doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / VPN-Masquerade-HOWTO.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<title>Linux VPN Masquerade HOWTO - Version
fran&ccedil;aise</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Linux VPN Masquerade
HOWTO - Version fran&ccedil;aise</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">John D. Hardin
&lt;jhardin@wolfenet.com&gt;, version fran&ccedil;aise par Yann
Hirou &lt;hirou@linuxfr.org&gt;</a></h3>
<p class="PUBDATE">$Revision: 2.19 $ $Date: 2000-10-22 12:07:43-07
$<br></p>
<div>
<div class="ABSTRACT"><a name="AEN11" id="AEN11"></a>
<p>Ce document d&eacute;crit comment configurer un pare-feu Linux
pour masquer le trafic d'un r&eacute;seau priv&eacute; virtuel
(NdT: Virtual Private Network, VPN) utilisant IPsec ou PPTP, vous
permettant ainsi d'&eacute;tablir une connexion VPN sans perdre ni
la s&eacute;curit&eacute; ni la flexibilit&eacute; apport&eacute;es
par la connexion internet de votre pare-feu Linux, et vous
permettant de rendre accessible un serveur VPN qui n'a pas
d'adresse IP publique. Des informations sur la configuration du
client et du serveur VPN sont &eacute;galement fournies.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="AEN13" id="AEN13">Introduction</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN15" id="AEN15">Introduction</a></h3>
<p>Ce document d&eacute;crit comment configurer le masquage d'un
trafic VPN de type IPsec ou PPTP. Les VPNs utilisant SSH (comme
celui vendu par F-Secure, et r&eacute;f&eacute;renc&eacute; dans le
<a href="http://www.linux.org/help/ldp/mini/VPN.html" target=
"_top">VPN mini-HOWTO</a>) sont fond&eacute;s sur un trafic TCP
standard, et ne n&eacute;cessitent aucune modification
particuli&egrave;re du noyau.</p>
<p>Le masquage de VPN vous permet d'&eacute;tablir une ou plusieurs
sessions IPsec et/ou PPTP vers des serveurs VPN accessibles sur
internet via votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?firewall+machine"
target="_top">pare-feu internet</a> sans que vous deviez connecter
la machine sur laquelle tourne le client VPN directement &agrave;
votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?internet+service+provider"
target="_top">FAI (Fournisseur d'Acc&egrave;s Internet)</a> - donc
en conservant tous les avantages de votre pare-feu internet sous
Linux. Il vous est &eacute;galement possible de configurer un
serveur VPN avec une adresse IP de r&eacute;seau priv&eacute; (voir
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a>) derri&egrave;re un pare-feu Linux faisant du
masquage, vous permettant ainsi de fournir de fa&ccedil;on assez
s&eacute;curis&eacute;e un acc&egrave;s &agrave; un r&eacute;seau
priv&eacute; via seulement une seule adresse IP
r&eacute;f&eacute;renc&eacute;e - y compris si cette adresse IP
repr&eacute;sente celle d'une connexion modem pouvant varier.</p>
<p>Il est tr&egrave;s fortement recommand&eacute; que vous
compreniez, configuriez et testiez le masquage IP avant de tenter
de mettre en place du masquage VPN. Consultez le <a href=
"http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html" target=
"_top">IP Masquerade HOWTO</a> et la page de ressources sur le
masquage IP &agrave; l'adresse <a href="http://ipmasq.cjb.net/"
target="_top">http://ipmasq.cjb.net/</a> avant de commencer. La
planification et la mise en place de votre VPN et de votre pare-feu
d&eacute;passent le cadre de ce document. Voici quelques ressources
:</p>
<ul>
<li>
<p><a href=
"http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html" target=
"_top">http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html</a></p>
</li>
<li>
<p><a href=
"http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html"
target=
"_top">http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html</a></p>
</li>
</ul>
<p>Le patch pour les noyaux de la s&eacute;rie 2.0.x fonctionne
bien sur la version 2.0.36 du noyau Linux, et a &eacute;t&eacute;
int&eacute;gr&eacute; dans la version 2.0.37. Il doit
&eacute;galement fonctionner sur les versions ant&eacute;rieures
&agrave; la 2.0.36, et devrait fonctionner sur les noyaux Linux
jusqu'&agrave; la version 2.1.102. Le code du masquage IP se
trouvant dans le noyau a &eacute;t&eacute; restructur&eacute;
autour de la version 2.1.103, n&eacute;cessitant un patch
diff&eacute;rent pour les s&eacute;ries de noyaux 2.1.105+ et
2.2.x.. Un patch est disponible pour les noyaux de 2.2.5 &agrave;
2.2.17, et il devrait fonctionner sur les noyaux
ant&eacute;rieurs.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN34" id="AEN34">Avis, Cr&eacute;dits
&amp; Ressources</a></h3>
<p>Le site o&ugrave; trouver les patchs du noyau pour le masquage
VPN avec Linux est <a href=
"http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a></p>
<p>N'h&eacute;sitez pas &agrave; m'envoyer votre avis ou des
commentaires sur ce document &agrave; l'adresse <a href=
"mailto:jhardin@wolfenet.com" target=
"_top">&lt;jhardin@wolfenet.com&gt;</a>. La version actuelle est
disponible &agrave; l'adresse :</p>
<ul>
<li>
<p>HTML: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html</a></p>
</li>
<li>
<p>PostScript: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz</a></p>
</li>
<li>
<p>SGML source: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml</a></p>
</li>
</ul>
Si vous travaillez avec un noyau dont le num&eacute;ro de version
est sup&eacute;rieur &agrave; tous ceux mentionn&eacute;s dans ce
document, <span class="emphasis"><i class=
"EMPHASIS">merci</i></span> de regarder s'il n'y a pas une version
&agrave; jour de ce HOWTO sur le site cit&eacute; ci-dessus avant
de me contacter directement.
<p>Il peut &eacute;galement &ecirc;tre trouv&eacute; via le
<a href="http://metalab.unc.edu/LDP/HOWTO/" target=
"_top">r&eacute;pertoire HOWTO</a> du <a href=
"http://metalab.unc.edu/LDP/" target="_top">Linux Documentation
Project</a> et le r&eacute;pertoire <tt class="LITERAL"><a href=
"file:/usr/doc/HOWTO/" target="_top">/usr/doc/HOWTO/</a></tt> sur
la machine Linux la plus proche. Ces copies ne sont pas directement
mises &agrave; jour par moi, donc elles peuvent &ecirc;tre un peu
d&eacute;pass&eacute;es.</p>
<p>J'ai personnellement de l'exp&eacute;rience sur le masquage de
clients IPsec et PPTP tournant sur MS W'98 et NT, sur la
configuration d'un serveur PPTP avec une adresse IP publique, et
sur l'utilisation de PPTP pour du routage inter-r&eacute;seaux.</p>
<p>Les informations sur le masquage d'un serveur PPTP avec une
adresse IP priv&eacute;e proviennent de discussions avec Len Bayles
<a href="mailto:len@isdi.com" target=
"_top">&lt;len@isdi.com&gt;</a>, Simon Cocking <a href=
"mailto:simon@ibs.com.au" target=
"_top">&lt;simon@ibs.com.au&gt;</a> et C. Scott Ananian <a href=
"mailto:cananian@lcs.mit.edu" target=
"_top">&lt;cananian@lcs.mit.edu&gt;</a>.</p>
<p>Le site pour le patch du noyau concernant uniquement le masquage
PPTP pour les s&eacute;ries de noyaux 2.1.105+ et les premiers
2.2.x est <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Le site pour le patch du noyau concernant la redirection de port
<tt class="LITERAL">ipportfw</tt> et pour l'outil de configuration
des noyaux 2.0.x est <a href=
"http://www.ox.compsoc.org.uk/~steve/portforwarding.html" target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port est incluse dans les noyaux 2.2.x, et
l'outil de configuration <tt class="LITERAL">ipmasqadm</tt>
contr&ocirc;lant la redirection de port des 2.2.x peut &ecirc;tre
obtenu &agrave; l'adresse <a href="http://juanjox.kernelnotes.org/"
target="_top">http://juanjox.kernelnotes.org/</a>.</p>
<p>Le site pour le redirecteur IP g&eacute;n&eacute;rique
<tt class="LITERAL">ipfwd</tt> est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
<p>Pleins de remerciements &agrave; Gordon Chaffee <a href=
"mailto:chaffee@cs.berkeley.edu" target=
"_top">&lt;chaffee@cs.berkeley.edu&gt;</a> pour avoir cod&eacute;
et partag&eacute; un patch pour traceroute qui permet de tracer le
trafic GRE. Il va se montrer d'une valeur inestimable pour la
d&eacute;tection d'erreurs si votre trafic GRE se trouve
bloqu&eacute; quelque part. Le patch est disponible &agrave;
l'adresse <a href=
"http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz" target=
"_top">http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz</a></p>
<p>Encore plus de remerciements &agrave; Steve Chinatti <a href=
"mailto:chinatti@alumni.Princeton.EDU" target=
"_top">&lt;chinatti@alumni.Princeton.EDU&gt;</a> pour avoir
partag&eacute; sa modification du masquage IPsec, d'o&ugrave; j'ai
r&eacute;cup&eacute;r&eacute; sans vergogne quelques id&eacute;es
tr&egrave;s importantes...</p>
<p>De plus amples informations sur comment installer des
r&egrave;gles de pare-feu s'ex&eacute;cutant automatiquement - y
compris comment utiliser automatiquement la bonne adresse IP dans
un environnement d'adressage IP dynamique - peuvent se trouver
&agrave; l'adresse <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a></p>
<p>Le site pour Linux FreeS/WAN (IPsec pour Linux) est <a href=
"http://www.xs4all.nl/~freeswan/" target=
"_top">http://www.xs4all.nl/~freeswan/</a> - c'est la solution de
VPN sous Linux conseill&eacute;e.</p>
<p>Un serveur PPTP Linux natif appel&eacute; PoPToP est disponible
&agrave; l'adresse <a href=
"http://www.moretonbay.com/vpn/pptp.html" target=
"_top">http://www.moretonbay.com/vpn/pptp.html</a> - pour les
informations les plus &agrave; jour sur PPTP sous Linux, allez
y.</p>
<p>Paul Cadach <a href="mailto:paul@odt.east.telecom.kz" target=
"_top">&lt;paul@odt.east.telecom.kz&gt;</a> a &eacute;crit des
patchs qui ajoutent au pppd de Linux le support MS-CHAP-v2, MPPE et
Multilink. Allez voir <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz</a>
pour MS-CHAP et MPPE, et <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz</a>
pour Multilink. Un autre ensemble de patchs (probablement
int&eacute;ressants) pour pppd est disponible sur le site de
t&eacute;l&eacute;chargement de PoPToP &agrave; l'adresse <a href=
"http://www.moretonbay.com/vpn/download_pptp.html" target=
"_top">http://www.moretonbay.com/vpn/download_pptp.html</a>.</p>
<p>Le site du projet original PPTP pour Linux est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP</a> et
un patch pour ajouter les fonctionnalit&eacute;s de serveur PPTP
est disponible &agrave; l'adresse <a href=
"http://debs.fuller.edu/cgi-bin/display?list=pptp=222" target=
"_top">http://debs.fuller.edu/cgi-bin/display?list=pptp=222</a></p>
<p>Merci &agrave; Eric Raymond de maintenir <a href=
"http://www.tuxedo.org/jargon/" target="_top">Le fichier du Jargon
(The Jargon File)</a>, et &agrave; Denis Howe de maintenir <a href=
"http://foldoc.doc.ic.ac.uk/" target="_top">Le dictionnaire en
ligne gratuit de l'informatique (The Free On-line Dictionary of
Computing)</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN93" id="AEN93">Copyright &amp; mise
en garde</a></h3>
<p>Ce document est Coyright &copy; 1999-2000 par John D. Hardin.
Vous avez la permission de le redistribuer sous les termes de la
licence LDP, disponible &agrave; l'adresse <a href=
"http://www.linuxdoc.org/COPYRIGHT.html" target=
"_top">http://www.linuxdoc.org/COPYRIGHT.html</a></p>
<p>Les informations fournies dans ce document sont correctes dans
la limite de mon savoir. Le masquage IP est <span class=
"emphasis"><i class="EMPHASIS">exp&eacute;rimental</i></span>, et
il est possible que j'aie fait des erreurs en &eacute;crivant ou
testant le patch du noyau, ou encore en &eacute;crivant les
instructions dans ce document ; &agrave; vous de d&eacute;cider si
vous souhaitez effectuer les changements indiqu&eacute;s dans ce
document.</p>
<pre class="SCREEN">
<span class="emphasis"><i class=
"EMPHASIS">L'AUTEUR NE PEUT ETRE TENU RESPONSABLE POUR DES DEGATS CAUSES PAR DES
ACTIONS BASEES SUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT.
SAUVEGARDEZ TOUTES LES DONNEES CRITIQUES AVANT D'EFFECTUER LES 
CHANGEMENTS INDIQUES DANS CE DOCUMENT. ASSUREZ VOUS D'AVOIR UN NOYAU
QUI MARCHE, SUR LEQUEL VOUS POUVEZ DEMARRER, AVANT DE PATCHER ET
DE RECOMPILER VOTRE NOYAU COMME INDIQUE DANS CE DOCUMENT.</i></span> 
</pre>
En d'autres mots, prenez des pr&eacute;cautions.</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN102" id="AEN102">Connaissances
requises</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN104" id="AEN104">Qu'est-ce qu'un VPN
?</a></h3>
<p>Un <a href="http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?VPN"
target="_top">R&eacute;seau Priv&eacute; Virtuel (Virtual Private
Network)</a>, ou "VPN", est un tunnel qui v&eacute;hicule le trafic
d'un r&eacute;seau priv&eacute; d'un syst&egrave;me terminal vers
un autre, en empruntant un r&eacute;seau public (comme l'internet),
sans que les interm&eacute;diaires entre les deux machines
terminales soient visibles du point de vue du trafic
v&eacute;hicul&eacute;, et sans que les &eacute;quipements
interm&eacute;diaires voient les paquets qui sont en train de
transiter dans le tunnel. Le tunnel peut en option compresser et/ou
crypter les donn&eacute;es, fournissant des performances accrues et
quelques mesures de s&eacute;curit&eacute;.</p>
<p>La partie "Virtuelle" vient du fait que vous construisez une
liaison priv&eacute;e au dessus d'un r&eacute;seau public,
plut&ocirc;t que d'acheter une liaison en dur sur une ligne
lou&eacute;e. Le VPN vous permet de consid&eacute;rer que vous
utilisez une ligne lou&eacute;e ou une ligne
t&eacute;l&eacute;phonique pour communiquer entre les deux points
terminaux.</p>
