
<p>Configurez votre routage pour que le pare-feu Linux soit votre
passerelle par d�faut :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de Configuration/R�seau</tt>
ou faites un clic droit sur "Voisinage R�seau" et cliquez sur
<tt class="LITERAL">Propri�t�s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Protocoles</tt> et
faites un double-clic sur la ligne "Protocole TCP/IP".</p>
</li>
<li>
<p>Entrez l'adresse IP locale de votre pare-feu Linux dans la zone
de dialogue "Passerelle par d�faut".</p>
</li>
<li>
<p>Cliquez sur le bouton "OK".</p>
</li>
</ol>
</li>
<li>
<p>Testez le masquage. Par exemple, lancez "<tt class=
"LITERAL">telnet le.serveur.de.mail.de.mon.fai smtp</tt>" et vous
devriez voir appara�tre la banni�re d'accueil du serveur de
mails.</p>
</li>
<li>
<p>Installez et configurez le logiciel VPN. Pour un logiciel IPsec,
suivez les instructions de l'�diteur. Pour PPTP de MS :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de Configuration/R�seau</tt>
ou faites un clic droit sur "Voisinage R�seau" et cliquez sur
<tt class="LITERAL">Propri�t�s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Protocoles</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Ajouter", et faites ensuite un
double-clic sur la ligne "Point to Point Tunneling Protocol".</p>
</li>
<li>
<p>Quand on vous demande les num�ros de R�seaux Virtuels Priv�s,
entrez les num�ros des serveurs PPTP que vous pouvez
potentiellement joindre.</p>
</li>
<li>
<p>Red�marrez lorsqu'on vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin d'utiliser du cryptage fort (128 bits),
t�l�chargez la mise � jour de PPTP pour cryptage fort sur le site
s�curis� de MS � l'adresse <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez la, puis red�marrez lorsqu'on vous le demande.</p>
</li>
<li>
<p>Cr�ez une nouvelle entr�e dans votre carnet d'adresse d'appel
distant pour votre serveur PPTP.</p>
</li>
<li>
<p>S�lectionnez l'adaptateur VPN comme p�riph�rique � utiliser, et
entrez l'adresse IP internet du serveur PPTP comme num�ro de
t�l�phone.</p>
</li>
<li>
<p>S�lectionnez l'onglet <tt class="LITERAL">Types de Serveur</tt>
et cochez les cases <tt class="LITERAL">Activer la compression
logicielle</tt> et <tt class="LITERAL">Demander un mot de passe
crypt�</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Param�tres TCP/IP".</p>
</li>
<li>
<p>Renseignez les informations concernant l'adresse IP
dynamique/statique de votre client comme pr�cis� par
l'administrateur de votre serveur PPTP.</p>
</li>
<li>
<p>Si vous souhaitez avoir acc�s � votre r�seau local pendant que
la connexion PPTP est active, regardez <a href=
"http://support.microsoft.com/support/kb/articles/q143/1/68.asp"
target="_top">L'article de la Base de Connaissances MS Q143168</a>
pour modifier la base de registres. (<span class=
"emphasis"><i class="EMPHASIS">Hum</i></span>.)</p>
</li>
<li>
<p>Assurez vous d'avoir r�-appliqu� le dernier Service Pack, pour
�tre s�r que les librairies RAS et PPTP sont � jour en ce qui
concerne la s�curit� et les performances.</p>
</li>
</ol>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN671" id="AEN671">Configuration pour
du routage r�seau � r�seau</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">A
�crire.</i></span></p>
<p>Vous devriez vraiment jeter un oeil sur FreeS/WAN (IPsec pour
Linux) � l'adresse <a href="http://www.xs4all.nl/~freeswan/"
target="_top">http://www.xs4all.nl/~freeswan/</a> plut�t que de
faire du masquage.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN677" id="AEN677">Masquer des VPNs
bas�s sur SecuRemote de CheckPoint</a></h3>
<p>Il est possible de masquer le trafic VPN bas� sur SecuRemote de
Checkpoint � certaines conditions.</p>
<p>Pour commencer, vous devez configurer le pare-feu SecuRemote
pour autoriser les sessions masqu�es. Sur le pare-feu SecuRemote,
faites ce qui suit.</p>
<p></p>
<ol type="1">
<li>
<p>Ex�cutez <tt class="LITERAL">fwstop</tt></p>
</li>
<li>
<p>�ditez <tt class="LITERAL">$FWDIR/conf/objects.C</tt> et apr�s
la ligne "<tt class="LITERAL">:props&nbsp;(</tt>", ajoutez ou
modifiez les lignes suivantes pour avoir</p>
<pre class="SCREEN">:userc_NAT (true) 
:userc_IKE_NAT (true)</pre></li>
<li>
<p>Ex�cutez <tt class="LITERAL">fwstart</tt></p>
</li>
<li>
<p>R�installez votre politique de s�curit�.</p>
</li>
<li>
<p>V�rifiez que les changements ont �t� pris en compte en v�rifiant
<tt class="LITERAL">$FWDIR/conf/objects.C</tt> et <tt class=
"LITERAL">$FWDIR/database/objects.C</tt></p>
</li>
</ol>
<p>Si vous utilisez les protocoles IPsec (appel�s "IKE" par
CheckPoint) vous n'avez pas besoin de faire autre chose pour
masquer le trafic VPN. Configurez simplement votre passerelle de
masquage pour masquer le trafic IPsec comme d�crit plus haut.</p>
<p>Le protocole propri�taire FWZ de CheckPoint est plus compliqu�.