<p>Pour information, vous pouvez trouver la FAQ sur le VPN &agrave;
l'adresse <a href=
"http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html" target=
"_top">http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN111" id="AEN111">Qu'est-ce qu'IPsec
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?IPsec" target=
"_top">IPsec</a></i></span> est un ensemble de protocoles standards
pour impl&eacute;menter des communications s&eacute;curis&eacute;es
ainsi que l'&eacute;change de cl&eacute;s de cryptage entre
ordinateurs. Il peut &ecirc;tre utilis&eacute; pour mettre en place
un VPN.</p>
<p>Un r&eacute;seau priv&eacute; virtuel IPsec consiste
g&eacute;n&eacute;ralement en deux canaux de communication entre
les machines terminales : un canal d'&eacute;change de cl&eacute;s,
par lequel les informations sur l'authentification et les
cl&eacute;s de cryptage transitent, et un ou plusieurs canaux de
donn&eacute;es par lesquels le trafic du r&eacute;seau priv&eacute;
est v&eacute;hicul&eacute;.</p>
<p>Le canal d'&eacute;change de cl&eacute;s est une connexion UDP
standard en provenance de et vers le port 500. Le canal de
donn&eacute;es transportant le trafic entre le client et le serveur
utilise le protocole IP num&eacute;ro 50 (ESP).</p>
<p>Vous pouvez trouver de plus amples informations dans la FAQ
IPsec de F-Secure, &agrave; l'adresse <a href=
"http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html"
target=
"_top">http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html</a>,
et dans les <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2402.html" target=
"_top">RFC2402</a> (le protocole AH, protocole IP num&eacute;ro
51), <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2406.html"
target="_top">RFC2406</a> (le protocole ESP, protocole IP
num&eacute;ro 50), et <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2408.html" target=
"_top">RFC2408</a> (le protocole d'&eacute;change de cl&eacute;s
ISAKMP).</p>
<p>IPsec est un protocole de communication sym&eacute;trique.
Cependant, vu que la plupart des gens vont s'y trouver
confront&eacute; uniquement sous la forme d'un client Windows
acc&eacute;dant &agrave; une passerelle centrale de
s&eacute;curit&eacute; r&eacute;seau, le terme "client" va
&ecirc;tre utilis&eacute; pour d&eacute;signer la machine devant
laquelle l'utilisateur est assis, et le terme "serveur" va
&ecirc;tre utilis&eacute; pour d&eacute;signer la passerelle
centrale de s&eacute;curit&eacute; r&eacute;seau.</p>
<p>Note importante : si votre VPN est bas&eacute; sur le protocole
AH (y compris AH+ESP), il ne peut pas &ecirc;tre masqu&eacute;. Le
protocole AH utilise un contr&ocirc;leur d'int&eacute;grit&eacute;
cryptographique sur des parties de l'ent&ecirc;te IP, y compris
l'adresse IP. Le masquage IP modifie l'adresse source pour les
paquets sortants, et l'adresse destination pour les paquets
entrants. La passerelle de masquage ne pouvant pas participer
&agrave; l'&eacute;change de cl&eacute;s, elle ne peut pas
r&eacute;g&eacute;n&eacute;rer correctement les contr&ocirc;leurs
d'int&eacute;grit&eacute; cryptographiques pour les ent&ecirc;tes
IP modifi&eacute;s. Les paquets IP modifi&eacute;s seront donc
rejet&eacute;s par le destinataire comme des paquets invalides, car
ils ne passeront pas le test d'int&eacute;grit&eacute;
cryptographique.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN125" id="AEN125">Qu'est-ce que PPTP
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?PPTP" target=
"_top">PPTP</a></i></span> signifie <span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint-to-<span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint <span class=
"emphasis"><i class="EMPHASIS">T</i></span>unnelling <span class=
"emphasis"><i class="EMPHASIS">P</i></span>rotocol. C'est un
protocole propos&eacute; par Microsoft pour r&eacute;aliser un
VPN.</p>
<p>Le protocole VPN PPTP consiste en deux canaux de communication
entre le client et le serveur : un canal de contr&ocirc;le par
lequel les informations de gestion du lien transitent, et un canal
de donn&eacute;es par lequel le trafic (&eacute;ventuellement
crypt&eacute;) du r&eacute;seau priv&eacute; est
v&eacute;hicul&eacute;.</p>
<p>Le canal de contr&ocirc;le est une connexion TCP standard vers
le port 1723 du serveur. Le canal de donn&eacute;es
v&eacute;hiculant le trafic du r&eacute;seau priv&eacute; utilise
le protocole IP num&eacute;ro 47, un protocole d'encapsulation
g&eacute;n&eacute;rique d&eacute;crit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1701.html" target=
"_top">RFC1701</a>. La transmission transparente des donn&eacute;es
sur le canal de donn&eacute;es est r&eacute;alis&eacute;e par la
n&eacute;gociation d'une connexion PPP standard sur ce canal,
simplement comme s'il s'agissait d'une connexion modem directement
du client vers le serveur. Les options n&eacute;goci&eacute;es sur
le tunnel via le protocole PPP contr&ocirc;lent si les
donn&eacute;es sont compress&eacute;es et/ou crypt&eacute;es, et
donc PPTP n'a rien &agrave; voir avec le cryptage.</p>
<p>Les d&eacute;tails du protocole PPTP sont document&eacute;s dans
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">RFC2637</a>.</p>
<p>L'impl&eacute;mentation du protocole PPTP par Microsoft n'est
pas consid&eacute;r&eacute;e comme tr&egrave;s
s&eacute;curis&eacute;e. Si vous &ecirc;tes
int&eacute;ress&eacute;s par les d&eacute;tails, voici trois
analyses diff&eacute;rentes :</p>
<p><a href="http://www.counterpane.com/pptp.html" target=
"_top">http://www.counterpane.com/pptp.html</a></p>
<p><a href="http://www.geek-girl.com/bugtraq/1999_1/0664.html"
target=
"_top">http://www.geek-girl.com/bugtraq/1999_1/0664.html</a></p>
<p><a href="http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html"
target=
"_top">http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN146" id="AEN146">Qu'est-ce que FWZ
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">FWZ</i></span> est un
protocole de cryptage propri&eacute;taire d&eacute;velopp&eacute;
par <a href="http://www.checkpoint.com/" target="_top">Check Point
Software Technologies</a>. Il est utilis&eacute; dans les VPNs qui
sont construits autour de leur produit Firewall-1.</p>
<p>Un pare-feu Checkpoint peut &ecirc;tre configur&eacute; avec
diff&eacute;rents modes. Le mode d' "encapsulation FWZ"
<span class="emphasis"><i class="EMPHASIS">ne peut pas</i></span>
&ecirc;tre masqu&eacute;. Le mode "IKE", qui utilise les protocoles
standards IPsec, peut &ecirc;tre masqu&eacute; avec des changements
de configuration minimes sur la passerelle VPN.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN153" id="AEN153">Pourquoi masquer un
client VPN ?</a></h3>
<p>La plupart des clients VPN actuels partent du principe que vous
allez connecter l'ordinateur client directement &agrave; internet.
Faire cela lorsque vous n'avez qu'une seule connexion
d'acc&egrave;s internet contourne votre pare-feu Linux, la
s&eacute;curit&eacute;, ainsi que les capacit&eacute;s de partage
d'acc&egrave;s qu'il fournit. &Eacute;tendre le pare-feu Linux pour
aussi masquer le trafic VPN vous permet de conserver la
s&eacute;curit&eacute; pare-feu fournie par le pare-feu Linux,
ainsi que d'autoriser d'autres syst&egrave;mes de votre
r&eacute;seau local &agrave; acc&eacute;der &agrave; internet, sans
avoir &agrave; prendre en compte le fait que la connexion VPN soit
active ou non.</p>
<p>Si votre pare-feu est utilis&eacute; en environnement
professionnel, vous pouvez &eacute;galement souhaiter imposer aux
utilisateurs clients du VPN de traverser ce pare-feu pour des
raisons de s&eacute;curit&eacute;, plut&ocirc;t que de leur fournir
des modems pour qu'ils puissent se connecter tout seuls &agrave;
l'ext&eacute;rieur quand ils ont besoin d'utiliser le VPN. Le
masquage VPN vous permet de le faire m&ecirc;me si les machines
clientes n'ont pas des adresses IP publiques.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN157" id="AEN157">Plusieurs clients
sur mon r&eacute;seau local peuvent-ils utiliser IPsec
simultan&eacute;ment ?</a></h3>
<p>Oui, bien qu'il puisse y avoir parfois quelques probl&egrave;mes
mineurs.</p>
<p>Les protocoles IPsec d&eacute;finissent une m&eacute;thode pour
identifier les flux de trafic appel&eacute;e <span class=
"emphasis"><i class="EMPHASIS">Index des Param&egrave;tres de
S&eacute;curit&eacute; (Security Parameters Index)</i></span>
("SPI"). Malheureusement le SPI utilis&eacute; pour le trafic
sortant est diff&eacute;rent du SPI utilis&eacute; pour le trafic
entrant, et il n'y a pas d'autre information permettant
l'identification qui ne soit pas crypt&eacute;e, donc l'association
entre le flux entrant et le flux sortant est difficile et pas
parfaitement fiable.</p>
<p>Le masquage IPsec tente d'associer les trafics ESP entrant et
sortant en mettant en s&eacute;rie les nouvelles connexions. Alors
que ceci fonctionne bien pendant les tests, on ne peut pas garantir
que ce soit parfaitement fiable, et la s&eacute;rialisation des
nouveaux trafics peut aboutir &agrave; des fins d'attente
(timeouts) si la liaison est satur&eacute;e ou si plusieurs
machines locales faisant de l'IPsec tentent d'initier des
communications ou de r&eacute;&eacute;changer leurs cl&eacute;s
simultan&eacute;ment, avec la m&ecirc;me machine distante faisant
de l'IPsec.</p>
<p>Il est &eacute;galement reconnu que ce sch&eacute;ma associatif
peut ne pas arriver &agrave; associer les flux de trafic
correctement, les machines faisant de l'IPsec ne vont alors pas
prendre en compte le trafic mal dirig&eacute;, car il aura de
mauvaises valeurs SPI. Ce comportement est requis par le RFC sur
IPsec.</p>
<p>Ces probl&egrave;mes auraient pu &ecirc;tre supprim&eacute;s
s'il y avait eu un moyen d'&eacute;couter les nouvelles valeurs SPI
provenant de l'&eacute;change de cl&eacute;s ISAKMP avant que le
moindre trafic ESP n'apparaisse, mais malheureusement cette partie
de l'&eacute;change de cl&eacute;s est crypt&eacute;e.</p>
<p>Afin de minimiser les probl&egrave;mes associ&eacute;s &agrave;
cela, il est recommand&eacute; d'ouvrir une fen&ecirc;tre de
commandes sur votre machine IPsec masqu&eacute;e, et de lancer le
programme "ping" vers une machine du r&eacute;seau distant pour
maintenir le tunnel actif.</p>
<p>Regardez les notes techniques sur IPsec &agrave; la fin du
document pour de plus amples d&eacute;tails.</p>
<p><a name="MULTICLIENTPPTP" id="MULTICLIENTPPTP"></a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN169" id="AEN169">Plusieurs clients
sur mon r&eacute;seau local peuvent-ils utiliser PPTP
simultan&eacute;ment ?</a></h3>
<p>Oui.</p>
<p>Vous devez mettre en place le masquage d'identifiant d'appel
PPTP (PPTP Call ID) lors de la configuration de votre noyau, afin
de distinguer les diff&eacute;rents flux de donn&eacute;es en
provenance du m&ecirc;me serveur. Le masquage PPTP avec le masquage
d'identifiant d'appel activ&eacute; va permettre d'avoir plusieurs
sessions masqu&eacute;es simultan&eacute;es sans restriction sur le
choix du serveur que le client appelle.</p>
<p><a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">Le RFC sur PPTP</a> sp&eacute;cifie dans la section 3.1.3
qu'il ne peut y avoir qu'un seul canal de contr&ocirc;le entre deux
syst&egrave;mes. Ceci <span class="emphasis"><i class=
"EMPHASIS">devrait</i></span> signifier que vous pouvez masquer
seulement une session PPTP &agrave; la fois avec un serveur distant
donn&eacute;, mais dans la pratique l'impl&eacute;mentation PPTP de
MS ne tient pas compte de &ccedil;a, tout du moins pas dans le
Service Pack 4 de NT 4.0. Si le serveur PPTP que vous cherchez
&agrave; atteindre n'autorise qu'une seule connexion &agrave; la
fois, il suit correctement le protocole. Notez que cela n'affecte
pas un serveur masqu&eacute;, mais seulement plusieurs clients
masqu&eacute;s cherchant &agrave; se connecter au m&ecirc;me
serveur distant.</p>
<p>Pour d'autres alternatives, voir la question suivante...</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN177" id="AEN177">Puis-je
acc&eacute;der au r&eacute;seau distant depuis l'ensemble de mon
r&eacute;seau local ?</a></h3>
<p>Oui. Cependant, votre client VPN doit pouvoir faire suivre un
trafic IP (IP forwarding).</p>
<p>Ceci signifie que vous devrez utiliser soit un client VPN Linux
ou un client VPN MS NT. La pile IP de W'95 et W'98 ne permet pas de
faire suivre un trafic IP. NT Workstation le g&egrave;re, et est
moins cher que NT Server si vous ne l'utilisez que pour router un
trafic crypt&eacute;.</p>
<p>Si vous ne pouvez pas installer un client Linux ou NT, alors
vous devrez activer le masquage d'identifiant d'appel PPTP si vous
utilisez PPTP, et installer un logiciel client VPN sur toutes les
machines auxquelles vous voulez fournir un acc&egrave;s. Ceci est
peu efficace, esth&eacute;tiquement r&eacute;voltant,
s&eacute;curitairement mauvais, et peut ne pas fonctionner si le
serveur PPTP impl&eacute;mente correctement le protocole, mais
c'est moins cher que d'acheter des licences NT.</p>
<p>Le routage r&eacute;seau &agrave; r&eacute;seau avec cette
m&eacute;thode fonctionne tr&egrave;s bien. C'est comme &ccedil;a
que j'ai install&eacute; mon r&eacute;seau &agrave; la maison. Cela
requiert un petit peu plus de connaissances r&eacute;seau que de
simplement donner &agrave; tout le monde son client VPN.</p>
<p>De par mon exp&eacute;rience, le routage de r&eacute;seau
&agrave; r&eacute;seau dans un environnement purement MS requiert
l'installation de RRAS des deux c&ocirc;t&eacute;s du tunnel.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN184" id="AEN184">Pourquoi masquer le