Il y a deux modes dans lesquels FWZ peut �tre utilis� : le mode
encapsul�, et le mode de transport. En mode encapsul�, la
v�rification d'int�grit� est faite sur l'ensemble du paquet IP,
comme avec le protocole AH d'IPsec. Changer l'adresse IP casse
cette garantie d'int�grit�, donc les tunnels FWZ encapsul�s
<span class="emphasis"><i class="EMPHASIS">ne peuvent
pas</i></span> �tre masqu�s.</p>
<p>En mode transport, seule la portion du paquet contenant les
donn�es est crypt�e, et les ent�tes IP ne sont pas v�rifi�s pour
voir s'ils ont �t� modifi�s. Dans ce mode, le masquage doit
fonctionner avec les modifications indiqu�es plus haut.</p>
<p>La configuration pour choisir entre le mode encapsul� ou le mode
transport se fait via l'IHM FireWall-1. Dans l'objet r�seau
correspondant au pare-feu, sur l'onglet VPN, �ditez les propri�t�s
FWZ. Le troisi�me onglet dans les propri�t�s FWZ vous permet de
choisir le mode encapsul�.</p>
<p>Vous ne pourrez masquer qu'un seul client � la fois.</p>
<p>Vous trouverez de plus amples informations aux adresses :</p>
<ul>
<li>
<p><a href="http://www.phoneboy.com/fw1/nat.html" target=
"_top">http://www.phoneboy.com/fw1/nat.html</a>,</p>
</li>
<li>
<p><a href="http://www.phoneboy.com/fw1/faq/0141.html" target=
"_top">http://www.phoneboy.com/fw1/faq/0141.html</a></p>
</li>
<li>
<p><a href="http://www.phoneboy.com/fw1/faq/0372.html" target=
"_top">http://www.phoneboy.com/fw1/faq/0372.html</a></p>
</li>
</ul>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN717" id="AEN717">D�pannage</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN719" id="AEN719">Tests</a></h3>
<p>Pour tester le masquage VPN :</p>
<p></p>
<ol type="1">
<li>
<p>Activez la connexion � votre FAI depuis votre machine Linux, et
v�rifiez qu'elle fonctionne correctement.</p>
</li>
<li>
<p>V�rifiez que le masquage fonctionne correctement, par exemple en
utilisant une machine de votre r�seau local masqu�e pour aller
surfer sur un site web, ou pour acc�der � un serveur FTP.</p>
</li>
<li>
<p>PPTP : v�rifiez que vous avez correctement configur� le masquage
du canal de contr�le PPTP : essayez de faire un telnet depuis la
machine cliente PPTP vers le port 1723 de votre serveur PPTP. Ne
vous attendez pas � voir quelque chose, mais si vous avez une
erreur disant que la connexion a �chou� ou si vous n'avez pas de
r�ponse, jetez un coup d'oeil aux r�gles de masquage sur votre
machine Linux, pour vous assurer que vous masquez bien le trafic en
provenance du poste client PPTP vers le port TCP 1723 du serveur
PPTP.</p>
</li>
<li>
<p>PPTP : essayez d'�tablir une connexion PPTP. Je vous recommande
de lancer �galement <tt class="LITERAL">RASMON</tt> s'il est
disponible, car il va vous donner un minimum d'informations sur
l'�tat de la connexion. Si vous �tablissez une connexion PPTP lors
de votre premi�re tentative, f�licitations ! Vous avez r�ussi !</p>
</li>
<li>
<p>IPsec : essayez d'�tablir une connexion IPsec.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN735" id="AEN735">Probl�mes
possibles</a></h3>
<p>Il y a plusieurs �l�ments qui peuvent emp�cher d'�tablir une
session VPN. Nous allons les consid�rer en partant du client vers
le serveur, puis dans l'autre sens. Pour les exemples, nous
partirons du principe que le client est un client Windows, ce qui
correspond au cas le plus courant.</p>
<p></p>
<ol type="1">
<li>
<p>Information sur la connexion : le "num�ro de t�l�phone" dans
l'�cran de configuration VPN distant doit �tre l'adresse IP
internet du serveur VPN, ou l'adresse du pare-feu si le serveur est
masqu�.</p>
</li>
<li>
<p>PPTP et cryptage fort : si le client et le serveur n'ont pas le
fichier <tt class="LITERAL">NDISWAN.SYS</tt> ou le logiciel PPTP
pour W'95/'98 128 bits, vous n'arriverez pas � �tablir une session
avec cryptage fort. Malheureusement, au cours de mon exp�rience
j'ai constat� que ce probl�me ne g�n�re pas de message d'erreur, et
que le client cherche � se connecter sans cesse... Vous pouvez
r�cup�rer la mise � jour pour le cryptage fort sur le site s�curis�
de Microsoft dont l'URL est donn�e dans la section"Configurer un
client MS".</p>
<p>Ceci va �galement affecter les clients IPsec, s'ils utilisent
les librairies de cryptage fournies par MS plut�t que leurs propres
librairies.</p>
</li>
<li>
<p>Routage : v�rifiez que la route par d�faut sur votre client VPN
pointe bien vers la machine de masquage Linux. Lancez la commande
<tt class="LITERAL">route print</tt> et cherchez l'entr�e
<tt class="LITERAL">0.0.0.0</tt>.</p>
<p>Si d'autres services masqu�s (comme HTTP, FTP, IRC, etc...)
fonctionnent sur votre machine cliente VPN, alors ce n'est pas un
probl�me de routage.</p>
</li>
<li>
<p>Masquage : il y a deux parties dans la session VPN.</p>
<p>Pour IPsec, le service d'authentification et d'�change de cl�s
(ISAKMP), qui est une session UDP sur le port 500 de la machine
IPsec distante, le pare-feu doit �tre configur� pour le masquage
comme pour tout autre service UDP (par exemple DNS).</p>
<p>Pour PPTP, le canal de contr�le, qui est une session TCP normale
vers le port 1723 du serveur PPTP, le pare-feu doit �tre configur�
pour le masquage comme pour tout autre service TCP (par exemple
HTTP).</p>
<p>Le canal de donn�es crypt� avec IPsec est transport� au dessus
d'ESP, le protocole IP 50. Le canal de donn�es crypt� avec PPTP est
transport� au dessus de GRE, le protocole IP 47. (Notez que ce ne
sont <span class="emphasis"><i class="EMPHASIS">pas</i></span> des
num�ros de ports TCP ou UDP !) Le noyau Linux 2.0 ne vous
permettant de pr�ciser que les protocoles IP <tt class=
"LITERAL">TCP</tt>, <tt class="LITERAL">UDP</tt>, <tt class=
"LITERAL">ICMP</tt> et <tt class="LITERAL">ALL</tt> lors de la
cr�ation des r�gles de masquage, vous devez masquer le trafic du
protocole <tt class="LITERAL">ALL</tt> m�me si vous masquez
uniquement des services sp�cifiques. Si vous masquez tout, ne vous
en inqui�tez pas.</p>
<p>Afin d'isoler les probl�mes issus des r�gles du pare-feu de ceux
provenant du code de masquage du noyau, essayez d'�tablir une
connexion VPN avec votre pare-feu compl�tement ouvert, et si �a
marche, resserrez alors les r�gles du pare-feu.</p>
<p>Pare-feu compl�tement ouvert avec ipfwadm et un noyau 2.0.x
:</p>
<pre class="SCREEN">ipfwadm -I -p accept
ipfwadm -O -p accept
ipfwadm -F -a accept -m</pre>
<p>Pare-feu compl�tement ouvert avec ipchains et un noyau 2.2.x
:</p>
<pre class="SCREEN">ipchains -P input   ACCEPT
ipchains -P output  ACCEPT
ipchains -P forward MASQ</pre>
<p>Ne laissez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> votre pare-feu compl�tement ouvert plus
de temps qu'il n'en faut pour prouver qu'une connexion VPN masqu�e
peut �tre �tablie !</p>
</li>
<li>
<p>�quipements interm�diaires et Internet : Tous les routeurs entre
votre pare-feu Linux et la machine IPsec distante doivent autoriser
le passage des paquets porteurs du protocole IP 50. Tous les
routeurs entre votre pare-feu Linux et le serveur PPTP doivent
autoriser le passage des paquets porteurs du protocole IP 47. Si
IPsec ou PPTP fonctionne lorsque votre client VPN est directement
connect� � votre FAI, alors le probl�me ne vient probablement pas
de l�.</p>
<p>Pour savoir si un �quipement interm�diaire bloque le trafic GRE,
utilisez un <tt class="LITERAL">traceroute</tt> patch� pour suivre
la progression des paquets GRE. Regardez la section des ressources
pour de plus amples informations sur le patch de traceroute. Un
patch similaire pour ESP est en cours de codage.</p>
</li>
<li>
<p>Le pare-feu distant : le pare-feu du c�t� du serveur doit
autoriser une machine ayant la m�me adresse IP que celle attribu�e
� votre machine Linux par votre FAI � se connecter au port 500/udp
de la machine IPsec ou sur le port 1723/tcp du serveur PPTP. Si le
VPN fonctionne lorsque votre client VPN est connect� directement �
votre FAI, alors le probl�me ne vient probablement pas de l�.</p>
</li>
<li>
<p>Le pare-feu c�t� serveur et ESP : les donn�es crypt�es IPsec
sont transport�es au dessus du protocole IP 50. Si le pare-feu
derri�re lequel se trouve la machine IPsec distante ne fait pas
suivre le trafic ESP dans les deux sens, IPsec ne pourra pas
marcher. Une fois de plus, si IPsec fonctionne lorsque votre client
IPsec est connect� directement � votre FAI, alors le probl�me ne
vient probablement pas de l�.</p>
</li>
<li>
<p>Le pare-feu c�t� serveur et GRE : le canal de donn�es PPTP est
transport� comme une session PPP encapsul�e dans GRE (protocole IP
47). Si le pare-feu derri�re lequel votre serveur PPTP se trouve ne
fait pas suivre le trafic GRE dans les deux sens, PPTP ne pourra
pas fonctionner. Une fois de plus, si PPTP fonctionne lorsque votre
client IPsec est connect� directement � votre FAI, alors le
probl�me ne vient probablement pas de l�.</p>
</li>
<li>
<p>Le patch : si votre client IPsec s'authentifie correctement mais
ne peut pas �tablir de connexion r�seau, le patch peut ne pas
masquer le trafic ESP correctement. Si votre client PPTP �tablit le
canal de contr�le (RASMON bipe et le petit t�l�phone clignote) et
qu'un trafic GRE est g�n�r� (la lumi�re en haut de RASMON clignote)
mais qu'il n'y a pas de trafic GRE en retour (la lumi�re en bas de
RASMON ne clignote pas en r�ponse), le patch peut ne pas masquer le
trafic GRE correctement.</p>
<p>Regardez dans <tt class="LITERAL">/var/log/messages</tt> pour
trouver les entr�es des journaux qui montrent que le trafic VPN a
�t� vu. Activez le d�boguage du VPN pour vous aider � d�terminer si
le patch est responsable ou non. Faites aussi tourner un sniffeur
sur votre connexion internet en cherchant le trafic VPN sortant
<span class="emphasis"><i class="EMPHASIS">(voir plus
bas)</i></span>.</p>
</li>
<li>
<p>Clients multiples : l'ancien patch PPTP ne supporte PAS le
masquage de plusieurs clients PPTP cherchant � acc�der au
<span class="emphasis"><i class="EMPHASIS">m�me</i></span> serveur
PPTP. Si vous essayez de le faire, vous devriez reconsid�rer votre
architecture r�seau et voir si vous ne devriez pas installer un
routeur PPTP pour vos clients locaux. Le patch 2.0 inclus le
masquage d'identifiant d'appel, qui permet plusieurs sessions
simultan�es. <span class="emphasis"><i class="EMPHASIS">Note
:</i></span> n'activez pas le masquage d'identifiant d'appel PPTP
si vous masquez un serveur PPTP. Cela emp�cherait le trafic sortant
en provenance du serveur d'�tre masqu�.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN788" id="AEN788">D�pannage</a></h3>
<p>La plupart des probl�mes peuvent �tre identifi�s en faisant
tourner un sniffeur de paquets (par exemple <tt class=
"LITERAL">tcpdump</tt> avec l'option <tt class="LITERAL">-v</tt>)
sur votre pare-feu passerelle VPN. Si tout fonctionne correctement,
vous allez voir le trafic suivant.</p>
<p></p>
<ul>
<li>
<p>R�seau local du client :</p>
<p>IPsec : le trafic UDP (destination UDP port 500) et ESP
(protocole IP 50) en provenance de votre client local IPsec �
destination de l'adresse IP internet de la machine IPsec distante.