serveur VPN ?</a></h3>
<p>Si votre serveur VPN a une adresse IP publique, vous n'avez pas
besoin de le masquer, configurez simplement votre pare-feu pour
router le trafic VPN correctement, comme indiqu&eacute; plus
bas.</p>
<p>Si votre serveur VPN a une adresse IP de r&eacute;seau
priv&eacute;, vous aurez besoin de rediriger vers lui le trafic
entrant, et de masquer son trafic sortant. Le masquage vous permet
de rendre le serveur VPN accessible depuis internet m&ecirc;me si
vous n'avez qu'une seule adresse IP publique. Ceci devrait aussi
fonctionner m&ecirc;me si votre adresse IP est assign&eacute;e
dynamiquement : rendez simplement publique l'adresse IP pour les
clients au travers de l'utilisation d'un service de DNS dynamique
externe, comme par exemple celui fourni par <a href=
"http://www.ddns.org/" target="_top">DDNS.ORG</a> ou <a href=
"http://www.cjb.net/" target="_top">CJB.NET</a> et configurez les
clients pour se connecter &agrave; une machine appel&eacute;e
<tt class="LITERAL">notre-entreprise.ddns.org</tt> ou quelque chose
du genre. Notez que ceci est une faille de s&eacute;curit&eacute;,
car il est possible que le client r&eacute;cup&egrave;re du serveur
DNS dynamique une mauvaise adresse IP &agrave; cause d'une mauvaise
synchronisation, suite &agrave; un probl&egrave;me lors de
l'enregistrement de l'adresse IP actuelle, ou suite &agrave;
l'enregistrement d'une adresse IP diff&eacute;rente avec le
m&ecirc;me nom par une tierce partie.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN191" id="AEN191">Pourquoi patcher le
noyau Linux ?</a></h3>
<p>Le plus gros probl&egrave;me dans le masquage de trafic VPN
vient du fait que le masquage IP Linux de base n'a aucune
connaissance des protocoles IP autres que TCP, UDP et ICMP.</p>
<p>Tout le trafic peut &ecirc;tre redirig&eacute; et filtr&eacute;
par adresse IP, mais le masquage de protocoles IP autres que TCP,
UDP et ICMP n&eacute;cessite une modification du noyau.</p>
<p>Le canal de contr&ocirc;le PPTP est du TCP pur, et ne
n&eacute;cessite aucune configuration particuli&egrave;re autre que
de le laisser passer au travers du pare-feu et de le masquer.</p>
<p>Masquer les canaux de donn&eacute;es IPsec et PPTP
n&eacute;cessite une modification qui ajoute le support des
protocoles ESP et GRE au code de masquage, et le masquage du
protocole d'&eacute;change de cl&eacute;s ISAKMP n&eacute;cessite
une modification qui emp&ecirc;che l'op&eacute;ration de masquage
de modifier le num&eacute;ro de port UDP source et qui remplace le
suivi des valeurs de cookies ISAKMP par le suivi du num&eacute;ro
de port.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN197" id="AEN197">&Eacute;tat
actuel</a></h3>
<p>Le patch pour les noyaux 2.0.x fonctionne sur le noyau 2.0.36 et
est inclus dans les versions standards des noyaux 2.0.37 et
sup&eacute;rieurs. Il devrait fonctionner sur les noyaux
ant&eacute;rieurs, mais je n'ai pas test&eacute;, et je vous
recommande, si vous utilisez un noyau plus ancien, de passer au
noyau 2.0.38 pour des questions de s&eacute;curit&eacute;.</p>
<p>Le patch pour les noyaux 2.2.x fonctionne sur les noyaux de
2.2.5 &agrave; 2.2.17, et devrait fonctionner sur les noyaux plus
r&eacute;cents, mais &ccedil;a n'a pas &eacute;t&eacute;
test&eacute;. Il a &eacute;t&eacute; soumis pour &ecirc;tre inclus
dans la version standard 2.2.18.</p>
<p>Je n'ai pas les moyens de suivre les noyaux de
d&eacute;veloppement, donc actuellement aucun travail n'a
&eacute;t&eacute; fait sur le masquage VPN pour les 2.3.x et 2.4.x.
Si vous connaissez quelqu'un qui <span class="emphasis"><i class=
"EMPHASIS">travaille</i></span> dessus, merci de me le faire
savoir.</p>
<p>Le patch pour les noyaux 2.0.x a &eacute;t&eacute; test&eacute;
et fonctionne sur les machines &agrave; base de x86 et sparc, et le
patch pour les noyaux 2.2.x a &eacute;t&eacute; test&eacute; et
fonctionne sur les machines &agrave; base de x86 et PowerPC, mais
il ne devrait pas y avoir de probl&egrave;me majeur pour le porter
sur d'autres architectures. Je crois que les d&eacute;pendances
vis-&agrave;-vis des architectures proviennent seulement de la
repr&eacute;sentation interne des nombres dans la d&eacute;finition
de l'ent&ecirc;te GRE utilis&eacute; pour formater les messages du
journal et de d&eacute;boguage. Si quelqu'un porte ce patch pour
une architecture autre qu'Intel, j'appr&eacute;cierais d'en avoir
un &eacute;cho, afin que je puisse int&eacute;grer les changements
&agrave; la version d'origine.</p>
<p>Un patch noyau sp&eacute;cifique &agrave; PPTP pour les noyaux
2.1.105+ et les premiers 2.2.x est disponible &agrave; l'adresse
<a href="http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html"
target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Allez voir le site sur le masquage VPN &agrave; l'adresse
<a href="http://www.impsec.org/linux/masquerade/ip_masq_vpn.html"
target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a>
pour l'&eacute;tat des patchs de masquage VPN, et <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>
pour l'&eacute;tat du patch de masquage sp&eacute;cifique pour PPTP
s'appliquant aux 2.1.105+/2.2.x.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN209" id="AEN209">Configurer le
pare-feu Linux</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN211" id="AEN211">Exemple de
r&eacute;seau</a></h3>
<p>Pour les exemples de configuration avec des adresses IP
priv&eacute;es de ce document, nous allons utiliser cet exemple de
r&eacute;seau :</p>
<pre class="SCREEN">
Internet-------- 200.200.200.*   ppp0 ou  200.200.200.200 eth1
                                 Pare-feu Linux &agrave; deux cartes
            .--- 10.0.0.1        eth0
            |
            |--- 10.0.0.2        Client ou serveur VPN
            |
</pre>
Pour les exemples de configuration avec des adresses IP publiques
de ce document, nous allons utiliser cet exemple de r&eacute;seau :
<pre class="SCREEN">
Internet-------- 200.200.200.200 eth1
                                 Pare-feu Linux &agrave; deux cartes
            .--- 222.0.0.1       eth0
            |
            |--- 222.0.0.2       Client ou serveur VPN
            |
</pre>
Le serveur VPN auquel les clients des exemples se connecteront sera
<tt class="LITERAL">199.0.0.1</tt>
<p>Les clients VPN qui se connecteront au serveur des exemples
seront <tt class="LITERAL">199.0.0.2</tt> et <tt class=
"LITERAL">199.0.0.3</tt></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN220" id="AEN220">D&eacute;terminer ce
qui doit &ecirc;tre fait sur le pare-feu</a></h3>
<p>Si votre client ou serveur VPN a une adresse IP publique, vous
n'avez <span class="emphasis"><i class="EMPHASIS">pas</i></span>
besoin de faire du masquage ni de modifier votre noyau - le noyau
de base va correctement router tout trafic VPN. Vous pouvez
directement passer aux sections ci-dessous sur la mise en place
avec adresse IP publique.</p>
<p>Si votre client ou serveur VPN a une adresse IP de r&eacute;seau
priv&eacute; comme d&eacute;crit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a> vous avez besoin de patcher votre noyau
(&agrave; moins que ce ne soit un noyau 2.0.37 ou sup&eacute;rieur,
dans la s&eacute;rie 2.0.x).</p>
<p>Si vous installez un serveur VPN masqu&eacute;, vous allez aussi
devoir r&eacute;cup&eacute;rer les deux paquetages suivants.</p>
<p></p>
<ul>
<li>
<p>Pour rediriger le trafic TCP/UDP entrant (le canal de
contr&ocirc;le PPTP 1723/tcp ou le canal ISAKMP 500/udp), vous avez
besoin du patch noyau de redirection de port appropri&eacute;
<tt class="LITERAL">ipportfw</tt> r&eacute;cup&eacute;rable sur
<a href="http://www.ox.compsoc.org.uk/~steve/portforwarding.html"
target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port a &eacute;t&eacute; incorpor&eacute;e dans
les noyaux 2.2.x. Regardez <tt class="LITERAL">man ipmasqadm</tt>
pour les d&eacute;tails de configuration. Si <tt class=
"LITERAL">ipmasqadm</tt> n'est pas inclus dans votre distribution,
il peut &ecirc;tre obtenu &agrave; l'adresse <a href=
"http://juanjox.kernelnotes.org/" target=
"_top">http://juanjox.kernelnotes.org/</a>.</p>
</li>
<li>
<p>Pour rediriger le tunnel contenant le trafic initial entrant
(GRE pour PPTP et ESP pour IPsec), vous avez besoin du redirecteur
IP g&eacute;n&eacute;rique <tt class="LITERAL">ipfwd</tt>, qui se
trouve sur <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
</li>
</ul>
<p>Vous n'avez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> besoin de redirection de port ni d'ipfwd
si vous ne masquez que les clients.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN242" id="AEN242">Patcher et
configurer le noyau 2.0.x pour le support de masquage VPN</a></h3>
<p></p>
<ol type="1">
<li>
<p>Installez les sources du noyau (de pr&eacute;f&eacute;rence
version 2.0.37), que vous pouvez obtenir sur <a href=
"http://www.kernel.org/" target="_top">http://www.kernel.org/</a>
ou un site miroir. Les sources doivent se d&eacute;compacter
automatiquement dans le r&eacute;pertoire <tt class=
"LITERAL">/usr/src/linux</tt>.</p>
</li>
<li>
<p>Configurer et tester le masquage IP standard (regardez le
<a href="http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html"
target="_top">IP Masquerade HOWTO</a>). Ceci va vous permettre de
vous familiariser avec la recompilation de votre noyau, et plus
largement, vous faire aborder le masquage IP.</p>
</li>
<li>
<p><span class="emphasis"><i class="EMPHASIS">Sauvegardez les
sources de votre noyau.</i></span></p>
</li>
<li>
<p>R&eacute;cup&eacute;rez le patch noyau si n&eacute;cessaire.</p>
<p>Si la version de votre noyau est 2.0.36 ou inf&eacute;rieure,
r&eacute;cup&eacute;rez le patch du masquage VPN pour noyau 2.0.x
sur le site du masquage VPN list&eacute; dans la section
"Ressources" plus haut.</p>
<p>Si la version de votre noyau est 2.0.37 ou plus dans la
s&eacute;rie 2.0.x, vous n'avez pas besoin d'appliquer de patch. Le
code du masquage VPN est inclus dans le noyau. Passez la discussion
sur le le patch du noyau.</p>
<p>Pour les besoins de ce document, nous supposerons que vous avez
sauvegard&eacute; le patch appropri&eacute; sous le chemin
<tt class="LITERAL">/usr/src/ip_masq_vpn.patch.gz</tt>.</p>
</li>
<li>
<p>Appliquez le patch de masquage VPN &agrave; votre noyau, si
n&eacute;cessaire :</p>
<p></p>
<ul>
<li>
<p>Allez dans le r&eacute;pertoire des sources du noyau :</p>
<pre class="SCREEN">
<tt class="LITERAL">cd /usr/src/linux</tt>
</pre></li>
<li>
<p>Appliquez le patch :</p>
<pre class="SCREEN">
<tt class=
"LITERAL">zcat ../ip_masq_vpn.patch.gz &amp;verbar; patch -l -p0 &gt; vpn-patch.log 2&gt;&amp;1</tt>
</pre>
<pre class="SCREEN">
Notez que les options sont "tiret L minuscule, tiret P minuscule
zero".
Vous pourriez avoir des r&eacute;sultats &eacute;tranges si vous changez l'ordre des
arguments, car la commande patch semble sensible &agrave; l'ordre dans lequel
ils apparaissent sur la ligne de commande.
</pre></li>
<li>
<p>V&eacute;rifiez le contenu du fichier <tt class=
"LITERAL">vpn-patch.log</tt> pour voir si certaines &eacute;tapes
ont &eacute;chou&eacute;. Si certaines &eacute;tapes n'ont pas
fonctionn&eacute;, alors vous avez s&ucirc;rement oubli&eacute; des
options, ou lanc&eacute; le programme patch depuis le mauvais
r&eacute;pertoire. Utilisez votre sauvegarde pour
r&eacute;cup&eacute;rer votre noyau, et recommencez.</p>
</li>
</ul>
</li>
<li>
<p>Si vous masquez un serveur VPN, r&eacute;cup&eacute;rez et
installez le patch <tt class="LITERAL">ipportfw</tt> depuis le site
indiqu&eacute; plus haut.</p>
<p>Il existe un conflit connu entre le patch de masquage VPN et
deux autres patchs r&eacute;seau : le patch de cha&icirc;nes
pare-feu IP (ipchains), et le patch ipportfw. Ils cherchent tous
&agrave; ajouter des options au m&ecirc;me endroit dans <tt class=
"LITERAL">net/ipv4/Config.in</tt>, et les changements
effectu&eacute;s par un patch alt&egrave;rent le contexte
recherch&eacute; par les autres patchs.</p>
<p>Si vous appliquez le patch de masquage VPN et les patchs de
cha&icirc;nes pare-feu IP ou ipportfw sur votre noyau 2.0.x, vous
allez devoir &eacute;diter &agrave; la main le fichier <tt class=
"LITERAL">net/ipv4/Config.in</tt> et ajouter le bloc des options de
configuration du fichier patch qui n'ont pas &eacute;t&eacute;
appliqu&eacute;es. En regardant le fichier patch vous devez trouver
o&ugrave; les nouvelles options doivent &ecirc;tre ajout&eacute;es
dans le fichier <tt class="LITERAL">net/ipv4/Config.in</tt>.</p>
<p>La syntaxe des fichiers patch est simple. Pour chaque bloc de
changements &agrave; effectuer, il y a 2 parties : la
premi&egrave;re indique l'&eacute;tat "avant" avec une indication
des lignes devant &ecirc;tre chang&eacute;es ou effac&eacute;es ;
la seconde indique l'&eacute;tat "apr&egrave;s", avec une
indications des lignes qui ont &eacute;t&eacute; chang&eacute;es ou
ajout&eacute;es. Utilisez la premi&egrave;re partie pour trouver
o&ugrave; ajouter les lignes, et ajoutez les lignes qui sont
indiqu&eacute;es dans la seconde partie.</p>
<p>Ceci ne devrait pas &ecirc;tre un probl&egrave;me, ces patchs
&eacute;tant &agrave; jour pour les noyaux 2.0.37+.</p>
</li>
<li>
<p>Configurez votre noyau et s&eacute;lectionnez les options
suivantes - r&eacute;pondez <span class="emphasis"><i class=
"EMPHASIS">YES</i></span> &agrave; ce qui suit :</p>
<pre class="SCREEN">
  * Prompt for development and/or incomplete code/drivers 
    CONFIG_EXPERIMENTAL 
        - Vous devez l'activer pour voir les options de masquage VPN

  * Networking support 
    CONFIG_NET 

  * Network firewalls 
    CONFIG_FIREWALL 

  * TCP/IP networking 
    CONFIG_INET 

  * IP: forwarding/gatewaying 
    CONFIG_IP_FORWARD 

  * IP: firewalling 
    CONFIG_IP_FIREWALL 

  * IP: masquerading (EXPERIMENTAL) 
    CONFIG_IP_MASQUERADE 
        - Option n&eacute;cessaire.

  * IP: PPTP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_PPTP
        - Active le masquage de canal de donn&eacute;es PPTP, si vous
          masquez un client ou un serveur PPTP.

  * IP: PPTP Call ID masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_PPTP_MULTICLIENT
        - Active le masquage d'identifiant d'appel PPTP; n&eacute;cessaire
          uniquement si vous comptez masquer plusieurs clients
          se connectant au m&ecirc;me serveur distant. N'activez PAS
          cette option si vous masquez un serveur PPTP.

  * IP: IPsec ESP &amp; ISAKMP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPSEC
        - Active le masquage IPsec, si vous masquez une machine
          IPsec.

  * IP: IPSEC masq table lifetime (minutes)
        - Voyez avec votre administrateur r&eacute;seau pour d&eacute;terminer
          quel est "l'intervalle de renouvellement des cl&eacute;s"
          ou la "dur&eacute;e de validit&eacute; d'une cl&eacute;".
          La dur&eacute;e de validit&eacute; par d&eacute;faut pour les entr&eacute;es de la
          table de masquage est de trente minutes.
          Si l'intervalle de renouvellement des cl&eacute;s est sup&eacute;rieur
          &agrave; trente minutes, vous devez alors augmenter la dur&eacute;e 
          de validit&eacute; jusqu'&agrave; une valeur l&eacute;g&egrave;rement sup&eacute;rieure
          &agrave; l'intervalle de renouvellement des cl&eacute;s.

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG 
        - Tr&egrave;s fortement recommand&eacute; pour un pare-feu.&#13;
</pre>
<span class="emphasis"><i class="EMPHASIS">NOTE :</i></span> ce ne
sont que les &eacute;l&eacute;ments dont vous avez besoin pour le
masquage. S&eacute;lectionnez &eacute;galement toutes les autres
options dont vous avez besoin pour votre configuration
sp&eacute;cifique.</li>
<li>
<p>Recompilez le noyau, et installez-le pour le tester. Ne
remplacez pas un noyau qui marche par votre nouveau noyau tant que
vous n'avez pas v&eacute;rifi&eacute; qu'il fonctionnait.</p>
</li>
</ol>
<p>Pour d&eacute;terminer si le noyau qui tourne inclut ou non le
support du masquage VPN, lancez la commande suivante :</p>
<pre class="SCREEN">
grep -i masq /proc/ksyms
</pre>
...et cherchez les entr&eacute;es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class=
"LITERAL">ip_masq_out_get_isakmp</tt>, <tt class=
"LITERAL">ip_masq_in_get_isakmp</tt>, <tt class=
"LITERAL">ip_fw_masq_esp</tt> et <tt class=
"LITERAL">ip_fw_demasq_esp</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_fw_masq_gre</tt> et
<tt class="LITERAL">ip_fw_demasq_gre</tt></p>
</li>
<li>
<p>Masquage d'identifiant d'appel PPTP : <tt class=
"LITERAL">ip_masq_pptp</tt></p>
</li>
</ul>
<p>Si vous ne trouvez pas ces entr&eacute;es, le masquage VPN n'est
probablement pas support&eacute;. Si vous avez des messages
d'erreurs sur l'indisponibilit&eacute; de <tt class=
"LITERAL">/proc/ksyms</tt> ou de <tt class="LITERAL">/proc</tt>,
assurez-vous d'avoir activ&eacute; le syst&egrave;me de fichiers
<tt class="LITERAL">/proc</tt> dans la configuration de votre
noyau.</p>
<p>Regardez le <a href=
"http://metalab.unc.edu/LDP/HOWTO/Kernel-HOWTO.html" target=
"_top">Kernel HOWTO</a> pour plus de d&eacute;tails sur la
configuration et la recompilation de votre noyau.</p>
<p>Si vous utilisez le masquage IPsec et que votre syst&egrave;me
g&eacute;n&egrave;re des erreurs de protection
g&eacute;n&eacute;rale (regardez <tt class=
"LITERAL">/var/log/messages</tt>) ou bien se bloque, regardez le
<a href="http://www.impsec.org/linux/masquerade/ip_masq_vpn.html"
target="_top">site du masquage VPN</a> pour une mise &agrave; jour.
Ce patch est pour le noyau 2.0.38, mais devrait fonctionner sur les
noyaux ant&eacute;rieurs. Il a &eacute;t&eacute; soumis &agrave;
Alan Cox pour &ecirc;tre inclus dans le noyau 2.0.39.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN320" id="AEN320">Patcher et
configurer le noyau 2.2.x pour le support de masquage VPN</a></h3>
<p></p>
<ol type="1">
<li>
<p>Installez les sources du noyau (de pr&eacute;f&eacute;rence
version 2.2.17 ou plus), que vous pouvez obtenir sur <a href=
"http://www.kernel.org/" target="_top">http://www.kernel.org/</a>
ou un miroir. Les sources doivent &ecirc;tre automatiquement
extraites dans le r&eacute;pertoire <tt class=
"LITERAL">/usr/src/linux</tt>.</p>
</li>
<li>
<p>Configurez et testez le masquage IP standard (regardez le
<a href="http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html"
target="_top">IP Masquerade HOWTO</a>). Ceci va vous permettre de
vous familiariser avec la recompilation de votre noyau, et plus
largement, vous faire aborder le masquage IP.</p>
</li>
<li>
<p><span class="emphasis"><i class="EMPHASIS">Sauvegardez les
sources de votre noyau.</i></span></p>
</li>
<li>
<p>R&eacute;cup&eacute;rez le patch noyau depuis le site du
masquage VPN indiqu&eacute; dans la section "Ressources" plus
haut.</p>
<p>Pour les besoins de ce document, nous supposerons que vous avez
sauvegard&eacute; le patch appropri&eacute; sous <tt class=
"LITERAL">/usr/src/ip_masq_vpn.patch.gz</tt>.</p>
</li>
<li>
<p>Appliquez le patch de masquage VPN &agrave; votre noyau, si
n&eacute;cessaire.</p>
<p></p>
<ul>
<li>
<p>Allez dans le r&eacute;pertoire des sources :</p>
<pre class="SCREEN">
<tt class="LITERAL">cd /usr/src</tt>
</pre></li>
<li>
<p>Appliquez le patch :</p>
<pre class="SCREEN">
<tt class=
"LITERAL">zcat ip_masq_vpn.patch.gz &amp;verbar; patch -l -p0 &gt; vpn-patch.log 2&gt;&amp;1</tt>
</pre>
<pre class="SCREEN">
Notez que les options sont "tiret L minuscule, tiret P minuscule z&eacute;ro".
Vous pourriez avoir des r&eacute;sultats &eacute;tranges si vous changez l'ordre des arguments,
car la commande patch semble sensible &agrave; l'ordre dans lequel ils apparaissent sur
la ligne de commande.
</pre>
<pre class="SCREEN">
Notez &eacute;galement que le r&eacute;pertoire depuis lequel vous lancez la commande
patch est diff&eacute;rent pour le patch noyau 2.2.x.
</pre></li>
<li>
<p>V&eacute;rifiez le contenu du fichier <tt class=
"LITERAL">vpn-patch.log</tt> pour voir si certaines &eacute;tapes
ont &eacute;chou&eacute;. Si des &eacute;tapes ont
&eacute;chou&eacute;, alors vous avez s&ucirc;rement oubli&eacute;
des options, ou lanc&eacute; la commande patch depuis le mauvais
r&eacute;pertoire. Utilisez votre sauvegarde pour
r&eacute;cup&eacute;rer votre noyau, et recommencez.</p>
</li>
</ul>
</li>
<li>
<p>Si vous masquez un serveur VPN, vous n'avez <span class=
"emphasis"><i class="EMPHASIS">pas</i></span> besoin du patch
<tt class="LITERAL">ipportfw</tt> car la redirection de port est
maintenant de base. Regardez la page de manuel de <tt class=
"LITERAL">ipmasqadm</tt> pour de plus amples d&eacute;tails. Si
<tt class="LITERAL">ipmasqadm</tt> n'est pas inclus dans votre
distribution, vous pouvez l'obtenir &agrave; l'adresse <a href=
"http://juanjox.kernelnotes.org/" target=
"_top">http://juanjox.kernelnotes.org/</a>.</p>
</li>
<li>
<p>Configurez votre noyau et s&eacute;lectionnez les options
suivantes - r&eacute;pondez <span class="emphasis"><i class=
"EMPHASIS">YES</i></span> &agrave; ce qui suit :</p>
<pre class="SCREEN">
  * Prompt for development and/or incomplete code/drivers 
    CONFIG_EXPERIMENTAL 
        - Vous devez l'activer pour voir les options de masquage VPN.