Si vous ne le voyez pas, votre client IPsec est mal configur�.</p>
<p>PPTP : le trafic TCP (destination TCP port 1723) et GRE
(protocole IP 47) en provenance de votre client local PPTP �
destination de l'adresse IP internet du serveur PPTP. Si vous ne le
voyez pas, votre client PPTP est mal configur�.</p>
</li>
<li>
<p>Du c�t� FAI de votre pare-feu client : un trafic UDP et ESP ou
TCP et GRE en provenance de l'adresse IP internet du pare-feu
client (souvenez vous, on fait du masquage) vers l'adresse IP
internet du serveur VPN. Si vous ne le voyez pas, votre masquage
est mal configur�, ou bien le patch ne fonctionne pas.</p>
</li>
<li>
<p>Du c�t� FAI de votre pare-feu serveur : un trafic UDP et ESP ou
TCP et GRE en provenance de l'adresse IP internet de votre client
vers l'adresse IP internet du serveur VPN. Si vous ne le voyez pas,
internet ne marche pas <tt class="LITERAL">:)</tt> ou des
�quipements interm�diaires bloquent le trafic ESP ou GRE.</p>
</li>
<li>
<p>Du c�t� DMZ de votre pare-feu serveur : un trafic UDP et ESP ou
TCP et GRE en provenance de l'adresse IP internet du client vers
l'adresse IP du serveur. Si vous ne le voyez pas, v�rifiez les
r�gles pare-feu concernant le suivi de paquets UDP port 500 ainsi
que ceux porteurs du protocole IP 50 ou TCP port 1723 et protocole
IP 47, ainsi que la configuration d'<tt class=
"LITERAL">ipportfw</tt> et de <tt class="LITERAL">ipfwd</tt> si
vous masquez le serveur.</p>
</li>
<li>
<p>Du c�t� interne du pare-feu serveur : un trafic UDP (port source
500) et ESP ou TCP (port source 1723) et GRE en provenance de
l'adresse IP du serveur VPN et � destination de l'adresse IP
internet du client. Si vous ne le voyez pas, v�rifiez la
configuration du serveur VPN, y compris les r�gles de filtrage de
paquets sur le serveur VPN.</p>
</li>
<li>
<p>Du c�t� FAI du pare-feu serveur : un trafic UDP et ESP ou TCP et
GRE en provenance de l'adresse IP du serveur VPN (ou l'adresse IP
du pare-feu si le serveur est masqu�) vers l'adresse IP internet du
client. Si vous ne le voyez pas, v�rifiez les r�gles de votre
pare-feu concernant la transmission de paquets UDP port 500 ainsi
que de ceux porteurs du protocole IP 50 ou TCP port 1723 et
protocole IP 47.</p>
</li>
<li>
<p>Du c�t� FAI de votre pare-feu client : un trafic UDP et ESP ou
TCP et GRE en provenance de l'adresse IP du serveur VPN et �
destination de l'adresse IP internet du pare-feu client. Si vous ne
le voyez pas, internet se r�volte encore.</p>
</li>
<li>
<p>Du c�t� r�seau local client : un trafic UDP et ESP ou TCP et GRE
en provenance de l'adresse IP internet du serveur VPN � destination
de l'adresse IP sur le r�seau local du client VPN. Si vous voyez le
trafic UDP mais pas le trafic ESP, ou bien le trafic TCP mais pas
le trafic GRE, le patch ne fonctionne pas ou n'a pas �t� install�
correctement.</p>
</li>
</ul>
<p>Vous pouvez trouver utile d'activer le d�boguage du VPN et de
recompiler votre noyau. Ajoutez ce qui suit au fichier <tt class=
"LITERAL">/etc/syslog.conf</tt></p>
<pre class="SCREEN"># d�boguage
*.=debug           /var/log/debug</pre>
et regardez <tt class="LITERAL">/var/log/messages</tt> et
<tt class="LITERAL">/var/log/debug</tt> pour les messages
concernant le trafic VPN. Notez que l'enregistrement -
particuli�rement l'enregistrement bavard (verbose log) - va
engendrer une grande activit� disque et va faire grossir tr�s
rapidement les journaux. N'activez pas le d�boguage si vous n'en
avez pas besoin, et coupez le quand vous avez fini.</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN821" id="AEN821">Clients MS PTPP et
noms de domaines</a></h3>
<p>Merci � Charles Curley <a href="mailto:ccurley@trib.com" target=
"_top">&lt;ccurley@trib.com&gt;</a> pour ce qui suit :</p>
<pre class="SCREEN">
Si vous utilisez PPTP (Point to Point Tunneling Protocol) 
pour acc�der � un environnement R�seau Microsoft (SMB) et que
vous avez votre propre environnement R�seau Microsoft sur votre
r�seau local (Samba ou Windows), donnez � votre groupe de travail
local un nom qui n'est pas connu dans l'environnement distant.