  * Networking support 
    CONFIG_NET 

  * Network firewalls 
    CONFIG_FIREWALL 

  * TCP/IP networking 
    CONFIG_INET 

  * IP: firewalling 
    CONFIG_IP_FIREWALL 

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG 
        - N&eacute;cessaire pour le masquage. Cette option peut &ecirc;tre
          ou ne pas &ecirc;tre dans la configuration de votre
          noyau. Si elle n'est pas pr&eacute;sente, vous
          devez ex&eacute;cuter ceci dans vos scripts de d&eacute;marrage :
        echo 1 &gt; /proc/sys/net/ipv4/ip_always_defrag

  * IP: masquerading (EXPERIMENTAL) 
    CONFIG_IP_MASQUERADE 
        - Option n&eacute;cessaire.

  * IP: masquerading special modules support
    CONFIG_IP_MASQUERADE_MOD
        - Option n&eacute;cessaire.

  * IP: ipportfw masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPPORTFW
        - Activer cette option va vous permettre de masquer un serveur VPN.

  * IP: PPTP masq support
    CONFIG_IP_MASQUERADE_PPTP
        - Active le masquage de canal de donn&eacute;es PPTP, si vous
          masquez un client ou un serveur PPTP. Cette option
          est maintenant disponible en module.
          Notez que vous n'avez plus besoin de sp&eacute;cifier
          le masquage d'identifiant d'appel.

  * IP: IPsec ESP &amp; ISAKMP masq support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPSEC
        - Active le masquage IPsec, si vous masquez une machine
          IPsec. Cette option est maintenant disponible en module.

  * IP: IPsec masq table lifetime (minutes)
        - Voyez avec votre administrateur r&eacute;seau pour d&eacute;terminer
          quel est "l'intervalle de renouvellement des cl&eacute;s"
          ou "la dur&eacute;e de validit&eacute; d'une cl&eacute;".
          La dur&eacute;e de validit&eacute; par d&eacute;faut pour les entr&eacute;es de la
          table de masquage est de trente minutes.
          Si l'intervalle de renouvellement des cl&eacute;s est sup&eacute;rieur
          &agrave; trente minutes, vous devez alors augmenter la dur&eacute;e 
          de validit&eacute; jusqu'&agrave; une valeur l&eacute;g&egrave;rement sup&eacute;rieure
          &agrave; l'intervalle de renouvellement des cl&eacute;s.

  * IP: Enable parallel sessions (possible security risk - see help)
    CONFIG_IP_MASQUERADE_IPSEC_PAROK
        - Regardez les notes techniques sur le masquage IPsec et
          la section sp&eacute;ciale sur les informations sur la s&eacute;curit&eacute; de ce HOWTO
          pour &ecirc;tre au courant des probl&egrave;mes de s&eacute;curit&eacute; lorsque
          vous faites du masquage. Si vous ne masquez qu'un seul client
          IPsec, cette option n'a aucun effet.&#13;
</pre>
R&eacute;pondez <span class="emphasis"><i class=
"EMPHASIS">NO</i></span> &agrave; ce qui suit :
<pre class="SCREEN">
  * IP: GRE tunnels over IP
    CONFIG_NET_IPGRE
        - Cette option n'a, contrairement aux apparences, 
          *RIEN* &agrave; voir avec PPTP. Elle active le support
          pour les tunnels GRE tels qu'ils sont utilis&eacute;s
          par les routeurs Cisco. Le fait que vous voyiez
          cette option n'implique pas que le support de
          PPTP est disponible. Vous devez toujours appliquer
          le patch pour le masquage VPN si les options 
          PPTP list&eacute;es ci-dessus n'apparaissent pas lorsque 
          vous configurez votre noyau. N'activez PAS cette 
          option, sauf si vous impl&eacute;mentez un tunnel GRE
          vers un routeur Cisco.&#13;
</pre>
<span class="emphasis"><i class="EMPHASIS">NOTE :</i></span> ce ne
sont que les options dont vous avez besoin pour faire du masquage.
S&eacute;lectionnez &eacute;galement toutes les autres options dont
vous avez besoin pour votre configuration sp&eacute;cifique.</li>
<li>
<p>Recompilez le noyau et installez-le pour le tester. Ne remplacez
jamais un noyau qui fonctionne par votre nouveau noyau tant que
vous n'avez pas la preuve qu'il fonctionne.</p>
</li>
</ol>
<p>Pour savoir si le noyau qui tourne contient le support de
masquage VPN, lancez la commande suivante :</p>
<pre class="SCREEN">
grep -i masq /proc/ksyms
</pre>
...et cherchez les entr&eacute;es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class="LITERAL">ip_masq_esp</tt> et
<tt class="LITERAL">ip_demasq_esp</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_masq_pptp_tcp</tt> et
<tt class="LITERAL">ip_demasq_pptp_tcp</tt></p>
</li>
</ul>
Ou lancez :
<pre class="SCREEN">
lsmod
</pre>
...et cherchez les entr&eacute;es suivantes :
<ul>
<li>
<p>Masquage IPsec : <tt class="LITERAL">ip_masq_ipsec</tt></p>
</li>
<li>
<p>Masquage PPTP : <tt class="LITERAL">ip_masq_pptp</tt></p>
</li>
</ul>
<p>Si vous ne voyez pas ces entr&eacute;es, le support de masquage
VPN n'est probablement pas activ&eacute; - avez-vous bien
tap&eacute; <tt class="LITERAL">modprobe ip_masq_pptp.o</tt> ou
<tt class="LITERAL">modprobe ip_masq_ipsec.o</tt> si vous les avez
compil&eacute;s en modules ? Si le masquage VPN ne fonctionne plus
apr&egrave;s le red&eacute;marrage de la machine, avez-vous
ins&eacute;r&eacute; les commandes <tt class=
"LITERAL">modprobe</tt> dans votre fichier de d&eacute;marrage
<tt class="LITERAL">/etc/rc.d/rc.local</tt> ?</p>
<p>Si vous avez des messages d'erreur sur l'indisponibilit&eacute;
de <tt class="LITERAL">/proc/ksyms</tt> ou de <tt class=
"LITERAL">/proc</tt>, assurez-vous d'avoir activ&eacute; le
syst&egrave;me de fichiers <tt class="LITERAL">/proc</tt> lors de
la configuration de votre noyau.</p>
<p>Allez voir le <a href=
"http://metalab.unc.edu/LDP/HOWTO/Kernel-HOWTO.html" target=
"_top">Kernel HOWTO</a> pour de plus amples informations sur la
configuration et la recompilation de votre noyau.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN401" id="AEN401">Param&eacute;trage
de ipfwadm pour un client ou un serveur VPN avec une adresse IP
priv&eacute;e</a></h3>
<p>Le pare-feu doit maintenant &ecirc;tre configur&eacute; pour
masquer le trafic VPN sortant. Vous pouvez souhaiter jeter un coup
d'oeil sur <a href="http://www.wolfenet.com/~jhardin/ipfwadm.html"
target="_top">http://www.wolfenet.com/~jhardin/ipfwadm.html</a>
pour voir une interface graphique pour la commande ipfwadm qui
automatise une grande partie du param&eacute;trage du filtrage de
paquets au niveau de la s&eacute;curit&eacute;.</p>
<p>Les r&egrave;gles pare-feu minimales sont :</p>
<pre class="SCREEN">
# Met la politique par d&eacute;faut de transmission des paquets &agrave; REFUS
ipfwadm -F -p deny
# Autorise le trafic sur le r&eacute;seau local
ipfwadm -I -a accept    -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth0
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 10.0.0.0/8 -W eth0
# Masque le trafic pour les adresses internet et autorise le trafic internet
ipfwadm -F -a accept -m -S 10.0.0.0/8 -D 0.0.0.0/0  -W ppp0
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W ppp0
ipfwadm -I -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W ppp0
ou, si vous avez une connexion permanente,
ipfwadm -F -a accept -m -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth1
ipfwadm -O -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W eth1
ipfwadm -I -a accept    -S 0.0.0.0/0  -D 0.0.0.0/0  -W eth1
</pre>
Mais ce param&eacute;trage est compl&egrave;tement ouvert. Il va
permettre de masquer <span class="emphasis"><i class=
"EMPHASIS">tous</i></span> les trafics en provenance de
<span class="emphasis"><i class="EMPHASIS">toutes</i></span> les
machines du r&eacute;seau interne destin&eacute; &agrave;
<span class="emphasis"><i class="EMPHASIS">n'importe
quelle</i></span> machine sur internet, et ne met en place
absolument <span class="emphasis"><i class=
"EMPHASIS">aucune</i></span> s&eacute;curit&eacute;.
<p>Un param&eacute;trage de pare-feu rigoureux n'autoriserait que
le trafic entre le client et le serveur, et bloquerait tout le
reste :</p>
<pre class="SCREEN">
# Met la politique par d&eacute;faut &agrave; REFUS :
ipfwadm -I -p deny
ipfwadm -O -p deny
ipfwadm -F -p deny
# Autorise le trafic sur le r&eacute;seau local
ipfwadm -I -a accept -S 10.0.0.0/8 -D 0.0.0.0/0  -W eth0
ipfwadm -O -a accept -S 0.0.0.0/0  -D 10.0.0.0/8 -W eth0
# Masque uniquement le trafic VPN entre le client VPN et le serveur VPN
ipfwadm -F -a accept -m -P udp -S 10.0.0.2/32 500 -D 199.0.0.1/32 500  -W ppp0
ipfwadm -F -a accept -m -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32 1723 -W ppp0
ipfwadm -F -a deny      -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -F -a deny      -P udp -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -F -a accept -m -P all -S 10.0.0.2/32     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a accept    -P udp -S 200.200.200.0/24 500 -D 199.0.0.1/32 500  -W ppp0
ipfwadm -O -a accept    -P tcp -S 200.200.200.0/24     -D 199.0.0.1/32 1723 -W ppp0
ipfwadm -O -a deny      -P tcp -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a deny      -P udp -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -O -a accept    -P all -S 200.200.200.0/24     -D 199.0.0.1/32      -W ppp0
ipfwadm -I -a accept    -P udp -S 199.0.0.1/32 500     -D 200.200.200.0/24 500 -W ppp0
ipfwadm -I -a accept    -P tcp -S 199.0.0.1/32 1723    -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a deny      -P tcp -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a deny      -P udp -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ipfwadm -I -a accept    -P all -S 199.0.0.1/32         -D 200.200.200.0/24     -W ppp0
ou, si vous avez une connexion permanente
ipfwadm -F -a accept -m -P udp -S 10.0.0.2/32 500 -D 199.0.0.1/32 500  -W eth1
ipfwadm -F -a accept -m -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32 1723 -W eth1
ipfwadm -F -a deny      -P tcp -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -F -a deny      -P udp -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -F -a accept -m -P all -S 10.0.0.2/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a accept    -P udp -S 200.200.200.200/32 500 -D 199.0.0.1/32 500  -W eth1
ipfwadm -O -a accept    -P tcp -S 200.200.200.200/32     -D 199.0.0.1/32 1723 -W eth1
ipfwadm -O -a deny      -P tcp -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a deny      -P udp -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -O -a accept    -P all -S 200.200.200.200/32     -D 199.0.0.1/32      -W eth1
ipfwadm -I -a accept    -P udp -S 199.0.0.1/32 500  -D 200.200.200.200/32 500 -W eth1
ipfwadm -I -a accept    -P tcp -S 199.0.0.1/32 1723 -D 200.200.200.200/32     -W eth1
ipfwadm -I -a deny      -P tcp -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1
ipfwadm -I -a deny      -P udp -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1
ipfwadm -I -a accept    -P all -S 199.0.0.1/32      -D 200.200.200.200/32     -W eth1
</pre>
<p>Note : ces r&egrave;gles n'autorisent que le trafic VPN et
bloquent <span class="emphasis"><i class="EMPHASIS">tout le
reste</i></span>. Vous devez ajouter des r&egrave;gles pour tous
les autres flux que vous voulez autoriser, comme par exemple DNS,
HTTP, POP, IMAP, etc...</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN415" id="AEN415">Param&eacute;trage
d'ipchains pour un client ou serveur VPN avec une adresse IP
priv&eacute;e</a></h3>
<p>Les r&egrave;gles pare-feu ipchains minimales sont :</p>
<pre class="SCREEN">
# Met la politique par d&eacute;faut de transmission des paquets &agrave; REFUS
ipchains -P forward DENY
# Autorise le trafic sur le r&eacute;seau local
ipchains -A input   -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth0
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 10.0.0.0/8 -i eth0
# Masque le trafic vers les adresses internet et autorise le trafic internet
ipchains -A forward -j MASQ   -s 10.0.0.0/8 -d 0.0.0.0/0  -i ppp0
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i ppp0
ipchains -A input   -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i ppp0
ou, si vous avez une connexion permanente,
ipchains -A forward -j MASQ   -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth1
ipchains -A output  -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i eth1
ipchains -A input   -j ACCEPT -s 0.0.0.0/0  -d 0.0.0.0/0  -i eth1
</pre>
Mais ce param&eacute;trage est compl&egrave;tement ouvert. Il va
permettre de masquer <span class="emphasis"><i class=
"EMPHASIS">tous</i></span> les trafics en provenance de
<span class="emphasis"><i class="EMPHASIS">toutes</i></span> les
machines du r&eacute;seau interne destin&eacute; &agrave;
<span class="emphasis"><i class="EMPHASIS">n'importe
quelle</i></span> machine sur internet, et ne met en place
absolument <span class="emphasis"><i class=
"EMPHASIS">aucune</i></span> s&eacute;curit&eacute;.
<p>Un param&eacute;trage de pare-feu rigoureux n'autoriserait que
le trafic entre le client et le serveur, et bloquerait tout le
reste :</p>
<pre class="SCREEN">
# Met la politique par d&eacute;faut &agrave; REFUS :
ipchains -P input   DENY
ipchains -P output  DENY
ipchains -P forward DENY
# Autorise le trafic sur le r&eacute;seau local
ipchains -A input  -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0  -i eth0
ipchains -A output -j ACCEPT -s 0.0.0.0/0  -d 10.0.0.0/8 -i eth0
# Masque uniquement le trafic VPN entre le client VPN et le serveur VPN
# IPsec
ipchains -A forward -j MASQ   -p udp -s 10.0.0.2/32 500      -d 199.0.0.1/32 500     -i ppp0
ipchains -A output  -j ACCEPT -p udp -s 200.200.200.0/24 500 -d 199.0.0.1/32 500     -i ppp0
ipchains -A input   -j ACCEPT -p udp -s 199.0.0.1/32 500     -d 200.200.200.0/24 500 -i ppp0
ipchains -A forward -j MASQ   -p 50  -s 10.0.0.2/32          -d 199.0.0.1/32         -i ppp0
ipchains -A output  -j ACCEPT -p 50  -s 200.200.200.0/24     -d 199.0.0.1/32         -i ppp0
ipchains -A input   -j ACCEPT -p 50  -s 199.0.0.1/32         -d 200.200.200.0/24     -i ppp0
# PPTP
ipchains -A forward -j MASQ   -p tcp -s 10.0.0.2/32       -d 199.0.0.1/32 1723 -i ppp0
ipchains -A output  -j ACCEPT -p tcp -s 200.200.200.0/24  -d 199.0.0.1/32 1723 -i ppp0
ipchains -A input   -j ACCEPT -p tcp -s 199.0.0.1/32 1723 -d 200.200.200.0/24  -i ppp0
ipchains -A forward -j MASQ   -p 47  -s 10.0.0.2/32       -d 199.0.0.1/32      -i ppp0
ipchains -A output  -j ACCEPT -p 47  -s 200.200.200.0/24  -d 199.0.0.1/32      -i ppp0
ipchains -A input   -j ACCEPT -p 47  -s 199.0.0.1/32      -d 200.200.200.0/24  -i ppp0
ou, si vous avez une connexion permanente,
# IPsec
ipchains -A forward -j MASQ   -p udp -s 10.0.0.2/32 500        -d 199.0.0.1/32 500       -i eth1
ipchains -A output  -j ACCEPT -p udp -s 200.200.200.200/32 500 -d 199.0.0.1/32 500       -i eth1
ipchains -A input   -j ACCEPT -p udp -s 199.0.0.1/32 500       -d 200.200.200.200/32 500 -i eth1
ipchains -A forward -j MASQ   -p 50  -s 10.0.0.2/32            -d 199.0.0.1/32           -i eth1
ipchains -A output  -j ACCEPT -p 50  -s 200.200.200.200/32     -d 199.0.0.1/32           -i eth1
ipchains -A input   -j ACCEPT -p 50  -s 199.0.0.1/32           -d 200.200.200.200/32     -i eth1
# PPTP
ipchains -A forward -j MASQ   -p tcp -s 10.0.0.2/32        -d 199.0.0.1/32 1723  -i eth1
ipchains -A output  -j ACCEPT -p tcp -s 200.200.200.200/32 -d 199.0.0.1/32 1723  -i eth1
ipchains -A input   -j ACCEPT -p tcp -s 199.0.0.1/32 1723  -d 200.200.200.200/32 -i eth1
ipchains -A forward -j MASQ   -p 47  -s 10.0.0.2/32        -d 199.0.0.1/32       -i eth1
ipchains -A output  -j ACCEPT -p 47  -s 200.200.200.200/32 -d 199.0.0.1/32       -i eth1
ipchains -A input   -j ACCEPT -p 47  -s 199.0.0.1/32       -d 200.200.200.200/32 -i eth1
</pre>
<p>Note : ces r&egrave;gles n'autorisent que le trafic VPN. Vous
devrez ajouter des r&egrave;gles pour tous les autres flux que vous
souhaitez autoriser, comme par exemple DNS, HTTP, POP, IMAP,
etc...</p>
<p>Notez &eacute;galement combien ces r&egrave;gles sont plus
propres et plus faciles &agrave; comprendre que les r&egrave;gles
ipfwadm &eacute;quivalentes. C'est parce que ipchains autorise la
sp&eacute;cification de tous les protocoles IP, et pas seulement
TCP, UDP, ICMP, ou ALL.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN427" id="AEN427">Une note sur
l'adressage IP dynamique</a></h3>
<p>Si votre pare-feu se voit attribuer une adresse IP dynamique par
votre FAI (les comptes modems fonctionnent comme &ccedil;a, ainsi
que certains cablo-op&eacute;rateurs), alors vous devez ajouter ce
qui suit au script de d&eacute;marrage <tt class=
"LITERAL">/etc/rc.d/rc.local</tt>:</p>
<pre class="SCREEN">
echo 7 &gt; /proc/sys/net/ipv4/ip_dynaddr
</pre>
Ceci active le suivi d'adresse IP dynamique, ce qui signifie que si
votre connexion tombe et remonte, toutes les sessions actives
seront mises &agrave; jour avec la nouvelle adresse IP plut&ocirc;t
que de continuer &agrave; essayer d'utiliser l'ancienne adresse IP.
Cela ne veut pas dire que les sessions resteront actives
malgr&eacute; l'interruption, mais plut&ocirc;t qu'elles se
fermeront rapidement.
<p>Si vous ne le faites pas, il peut y avoir une "p&eacute;riode de
latence" apr&egrave;s la reconnexion et avant l'expiration des
anciennes entr&eacute;es de la table de masquage pendant laquelle
vous serez masqu&eacute; avec la mauvaise adresse IP, ce qui vous
emp&ecirc;chera d'&eacute;tablir une connexion.</p>
<p>Ceci est particuli&egrave;rement utile si vous utilisez un
d&eacute;mon de demande de connexion comme <tt class=
"LITERAL">diald</tt> pour g&eacute;rer votre connexion modem.</p>
<p>Regardez le fichier <tt class="LITERAL"><a href=
"file:/usr/src/linux/Documentation/networking/ip_dynaddr.txt"
target=
"_top">/usr/src/linux/Documentation/networking/ip_dynaddr.txt</a></tt>
pour de plus amples d&eacute;tails.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN438" id="AEN438">Param&eacute;trages
additionnels pour un serveur VPN avec une adresse IP
priv&eacute;e</a></h3>
<p>Si vous mettez en place le masquage VPN pour un serveur VPN avec
une adresse IP priv&eacute;e (c'est &agrave; dire que vous voulez
faire du masquage aussi bien pour les connexions <span class=
"emphasis"><i class="EMPHASIS">entrantes</i></span> que
<span class="emphasis"><i class="EMPHASIS">sortantes</i></span>),
vous avez &eacute;galement besoin d'installer deux outils de
transmission de paquets. L'un(<tt class="LITERAL">ipportfw</tt>)
fait suivre le trafic TCP ou UDP entrant adress&eacute; &agrave; un
port sp&eacute;cifique du pare-feu vers une machine sur le
r&eacute;seau local derri&egrave;re le pare-feu. Il est
utilis&eacute; pour rediriger le canal de contr&ocirc;le PPTP
initial 1723/tcp en entr&eacute;e, ou le trafic ISAKMP 500/udp vers
le serveur VPN. L'autre (<tt class="LITERAL">ipfwd</tt>) est un
outil de transmission de paquets plus g&eacute;n&eacute;rique, qui
peut &ecirc;tre utilis&eacute; pour tous les protocoles IP. Il est
utilis&eacute; pour faire suivre le trafic entrant initial 47/ip
(GRE) ou 50/ip (ESP) du canal de donn&eacute;es vers le serveur
VPN.</p>
<p>Les sorties en r&eacute;ponse au trafic entrant 1723/tcp ou
500/udp sont masqu&eacute;es gr&acirc;ce aux fonctionnalit&eacute;s
standard de masquage IP du noyau Linux. Le trafic sortant 47/ip ou
50/ip est masqu&eacute; gr&acirc;ce au patch du noyau pour le
masquage VPN que vous avez install&eacute;
pr&eacute;c&eacute;demment.</p>
<p>Une fois que ces outils sont install&eacute;s, vous devez les
configurer pour faire suivre le trafic vers le serveur VPN.</p>
<p></p>
<ul>
<li>
<p>Param&eacute;trer <tt class="LITERAL">ipportfw</tt> pour les
noyaux 2.0.x</p>
<p>Les commandes suivantes vont param&eacute;trer <tt class=
"LITERAL">ipportfw</tt> pour faire suivre le trafic 500/udp entrant
vers le serveur IPsec :</p>
<pre class="SCREEN">
# Param&eacute;trage d'ipportfw pour IPsec avec une adresse IP statique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress&eacute; au port 500/udp du pare-feu
# au port 500/udp du serveur IPsec
/sbin/ipportfw -A -u 200.200.200.200/500 -R 10.0.0.2/500
</pre>
Les commandes suivantes vont param&eacute;trer <tt class=
"LITERAL">ipportfw</tt> pour faire suivre le trafic entrant
1723/tcp initial vers le serveur PPTP :
<pre class="SCREEN">
# Param&eacute;trage d'ipportfw pour PPTP avec une adresse IP statique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress&eacute; au port 1723/tcp du pare-feu
# vers le port 1723/tcp du serveur PPTP
/sbin/ipportfw -A -t 200.200.200.200/1723 -R 10.0.0.2/1723
</pre>
Notez que les param&egrave;tres d'ipportfw contiennent l'adresse IP
internet du pare-feu, et que vous ne pouvez pas sp&eacute;cifier
l'interface (par exemple <tt class="LITERAL">ppp0</tt>)
contrairement &agrave; ipfwadm. Ceci veut dire que dans le cas
d'une connexion IP dynamique (comme pour une connexion PPP par
modem) vous devez lancer ces commandes &agrave; chaque fois que
vous vous connectez &agrave; internet, et qu'une nouvelle adresse
IP vous est attribu&eacute;e. Vous pouvez le faire assez facilement
- ajoutez simplement les lignes suivantes &agrave; votre script
<tt class="LITERAL">/etc/ppp/ip-up</tt> ou <tt class=
"LITERAL">/etc/ppp/ip-up.local</tt> :
<pre class="SCREEN">
# Param&eacute;trage d'ippportfw pour IPsec avec une adresse IP dynamique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress&eacute; au port 500/udp du pare-feu
# vers le port 500/udp du serveur IPsec
/sbin/ipportfw -A -u ${4}/500 -R 10.0.0.2/500
</pre>
ou :
<pre class="SCREEN">
# Param&eacute;trage d'ipportfw pour PPTP avec une adresse IP dynamique
# Vide la table de redirection d'ipportfw
/sbin/ipportfw -C
# Fait suivre le trafic adress&eacute; au port 1723/tcp du pare-feu
# vers le port 1723 du serveur PPTP
/sbin/ipportfw -A -t ${4}/1723 -R 10.0.0.2/1723
</pre>
Allez voir <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a>
pour de plus amples d&eacute;tails sur la mise en place d'un
pare-feu avec une adresse IP dynamique.</li>
<li>
<p>Configurer <tt class="LITERAL">ipfwd</tt> pour les noyaux 2.0.x
et 2.2.x</p>
<p>La commande suivante va param&eacute;trer <tt class=
"LITERAL">ipfwd</tt> pour faire suivre le trafic entrant 50/ip
initial au le serveur IPsec :</p>
<pre class="SCREEN">
/sbin/ipfwd --masq 10.0.0.2 50 &amp;
</pre>
La commande suivante va param&eacute;trer <tt class=
"LITERAL">ipfwd</tt> pour faire suivre le trafic entrant 47/ip
initial au serveur PPTP :
<pre class="SCREEN">
/sbin/ipfwd --masq 10.0.0.2 47 &amp;
</pre>
Cette commande n'a besoin d'&ecirc;tre ex&eacute;cut&eacute;e
qu'une seule fois, depuis votre script <tt class=
"LITERAL">/etc/rc.d/rc.local</tt>.</li>
</ul>
<p>Les techniques d&eacute;crites ici peuvent &ecirc;tre
g&eacute;n&eacute;ralis&eacute;es pour autoriser le masquage de la
plupart des serveurs - HTTP, FTP, SMTP, etc. Les serveurs qui sont
bas&eacute;s uniquement sur TCP ou UDP n'ont pas besoin de
<tt class="LITERAL">ipfwd</tt>.</p>
<p>Si vous masquez un serveur PPTP, vous avez aussi besoin de vous
assurer que vous n'avez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> activ&eacute; le masquage d'identifiant
d'appel PPTP dans le noyau. L'activation du masquage d'identifiant
d'appel PPTP fait croire que vous masquez uniquement des clients
PPTP, l'activer risque donc de vous emp&ecirc;cher de masquer
correctement le trafic du serveur PPTP. Cela signifie
&eacute;galement qu'avec la version 2.0.x du patch, vous ne pouvez
pas masquer simultan&eacute;ment un serveur PPTP et des clients
PPTP.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN476" id="AEN476">Param&eacute;trage
d'ipfwadm pour un serveur VPN avec une adresse IP publique</a></h3>
<p>Mettre en place un serveur VPN avec une adresse IP publique se
trouvant derri&egrave;re un pare-feu Linux est un simple
probl&egrave;me de routage et de filtrage de paquets. Le masquage
n'est pas n&eacute;cessaire.</p>
<p>Malheureusement les noyaux 2.0.x ne nous permettent pas de
pr&eacute;ciser le protocole IP 47 ou 50, donc ce pare-feu est
moins s&ucirc;r que ce qu'il aurait pu &ecirc;tre. Si cela vous
pose un probl&egrave;me, alors installez le patch noyau pour les
cha&icirc;nes pare-feu IP ou passez &agrave; un noyau de la
s&eacute;rie 2.1.x ou 2.2.x, avec lesquels vous pouvez faire du
filtrage par protocole IP.</p>
<p>Les r&egrave;gles pare-feu vont avoir un peu cette t&ecirc;te
l&agrave; :</p>
<pre class="SCREEN">
# Cette section doit se trouver apr&egrave;s vos autres r&egrave;gles pare-feu