La raison est que tant que votre client PPTP est connect�
� l'environnement distant, il va voir les serveurs de noms de 
domaine de l'environnement distant, et il ne va voir que les machines
distantes appartenant � ce groupe de travail.

<br>Vous devez �viter l'option paresseuse. Microsoft livre Windows 
pr�-configur� pour un groupe de travail par d�faut nomm� WORKGROUP.
Il y a des gens paresseux qui vont garder ce nom pour leur groupe 
de travail quand ils installeront leurs ordinateurs.
Donc il y a une bonne chance pour que l'environnement distant ait
un groupe de travail appel� WORKGROUP, que cela plaise ou non aux 
administrateurs.</pre>
<p>Je pense que ceci s'applique ind�pendamment de l'utilisation du
VPN, car les services de nommage sont ind�pendants du transport. Si
votre (ou vos) client peut voir les serveurs WINS sur le r�seau
distant, vous aurez le probl�me, avec ou sans PPTP.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN829" id="AEN829">Clients PPTP MS et
IPX Novell</a></h3>
<p>Si vous avez des probl�mes avec le trafic IPX sur votre liaison
PPTP, lisez les sections 3.5 et 5.2 de cet article de la base de
connaissances MS : <a href=
"http://microsoft.com/ntserver/nts/downloads/recommended/dun13win95/ReleaseNotes.asp"
target=
"_top">http://microsoft.com/ntserver/nts/downloads/recommended/dun13win95/ReleaseNotes.asp</a></p>
<p>Les m�mes consid�rations s'appliquent probablement �galement �
W'98.</p>
<p>Merci � David Griswold <a href="mailto:dgriswol@ix.netcom.com"
target="_top">&lt;dgriswol@ix.netcom.com&gt;</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN836" id="AEN836">Probl�mes de mots de
passe r�seau MS</a></h3>
<p>Lorsque vous utilisez un VPN pour acc�der � un r�seau MS,
souvenez-vous qu'il vous faut fournir deux jetons
d'authentification diff�rents - un pour se connecter au serveur VPN
(le mot de passe VPN) et l'autre pour acc�der aux ressources du
r�seau distant une fois que la connexion est �tablie (le mot de
passe r�seau).</p>
<p>Le mot de passe VPN - le nom d'utilisateur et le mot de passe
que vous avez entr� dans votre client VPN lorsque vous avez initi�
la connexion au serveur VPN - n'est utilis� que par le serveur VPN
pour vous autoriser � vous connecter au r�seau via le VPN. Il n'est
utilis� pour rien d'autre une fois que vous �tes connect�.</p>
<p>Le mot de passe VPN n'est <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> utilis� pour prouver votre identit� aux
autres ordinateurs du r�seau distant. Pour cela vous devez fournir
une autre paire nom d'utilisateur/mot de passe - votre mot de passe
r�seau.</p>
<p>Il y a deux m�thodes pour fournir un mot de passe r�seau. Votre
mot de passe r�seau peut provenir de la m�me paire nom
d'utilisateur/mot de passe que celle que vous utilisez lorsque vous
vous connectez sur le r�seau local en allumant votre ordinateur.
S'il est diff�rent, vous pouvez configurer votre client VPN pour
vous demander votre mot de passe pour le r�seau distant une fois
que la connexion VPN est �tablie.</p>
<p>Si vous arrivez � vous connecter au serveur VPN sans pouvoir
acc�der aux ressources disponibles sur le r�seau distant, alors
vous n'avez pas fourni une paire nom d'utilisateur/mot de passe
valide sur le r�seau distant. V�rifiez que le nom d'utilisateur et
le mot de passe pour votre r�seau local fonctionnent aussi sur le
r�seau distant, ou configurez votre client VPN pour vous demander
un nom d'utilisateur et un mot de passe � utiliser sur le r�seau
distant, et pour vous "enregistrer" sur le r�seau distant une fois
que la connexion VPN est �tablie.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN844" id="AEN844">Si votre session
IPsec meurt automatiquement apr�s un certain laps de temps</a></h3>
<p>Si vous avez des probl�mes avec votre tunnel IPsec qui meurt
r�guli�rement, plus particuli�rement si une v�rification des
enregistrements sur le pare-feu montrent que des paquets ISAKMP
avec des valeurs "zero cookie" passent, voici ce qui arrive.</p>
<p>Les versions ant�rieures du patch pour le masquage IPsec ne
changeaient pas le d�lai de fin d'attente (timeout) pour les
entr�es de la table de masquage des paquets ISAKMP UDP. Les entr�es
de la table de masquage pour le trafic ISAKMP UDP vont arriver en
fin d'attente assez rapidement (comparativement au canal de
donn�es) et vont �tre supprim�es ; si l'h�te IPsec distant d�cide
alors d'initialiser un renouvellement des cl�s avant que la machine
IPsec locale ne le fasse, le trafic ISAKMP entrant pour le
renouvellement des cl�s ne pourra alors pas �tre rout� vers la
machine masqu�e. Le trafic de renouvellement des cl�s sera rejet�,
l'h�te IPsec distant pensera que le lien est tomb�, et que la
connexion va �tre termin�e.</p>
<p>Le patch 2.0.x a �t� modifi� depuis sa version initiale pour
augmenter le d�lai de fin d'attente des entr�es de la table de
masquage concernant les paquets ISAKMP UDP. R�cup�rez la version
actuelle du patch, disponible sur les sites indiqu�s dans la
section Ressources, r�-appliquez le patch et recompilez votre
noyau.</p>
<p>V�rifiez �galement que votre param�tre <tt class="LITERAL">Dur�e
de vie de la table de masquage IPsec (IPsec Masq Table
Lifetime)</tt> est configur� pour �tre �gal, ou l�g�rement
sup�rieur, � votre intervalle de renouvellement des cl�s.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN851" id="AEN851">Si le masquage VPN
ne fonctionne pas apr�s le red�marrage</a></h3>
<p>Vous souvenez-vous d'avoir mis les commandes <tt class=
"LITERAL">modprobe ip_masq_pptp.o</tt> ou <tt class=
"LITERAL">modprobe ip_masq_ipsec.o</tt> dans votre script de
d�marrage <tt class="LITERAL">/etc/rc.d/rc.local</tt> au cas o�
vous avez compil� le support de masquage VPN en modules ?</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN857" id="AEN857">Si votre seconde
session PPTP tue votre premi�re session</a></h3>
<p><a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">La RFC de PPTP</a> pr�cise qu'il ne peut y avoir qu'un seul
canal de contr�le entre deux syst�mes. Cela peut vouloir dire qu'un
seul client masqu� est capable de contacter un serveur PPTP donn� �
un instant donn�. Regardez pour de plus amples d�tails.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN862" id="AEN862">Notes techniques sur
le masquage IPsec et consid�rations sp�ciales sur la
s�curit�</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN864" id="AEN864">Limites et
faiblesses du masquage IPsec</a></h3>
<p>Le trafic utilisant le protocole AH <span class=
"emphasis"><i class="EMPHASIS">ne peut pas</i></span> �tre masqu�.
Le protocole AH inclut un contr�leur d'int�grit� cryptographique
qui couvre les adresses IP, et que la passerelle de masquage ne
peut pas r�g�n�rer correctement. Donc tout le trafic AH masqu� va
�tre rejet� car il aura des contr�leurs d'int�grit� non
valides.</p>
<p>Le trafic IPsec utilisant le mode de transport ESP ne peut pas
non plus �tre correctement masqu�. Le mode de transport ESP crypte
tout ce qui se trouve apr�s l'ent�te IP. Or, par exemple, les
contr�leurs d'int�grit� de TCP et UDP incluent les adresses IP
source et destination, ils se trouvent dans la partie crypt�e, et
ne peuvent donc pas �tre recalcul�s apr�s que la passerelle de
masquage ait modifi� les adresses IP. L'ent�te TCP/UDP ne va donc
pas passer les contr�les d'int�grit� sur la passerelle distante, et
le paquet va �tre rejet�. Les protocoles n'incluant pas les
informations sur les adresses IP source ou destination peuvent
utiliser le masquage du mode de transport.</p>
<p>Ces limites mises � part, le masquage IPsec est s�r et fiable �
condition qu'un seul h�te IPsec soit masqu� � un instant donn�, ou
que chaque h�te masqu� communique avec un serveur distant
diff�rent. Lorsque plusieurs machines masqu�es communiquent avec la
m�me machine distante, quelques faiblesses apparaissent :</p>
<p></p>
<ul>
<li>
<p>Les communications du mode transport sont sujettes �
collisions.</p>
<p>Si deux machines masqu�es ou plus utilisent le mode transport
pour communiquer avec le m�me h�te distant, et si la politique de
s�curit� sur l'h�te distant permet plusieurs sessions de mode
transport avec la m�me machine, il est possible que les sessions
aient des collisions. Ceci arrive parce que l'adresse IP de la
<span class="emphasis"><i class="EMPHASIS">passerelle de
masquage</i></span> va �tre utilis�e pour identifier les sessions,
et que les autres informations d'identification ne pourront pas
�tre masqu�es puisqu'elles sont dans la portion crypt�e du
paquet.</p>
<p>Si la politique de s�curit� de l'h�te distant n'autorise pas
plusieurs sessions simultan�es en mode transport avec la m�me
machine, la situation est pire : la session en mode transport
n�goci�e en dernier va �craser <span class="emphasis"><i class=
"EMPHASIS">tout</i></span> le trafic de la session pr�c�dente,
entra�nant sa "mort". Alors que les sessions �tablies via
l'ancienne session IPsec en mode transport vont �tre rapidement
r�initialis�es si l'h�te distant n'attend pas de trafic, au moins
un paquet de donn�es va �tre envoy� � la mauvaise machine. Ce
paquet va probablement �tre ignor� par le destinataire, mais il va
tout de m�me �tre envoy�.</p>
<p><span class="emphasis"><i class="EMPHASIS">Donc une collision du
mode transport peut avoir comme cons�quence une fuite d'information
entre les deux sessions ou bien la fin de l'une des deux
sessions.</i></span> L'utilisation d'IPsec en mode transport via
une passerelle de masquage <span class="emphasis"><i class=
"EMPHASIS">n'est pas recommand�e</i></span> s'il y a une
possibilit� que d'autres sessions IPsec en mode transport soient
initialis�es via la m�me passerelle de masquage vers le m�me h�te
IPsec distant.</p>
<p>IPsec en mode tunnel avec une adresse de r�seau externe (l'h�te
IPsec masqu� se voit attribuer une adresse IP du r�seau de l'h�te
distant) n'est <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> sujet � ces probl�mes, car l'adresse IP
fournie par le r�seau distant sera utilis�e pour identifier les
sessions plut�t que l'adresse IP de la machine masquante.</p>
</li>
<li>
<p>Les communications ISAKMP sont sujettes � des collisions de
cookies.</p>
<p>Si deux ou plusieurs machines masqu�es �tablissant une session
avec la m�me machine distante utilisent le m�me cookie lors de
l'initialisation du trafic ISAKMP, la passerelle de masquage va
router tout le trafic ISAKMP vers la seconde machine. Il y a une
chance sur 2ˆ64 (ie. tr�s petite) pour que cette collision ait lieu
lorsque la connexion ISAKMP initiale est �tablie.</p>
<p>Pour corriger cela, il faut inclure le cookie de r�ponse dans la
cl� utilis�e pour router le trafic ISAKMP entrant. Cette
modification est incluse dans le code de masquage IPsec des noyaux
2.2.x, et la courte p�riode entre le moment o� l'h�te masqu�
initialise l'�change ISAKMP et la r�ponse de l'h�te distant est
prot�g�e par le bloquage de tout nouveau trafic ISAKMP qui pourrait
entrer en collision avec le trafic actuel. Cette modification va
bient�t �tre port�e sur le code des 2.0.x.</p>
</li>
<li>
<p>Il peut y avoir une collision entre les valeurs SPI du trafic
entrant.</p>
<p>Deux ou plusieurs h�tes IPsec masqu�s communiquant avec la m�me
machine IPsec distante peuvent n�gocier pour utiliser la m�me
valeur SPI pour le trafic entrant. Si cela arrive, la passerelle de
masquage va router tout le trafic entrant vers la premi�re machine
qui va recevoir tout le trafic entrant avec ce SPI. La probabilit�
est de 1 sur 2ˆ32 pour chaque session ESP, et le cas peut se
pr�senter � chaque renouvellement de cl�s.</p>
<p>Les valeurs SPI sont rattach�es � diff�rents SA ayant
diff�rentes cl�s de cryptage, le premier h�te ne sera donc pas
capable de d�crire les donn�es destin�es aux autres machines, donc
il n'y aura aucune fuite de donn�es. Il n'y a aucun moyen pour la
passerelle de masquage de d�tecter ou d'emp�cher cette collision.