# Pr&eacute;cisez explicitement les clients potentiels pour plus de s&eacute;curit&eacute;
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -S 199.0.0.2/32 500 -D 222.0.0.2/32 500
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -D 199.0.0.2/32 500 -S 222.0.0.2/32 500
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -S 199.0.0.3/32 500 -D 222.0.0.2/32 500
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -D 199.0.0.3/32 500 -S 222.0.0.2/32 500
# Autorise le canal de contr&ocirc;le PPTP en entr&eacute;e et en sortie
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -S 199.0.0.2/32 -D 222.0.0.2/32 1723
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -D 199.0.0.2/32 -S 222.0.0.2/32 1723
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -S 199.0.0.3/32 -D 222.0.0.2/32 1723
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -D 199.0.0.3/32 -S 222.0.0.2/32 1723

# Bloque tous les autres trafics TCP et UDP en provenance d'internet
# Ceci est principalement une r&egrave;gle "d&eacute;faut refus TCP/UDP" qui
# ne s'applique qu'&agrave; l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P tcp
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P udp

# Pr&eacute;cisez explicitement les clients potentiels pour plus de s&eacute;curit&eacute;
# Notez que ce param&eacute;trage est trop large, car nous sommes
# oblig&eacute;s de pr&eacute;ciser "-P all" au lieu de "-P 47" ou "-P 50"...
# Autorise le canal de donn&eacute;es PPTP et le trafic ESP IPsec entrant et sortant.
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -S 199.0.0.2/32 -D 222.0.0.2/32
ipfwadm -0 -a accept -W eth1 -V 200.200.200.200 -P all -D 199.0.0.2/32 -S 222.0.0.2/32
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -S 199.0.0.3/32 -D 222.0.0.2/32
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P all -D 199.0.0.3/32 -S 222.0.0.2/32

# Bloque tous les autres trafics en provenance d'internet.
# Ceci est principalement une r&egrave;gle du type "par d&eacute;faut, refus"
# qui ne s'applique qu'&agrave; l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200
</pre>
<p>Si vous installez des r&egrave;gles pare-feu ou des r&egrave;gle
de transmission de paquets sur l'interface interne, vous aurez
&agrave; faire quelque chose de semblable. L'exemple ci-dessus ne
concerne que le trafic VPN ; il vous faut l'ins&eacute;rer dans
votre param&eacute;trage pare-feu actuel pour autoriser les autres
trafics dont vous avez besoin.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN483" id="AEN483">Param&eacute;trage
d'ipfwadm pour un client VPN avec une adresse IP publique</a></h3>
<p>La mise en place d'un client VPN avec une adresse IP publique
derri&egrave;re un pare-feu Linux est similaire &agrave; celle d'un
serveur VPN avec une adresse IP publique.</p>
<p>Les r&egrave;gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P udp -S 222.0.0.2/32 500 -D 199.0.0.1/32 500
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P udp -D 222.0.0.2/32 500 -S 199.0.0.1/32 500
# Autorise le canal de contr&ocirc;le PPTP en entr&eacute;e et en sortie.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P tcp -S 222.0.0.2/32 -D 199.0.0.1/32 1723
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P tcp -D 222.0.0.2/32 -S 199.0.0.1/32 1723

# Bloque tous les autres trafics TCP et UDP en provenance d'internet.
# Ceci est principalement une r&egrave;gle "par d&eacute;faut, refus de TCP/UDP" qui
# ne s'applique qu'&agrave; l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P tcp
ipfwadm -I -a deny -W eth1 -V 200.200.200.200 -P udp

# Notez que ce param&eacute;trage est trop large, car nous sommes
# oblig&eacute;s de pr&eacute;ciser "-P all" au lieu de "-P 47" ou "-P 50"...
# Autorise le canal de donn&eacute;es PPTP et le trafic ESP IPsec entrant et sortant.
ipfwadm -O -a accept -W eth1 -V 200.200.200.200 -P all -S 222.0.0.2/32 -D 199.0.0.1/32
ipfwadm -I -a accept -W eth1 -V 200.200.200.200 -P all -D 222.0.0.2/32 -S 199.0.0.1/32