La seule fa�on d'emp�cher cette collision est que l'h�te IPsec
distant v�rifie la valeur SPI propos�e par la machine masqu�e pour
voir si cette valeur SPI est d�j� utilis�e par un autre SA depuis
la m�me adresse IP. Il est peu probable que ceci soit impl�ment� un
jour, car cela imposerait une charge suppl�mentaire � une op�ration
d�j� co�teuse (le renouvellement des cl�s) pour un b�n�fice
concernant un nombre r�duit de personnes et un type d'�v�nement
assez rare.</p>
</li>
<li>
<p>Les valeurs SPI entrantes et sortantes peuvent �tre
dissoci�es.</p>
<p>Ceci sera vu en d�tail dans la section suivante.</p>
</li>
</ul>
<p>Pour �viter ces probl�mes, le code des noyaux 2.2.x emp�che par
d�faut l'�tablissement de plusieurs connexions vers la m�me machine
distante. Si vous estimez que la faiblesse li�e � plusieurs
connexions vers la m�me machine distante est acceptable, vous
pouvez activer les "sessions parall�les".</p>
<p>Il peut �tre g�nant de bloquer pour des raisons de s�curit� les
sessions parall�les : il n'y a aucun moyen pour le code de masquage
IPsec de sniffer la session et de voir quand elle se termine, donc
les entr�es de la table de masquage vont �tre conserv�es pendant
leur dur�e de vie standard, m�me si la session se termine juste
apr�s qu'elle ait �t� �tablie. Si l'on emp�che les sessions
parall�les, cela signifie que le serveur n'acceptera pas d'autre
client tant que l'entr�e de la table de masquage la plus r�cente
sera pr�sente. Cela peut prendre plusieurs heures.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN896" id="AEN896">Routage correct du
trafic crypt� entrant</a></h3>
<p>La partie de l'�change de cl�s ISAKMP o� les valeurs SPI d'ESP
sont communiqu�es est crypt�e, donc les valeurs SPI d'ESP doivent
�tre d�termin�es en �tudiant le trafic ESP actuel. Le trafic ESP
sortant ne contient aucune indication sur ce que sera le SPI
entrant. Cela signifie qu'il n'y a aucune m�thode fiable pour
associer le trafic ESP entrant avec le trafic ESP sortant.</p>
<p>Le masquage IPsec tente d'associer le trafic ESP entrant et
sortant en s�rialisant le trafic ESP par machine distante.
Concr�tement :</p>
<p></p>
<ul>
<li>
<p>Si un paquet ESP sortant avec une valeur SPI qui n'a pas encore
�t� vue (ou dont l'entr�e dans la table de masquage a expir�) est
re�u (il sera appel� par la suite un "paquet initial"), une entr�e
dans la table de masquage est cr��e pour cette combinaison
AdresseSource+SPI+AdresseDest. Elle est marqu�e comme "en attente",
ce qui signifie qu'aucun trafic correspondant � cette entr�e n'a
�t� pour l'instant re�u. Le marquage se fait en mettant la valeur
"SPI entrant" dans l'entr�e de la table de masquage � z�ro, qui est
une valeur r�serv�e pour cela. Ceci arrivera lors de
l'initialisation d'une nouvelle connexion ESP et � intervalles
r�guliers lors du renouvellement de cl�s d'une connexion ESP
existante.</p>
</li>
<li>
<p>Tant que l'entr�e de la table de masquage est en attente, aucun
autre paquet ESP initial � destination du <span class=
"emphasis"><i class="EMPHASIS">m�me h�te distant</i></span> n'est
trait�. Les paquets sont imm�diatement rejet�s, et une entr�e du
journal syst�me est ajout�e, pr�cisant que le trafic est
temporairement bloqu�. Ceci s'applique �galement au trafic initial
en provenance de la m�me machine masqu�e � destination du m�me h�te
distant, si les valeurs SPI sont diff�rentes. Le trafic vers
d'autres h�tes distants, et le trafic o� les deux valeurs SPI sont
connues (trafic d�j� "�tabli") n'est pas affect�.</p>
</li>
<li>
<p>Ceci peut facilement mener � un d�ni de service sur la machine
distante, c'est pour cela que la dur�e de vie de cette entr�e en
attente de la table de masquage ESP est faible, et que seul un
nombre limit� de tentatives pour le m�me trafic est autoris�. Ceci
permet de faire un acc�s via round-robin � la machine distante si
plusieurs machines masqu�es tentent d'initialiser simultan�ment la
connexion et que les r�ponses n'arrivent pas tr�s vite, par exemple
� cause d'une congestion r�seau, ou d'une machine distante lente.
Le d�compte des tentatives commence d�s qu'il y a une collision,
donc l'h�te IPsec masqu� peut attendre une r�ponse aussi longtemps
qu'il le faut jusqu'� ce qu'il soit n�cessaire de faire une mise en
s�rie des connexions.</p>
</li>
<li>
<p>Quand un paquet ESP est re�u en provenance de l'h�te distant en
attente, et que la valeur SPI n'appara�t dans aucune entr�e de la
table de masquage, il est suppos� que le paquet est la r�ponse au
paquet en attente initial. La valeur SPI est stock�e dans l'entr�e
courante de la table de masquage associant les valeurs SPI, et le
trafic ESP entrant est alors rout� vers la machine masqu�e. A ce
point un autre paquet initial destin� au serveur distant peut �tre
trait�.</p>
</li>
<li>
<p>Tout trafic ESP avec une valeur SPI de z�ro est rejet� comme
�tant invalide, conform�ment au RFC.</p>
</li>
</ul>
<p>Il y a plusieurs possibilit�s pour que l'association de trafic
ne se fasse pas proprement :</p>
<p></p>
<ul>
<li>
<p>La latence du r�seau ou la lenteur d'une machine distante
peuvent retarder suffisamment la r�ponse au paquet initial pour que
l'entr�e de la table de masquage ait expir�, et qu'une autre
machine masqu�e ait eu sa chance d'initialiser un trafic. Ceci peut
faire que la r�ponse sera associ�e au mauvais SPI sortant, et donc
le trafic entrant sera rout� vers la mauvaise machine masqu�e. Si
cela arrive, la machine masqu�e recevant le trafic par erreur le
rejettera parce qu'il n'aura pas la valeur SPI attendue, et tout le
monde risque de patienter jusqu'� la fin du temps d'attente pour
faire un nouvel �change de cl�s, et r�essayer. On peut y rem�dier
en �ditant <tt class=
"LITERAL">/usr/src/linux/net/ipv4/ip_masq.c</tt> (<tt class=
"LITERAL">ip_masq_ipsec.c</tt> dans le 2.2.x) et en augmentant la
dur�e de vie d'INIT ou le nombre de tentatives INIT autoris�es,
avec pour co�t l'agrandissement de la fen�tre de bloquage (et de
d�ni de service).</p>
</li>
<li>
<p>Les sessions inactives ou semi-inactives (avec un trafic entrant
peu fr�quent et aucun trafic sortant) sur une longue p�riode
peuvent le rester suffisamment longtemps pour que l'entr�e de la
table de masquage expire. Si la machine distante envoie du trafic
d'une session ayant d�j� expir� au niveau de la table de masquage
pendant qu'une initialisation est en cours vers la m�me machine, le
trafic peut �tre incorrectement rout�, pour la m�me raison que plus
haut. On peut y rem�dier en s'assurant que le param�tre de
configuration du noyau <tt class="LITERAL">IPsec Masq Table
Lifetime</tt> est l�g�rement plus grand que l'intervalle de
renouvellement des cl�s, qui est la dur�e la plus longue que les
paires SPI peuvent utiliser. Le probl�me ici est que vous ne pouvez
pas conna�tre tous les intervalles de renouvellement des cl�s si
vous masquez plusieurs serveurs distants, ou que certains peuvent
avoir leurs intervalles de renouvellement des cl�s positionn�s �
des valeurs d�raisonnablement �lev�es, comme plusieurs heures.</p>
</li>
<li>
<p>S'il y a un d�lai entre un renouvellement de cl�s et la
transmission du trafic ESP sortant utilisant le nouveau SPI, et si
durant ce d�lai un trafic ESP entrant utilisant ce nouveau SPI est
re�u, il n'y a pas d'entr�e de la table de masquage d�crivant
comment router le trafic entrant. Si une autre machine masqu�e a
une initialisation en attente avec le m�me h�te distant, le trafic
va �tre dissoci�. Notez que la s�rialisation du trafic ESP initial
n'affecte <span class="emphasis"><i class="EMPHASIS">pas</i></span>
le trafic de renouvellement des cl�s ISAKMP.</p>
</li>
</ul>
<p>La meilleure solution est d'avoir un moyen de pr�-charger la
table de masquage avec les bonnes paires SPI-sortie/SPI-entr�e, ou
une autre forme d'association machine_distante + SPI_entr�e avec la
machine_masqu�e. Cela ne peut pas �tre fait en suivant l'�change de
cl�s ISAKMP, car il est crypt�. Il peut �tre possible d'utiliser
RSIP (�galement connu en tant que Translation d'Adresse R�seau pour
un h�te (NdT : Host-NAT)) pour communiquer avec l'h�te IPsec masqu�
et demander une notification sur les informations SPI une fois que
la n�gociation a eu lieu. Ce point est � �tudier. Si quelque chose
est fait pour l'impl�menter, ce ne sera pas fait avant les s�ries
2.3.x, car RSIP est un protocole NAT client/serveur assez
complexe.</p>
<p>Quand un paquet ESP entrant avec un nouveau SPI est re�u, le
pare-feu de masquage tente de deviner � quel(s) h�te(s) masqu�(s)
ce trafic entrant est destin�. Si le trafic ESP entrant ne
correspond pas � une session �tablie, ou � une session en cours
d'initialisation, alors le paquet est envoy� � la (aux) machine(s)
masqu�e(s) qui a (ont) renouvel� en dernier ses (leurs) cl�s avec
cet h�te distant. Les machines masqu�es "incorrectement" vont
rejeter le trafic comme n'�tant pas correctement crypt�, et la
machine "correctement" masqu�e va recevoir des donn�es. Lorsque la
machine "correctement" masqu�e r�pond, le processus normal de
s�rialisation de l'initialisation ESP a lieu.</p>
</div>
</div>
</div>
</body>
</html>