# Bloque tous les autres trafics en provenance d'internet.
# Ceci est principalement une r&egrave;gle du type "par d&eacute;faut, refus"
# qui ne s'applique qu'&agrave; l'interface internet.
ipfwadm -I -a deny -W eth1 -V 200.200.200.200
</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN488" id="AEN488">Param&eacute;trage
d'ipchains pour un serveur VPN avec une adresse IP
publique</a></h3>
<p>Mettre en place un serveur VPN avec une adresse IP publique
derri&egrave;re un pare-feu Linux correspond &agrave;
v&eacute;rifier que les commandes de routage et de filtrage de
paquet appropri&eacute;es sont bien en place. Le masquage n'est pas
n&eacute;cessaire.</p>
<p>Les r&egrave;gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Sp&eacute;cifiez explicitement les clients potentiels pour plus de s&eacute;curit&eacute;.
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipchains -A input  -j ACCEPT -p udp -s 199.0.0.2/32 500 -d 222.0.0.2/32 500 -i eth1
ipchains -A output -j ACCEPT -p udp -d 199.0.0.2/32 500 -s 222.0.0.2/32 500 -i eth1
ipchains -A input  -j ACCEPT -p udp -s 199.0.0.3/32 500 -d 222.0.0.2/32 500 -i eth1
ipchains -A output -j ACCEPT -p udp -d 199.0.0.3/32 500 -s 222.0.0.2/32 500 -i eth1
# Autorise le trafic ESP IPsec entrant et sortant.
ipchains -A input  -j ACCEPT -p 50  -s 199.0.0.2/32     -d 222.0.0.2/32     -i eth1
ipchains -A output -j ACCEPT -p 50  -d 199.0.0.2/32     -s 222.0.0.2/32     -i eth1
ipchains -A input  -j ACCEPT -p 50  -s 199.0.0.3/32     -d 222.0.0.2/32     -i eth1
ipchains -A output -j ACCEPT -p 50  -d 199.0.0.3/32     -s 222.0.0.2/32     -i eth1
# Autorise le canal de contr&ocirc;le PPTP en entr&eacute;e et en sortie.
ipchains -A input  -j ACCEPT -p tcp -s 199.0.0.2/32 -d 222.0.0.2/32 1723 -i eth1
ipchains -A output -j ACCEPT -p tcp -d 199.0.0.2/32 -s 222.0.0.2/32 1723 -i eth1
ipchains -A input  -j ACCEPT -p tcp -s 199.0.0.3/32 -d 222.0.0.2/32 1723 -i eth1
ipchains -A output -j ACCEPT -p tcp -d 199.0.0.3/32 -s 222.0.0.2/32 1723 -i eth1
# Autorise le tunnel PPTP en entr&eacute;e et en sortie.
ipchains -A input  -j ACCEPT -p 47  -s 199.0.0.2/32 -d 222.0.0.2/32      -i eth1
ipchains -A output -j ACCEPT -p 47  -d 199.0.0.2/32 -s 222.0.0.2/32      -i eth1
ipchains -A input  -j ACCEPT -p 47  -s 199.0.0.3/32 -d 222.0.0.2/32      -i eth1
ipchains -A output -j ACCEPT -p 47  -d 199.0.0.3/32 -s 222.0.0.2/32      -i eth1
</pre>
<p>Si vous installez des r&egrave;gles pare-feu ou des
r&egrave;gles de transmission de paquets sur l'interface interne,
vous aurez &agrave; faire quelque chose de semblable. L'exemple
ci-dessus ne concerne que le trafic VPN ; il vous faut
l'ins&eacute;rer dans votre param&eacute;trage pare-feu actuel pour
autoriser les autres trafics dont vous avez besoin.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN494" id="AEN494">Param&eacute;trage
d'ipchains pour un client VPN avec une adresse IP publique</a></h3>
<p>La mise en place d'un client VPN avec une adresse IP publique
derri&egrave;re un pare-feu Linux est identique &agrave; celle d'un
serveur VPN avec une adresse IP publique.</p>
<p>Les r&egrave;gles pare-feu auront cette allure :</p>
<pre class="SCREEN">
# Autorise le trafic ISAKMP IPsec entrant et sortant.
ipchains -A output -j ACCEPT -p udp -s 222.0.0.2/32 500 -d 199.0.0.1/32 500 -i eth1
ipchains -A input  -j ACCEPT -p udp -d 222.0.0.2/32 500 -s 199.0.0.1/32 500 -i eth1
# Autorise le trafic ESP IPsec entrant et sortant.
ipchains -A output -j ACCEPT -p 50  -s 222.0.0.2/32     -d 199.0.0.1/32     -i eth1
ipchains -A input  -j ACCEPT -p 50  -d 222.0.0.2/32     -s 199.0.0.1/32     -i eth1
# Autorise le canal de contr&ocirc;le PPTP en entr&eacute;e et en sortie.
ipchains -A output -j ACCEPT -p tcp -s 222.0.0.2/32 -d 199.0.0.1/32 1723 -i eth1
ipchains -A input  -j ACCEPT -p tcp -d 222.0.0.2/32 -s 199.0.0.1/32 1723 -i eth1
# Autorise le tunnel PPTP en entr&eacute;e et en sortie.
ipchains -A output -j ACCEPT -p 47  -s 222.0.0.2/32 -d 199.0.0.1/32      -i eth1
ipchains -A input  -j ACCEPT -p 47  -d 222.0.0.2/32 -s 199.0.0.1/32      -i eth1
</pre></div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN499" id="AEN499">Masquage VPN et
LRP</a></h3>
<p>Le projet de routeur Linux (Linux Router Project), qui se trouve
&agrave; l'adresse <a href="http://www.linuxrouter.org/" target=
"_top">http://www.linuxrouter.org/</a>, fournit un kit
pare-feu-sur-disquette bas&eacute; sur Linux. Avec un PC '386, deux
cartes r&eacute;seaux, et un lecteur de disquette, vous pouvez
mettre en place un pare-feu masquant avec toutes les
fonctionnalit&eacute;s. Aucun disque dur n'est
n&eacute;cessaire.</p>
<p>Le masquage VPN est cens&eacute; &ecirc;tre inclus dans la
version 2.2.9 de LRP - pour v&eacute;rifier s'il est disponible,
regardez si <tt class="LITERAL">ip_masq_ipsec</tt> ou <tt class=
"LITERAL">ip_masq_pptp</tt> sont dans la liste des modules
chargeables dans <tt class="LITERAL">Package Settings -&gt;
Modules</tt>, ou faites un grep sur <tt class=
"LITERAL">/proc/ksyms</tt> comme d&eacute;crit plus haut. Si vous
voulez ajouter le masquage VPN &agrave; une version
ant&eacute;rieure du LRP, alors quelqu'un sur la liste de diffusion
du LRP pourra vous fournir une image de disquette, ou bien vous
pouvez faire votre propre noyau en utilisant les instructions qui
se trouvent sur la page du LRP.</p>
<p>Les r&egrave;gles pare-feu seront ajout&eacute;es au script de
d&eacute;marrage dans <tt class="LITERAL">Network Settings -&gt;
Direct Network Setup</tt>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN510" id="AEN510">Masquage VPN sur un
syst&egrave;me tournant avec FreeS/WAN ou PoPToP</a></h3>
<p>Si vous souhaitez utiliser le pare-feu en tant que passerelle
IPsec avec FreeS/WAN, vous <span class="emphasis"><i class=
"EMPHASIS">ne devez pas</i></span> activer le masquage IPsec. Si
vous souhaitez utiliser le pare-feu comme serveur PPTP avec PoPToP,
ou comme client PPTP en utilisant le logiciel client PPTP pour
Linux, vous <span class="emphasis"><i class="EMPHASIS">ne devez
pas</i></span> activer le masquage PPTP.</p>
<p>Le masquage VPN et le client ou serveur VPN utilisant les
m&ecirc;mes protocoles, ils ne peuvent pas cohabiter sur le
m&ecirc;me ordinateur.</p>
<p>Votre pare-feu <span class="emphasis"><i class=
"EMPHASIS">peut</i></span>, cependant, &ecirc;tre une passerelle
VPN IPsec FreeS/WAN et faire du masquage PPTP, ou vice-versa.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN518" id="AEN518">Configurer le client
VPN</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN520" id="AEN520">Configurer un client
MS W'95</a></h3>
<p></p>
<ol type="1">
<li>
<p>Configurez votre routage pour que votre pare-feu Linux soit
votre passerelle par d&eacute;faut :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
configuration/R&eacute;seau</tt> ou faites un clic droit sur
"Voisinage R&eacute;seau" et cliquez sur <tt class=
"LITERAL">Propri&eacute;t&eacute;s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Configuration</tt>.</p>
</li>
<li>
<p>Dans la liste des composants r&eacute;seaux install&eacute;s,
faites un double-clic sur la ligne "TCP/IP -&gt;
votre-carte-r&eacute;seau".</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Passerelle</tt>.</p>
</li>
<li>
<p>Entrez l'adresse IP locale de votre pare-feu Linux. Enlevez les
autres passerelles.</p>
</li>
<li>
<p>Cliquez sur le bouton "OK".</p>
</li>
</ol>
</li>
<li>
<p>Testez le masquage. Par exemple, lancez "<tt class=
"LITERAL">telnet le.serveur.de.mail.de.mon.fai smtp</tt>" et vous
devriez voir la banni&egrave;re d'accueil du serveur de mail.</p>
</li>
<li>
<p>Installez et configurez le logiciel de VPN. Pour le logiciel
IPsec, suivez les instructions de l'&eacute;diteur. Pour PPTP de MS
:</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
Configuration/R&eacute;seau</tt> ou faites un clic droit sur
"Voisinage R&eacute;seau" et cliquez sur <tt class=
"LITERAL">Propri&eacute;t&eacute;s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Configuration</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Ajouter", et cliquez ensuite sur la ligne
"Carte".</p>
</li>
<li>
<p>S&eacute;lectionnez "Microsoft" comme constructeur, et ajoutez
l'adaptateur "Carte de R&eacute;seau Priv&eacute; Virtuel
Microsoft".</p>
</li>
<li>
<p>Red&eacute;marrez lorsque l'ordinateur vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin de cryptage fort (128 bits),
t&eacute;l&eacute;chargez la mise &agrave; jour pour cryptage fort
de DUN 1.3 sur le site s&eacute;curis&eacute; de MS &agrave;
l'adresse <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez la, red&eacute;marrez ensuite quand l'ordinateur vous le
demande.</p>
</li>
<li>
<p>Cr&eacute;ez une nouvelle entr&eacute;e dans votre carnet
d'adresse d'appel distant pour votre serveur PPTP.</p>
</li>
<li>
<p>S&eacute;lectionnez l'adaptateur VPN comme
p&eacute;riph&eacute;rique &agrave; utiliser, et entrez l'adresse
IP internet du serveur PPTP comme num&eacute;ro de
t&eacute;l&eacute;phone.</p>
</li>
<li>
<p>S&eacute;lectionnez l'onglet <tt class="LITERAL">Types de
Serveur</tt>, et cochez les cases <tt class="LITERAL">Activer la
compression logicielle</tt> et <tt class="LITERAL">Demander un mot
de passe crypt&eacute;</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Param&eacute;trages TCP/IP".</p>
</li>
<li>
<p>Renseignez les informations concernant l'adresse IP
dynamique/statique de votre client comme pr&eacute;cis&eacute; par
l'administrateur de votre serveur PPTP.</p>
</li>
<li>
<p>Si vous souhaitez avoir acc&egrave;s &agrave; votre
r&eacute;seau local pendant que votre connexion PPTP est active,
d&eacute;cochez la case "Utiliser la passerelle par d&eacute;faut
pour le r&eacute;seau distant".</p>
</li>
<li>
<p>Red&eacute;marrez encore quelques fois, juste par habitude...
:-)</p>
</li>
</ol>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN582" id="AEN582">Configurer un client
MS W'98</a></h3>
<p></p>
<ol type="1">
<li>
<p>Configurez le routage pour que le pare-feu Linux soit votre
passerelle par d&eacute;faut, et testez le masquage comme
indiqu&eacute; plus haut.</p>
</li>
<li>
<p>Installez et configurez le logiciel de VPN. Pour un logiciel
IPsec, suivez les instructions de l'&eacute;diteur. Pour PPTP de MS
:</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
Configuration/Ajout/Suppression de programme</tt> et cliquez sur
l'onglet<tt class="LITERAL">Installation de Windows</tt>.</p>
</li>
<li>
<p>Cliquez sur l'option <tt class="LITERAL">Communications</tt> et
cliquez sur le bouton "D&eacute;tails...".</p>
</li>
<li>
<p>Assurez vous que l'option "R&eacute;seau Priv&eacute; Virtuel
(VPN)" est coch&eacute;e. Cliquez alors sur le bouton "OK".</p>
</li>
<li>
<p>Red&eacute;marrez la machine lorsqu'on vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin d'utiliser du cryptage fort (128 bits),
t&eacute;l&eacute;chargez la mise &agrave; jour
s&eacute;curit&eacute; pour le cryptage fort VPN sur le site
s&eacute;curis&eacute; de MS &agrave; l'adresse : <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez-la, et ensuite red&eacute;marrez encore lorsqu'on vous le
demande.</p>
</li>
</ol>
</li>
<li>
<p>Cr&eacute;ez et testez une nouvelle entr&eacute;e pour votre
serveur VPN dans votre carnet d'adresse d'appel distant, comme
d&eacute;crit plus haut.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN607" id="AEN607">Configurer un client
MS W'ME</a></h3>
<p>Je n'en ai pas vu pour l'instant. Je suppose que la
proc&eacute;dure est tr&egrave;s proche de celle pour W'98.
Quelqu'un pourrait-il me dire quelles sont les diff&eacute;rences,
s'il y en a ? Merci.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN610" id="AEN610">Configurer un client
MS NT</a></h3>
<pre class="SCREEN">
Note: cette section peut &ecirc;tre incompl&egrave;te car &ccedil;a fait
un petit moment que je n'ai pas install&eacute; PPTP sur un syst&egrave;me NT.
</pre>
<p></p>
<ol type="1">
<li>
<p>Configurez votre routage pour que le pare-feu Linux soit votre
passerelle par d&eacute;faut :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
Configuration/R&eacute;seau</tt> ou faites un clic droit sur
"Voisinage R&eacute;seau" et cliquez sur <tt class=
"LITERAL">Propri&eacute;t&eacute;s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Protocoles</tt> et
faites un double-clic sur la ligne "Protocole TCP/IP".</p>
</li>
<li>
<p>Entrez l'adresse IP locale de votre pare-feu Linux dans la zone
de dialogue "Passerelle par d&eacute;faut".</p>
</li>
<li>
<p>Cliquez sur le bouton "OK".</p>
</li>
</ol>
</li>
<li>
<p>Testez le masquage. Par exemple, lancez "<tt class=
"LITERAL">telnet le.serveur.de.mail.de.mon.fai smtp</tt>" et vous
devriez voir appara&icirc;tre la banni&egrave;re d'accueil du
serveur de mails.</p>
</li>
<li>
<p>Installez et configurez le logiciel VPN. Pour un logiciel IPsec,
suivez les instructions de l'&eacute;diteur. Pour PPTP de MS :</p>
<ol type="a">
<li>
<p>Ouvrez <tt class="LITERAL">Panneau de
Configuration/R&eacute;seau</tt> ou faites un clic droit sur
"Voisinage R&eacute;seau" et cliquez sur <tt class=
"LITERAL">Propri&eacute;t&eacute;s</tt>.</p>
</li>
<li>
<p>Cliquez sur l'onglet <tt class="LITERAL">Protocoles</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Ajouter", et faites ensuite un
double-clic sur la ligne "Point to Point Tunneling Protocol".</p>
</li>
<li>
<p>Quand on vous demande les num&eacute;ros de R&eacute;seaux
Virtuels Priv&eacute;s, entrez les num&eacute;ros des serveurs PPTP
que vous pouvez potentiellement joindre.</p>
</li>
<li>
<p>Red&eacute;marrez lorsqu'on vous le demande.</p>
</li>
<li>
<p>Si vous avez besoin d'utiliser du cryptage fort (128 bits),
t&eacute;l&eacute;chargez la mise &agrave; jour de PPTP pour
cryptage fort sur le site s&eacute;curis&eacute; de MS &agrave;
l'adresse <a href=
"http://mssecure.www.conxion.com/cgi-bin/ntitar.pl" target=
"_top">http://mssecure.www.conxion.com/cgi-bin/ntitar.pl</a> et
installez la, puis red&eacute;marrez lorsqu'on vous le demande.</p>
</li>
<li>
<p>Cr&eacute;ez une nouvelle entr&eacute;e dans votre carnet
d'adresse d'appel distant pour votre serveur PPTP.</p>
</li>
<li>
<p>S&eacute;lectionnez l'adaptateur VPN comme
p&eacute;riph&eacute;rique &agrave; utiliser, et entrez l'adresse
IP internet du serveur PPTP comme num&eacute;ro de
t&eacute;l&eacute;phone.</p>
</li>
<li>
<p>S&eacute;lectionnez l'onglet <tt class="LITERAL">Types de
Serveur</tt> et cochez les cases <tt class="LITERAL">Activer la
compression logicielle</tt> et <tt class="LITERAL">Demander un mot
de passe crypt&eacute;</tt>.</p>
</li>
<li>
<p>Cliquez sur le bouton "Param&egrave;tres TCP/IP".</p>
</li>
<li>
<p>Renseignez les informations concernant l'adresse IP
dynamique/statique de votre client comme pr&eacute;cis&eacute; par
l'administrateur de votre serveur PPTP.</p>
</li>
<li>
<p>Si vous souhaitez avoir acc&egrave;s &agrave; votre
r&eacute;seau local pendant que la connexion PPTP est active,
regardez <a href=
"http://support.microsoft.com/support/kb/articles/q143/1/68.asp"
target="_top">L'article de la Base de Connaissances MS Q143168</a>
pour modifier la base de registres. (<span class=
"emphasis"><i class="EMPHASIS">Hum</i></span>.)</p>
</li>
<li>
<p>Assurez vous d'avoir r&eacute;-appliqu&eacute; le dernier
Service Pack, pour &ecirc;tre s&ucirc;r que les librairies RAS et
PPTP sont &agrave; jour en ce qui concerne la
s&eacute;curit&eacute; et les performances.</p>
</li>
</ol>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN671" id="AEN671">Configuration pour
du routage r&eacute;seau &agrave; r&eacute;seau</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">A
&eacute;crire.</i></span></p>
<p>Vous devriez vraiment jeter un oeil sur FreeS/WAN (IPsec pour
Linux) &agrave; l'adresse <a href="http://www.xs4all.nl/~freeswan/"
target="_top">http://www.xs4all.nl/~freeswan/</a> plut&ocirc;t que
de faire du masquage.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN677" id="AEN677">Masquer des VPNs
bas&eacute;s sur SecuRemote de CheckPoint</a></h3>
<p>Il est possible de masquer le trafic VPN bas&eacute; sur
SecuRemote de Checkpoint &agrave; certaines conditions.</p>
<p>Pour commencer, vous devez configurer le pare-feu SecuRemote
pour autoriser les sessions masqu&eacute;es. Sur le pare-feu
SecuRemote, faites ce qui suit.</p>
<p></p>
<ol type="1">
<li>
<p>Ex&eacute;cutez <tt class="LITERAL">fwstop</tt></p>
</li>
<li>
<p>&Eacute;ditez <tt class="LITERAL">$FWDIR/conf/objects.C</tt> et
apr&egrave;s la ligne "<tt class="LITERAL">:props&nbsp;(</tt>",
ajoutez ou modifiez les lignes suivantes pour avoir</p>
<pre class="SCREEN">
:userc_NAT (true) 
:userc_IKE_NAT (true)
</pre></li>
<li>
<p>Ex&eacute;cutez <tt class="LITERAL">fwstart</tt></p>
</li>
<li>
<p>R&eacute;installez votre politique de
s&eacute;curit&eacute;.</p>
</li>
<li>
<p>V&eacute;rifiez que les changements ont &eacute;t&eacute; pris
en compte en v&eacute;rifiant <tt class=
"LITERAL">$FWDIR/conf/objects.C</tt> et <tt class=
"LITERAL">$FWDIR/database/objects.C</tt></p>
</li>
</ol>
<p>Si vous utilisez les protocoles IPsec (appel&eacute;s "IKE" par
CheckPoint) vous n'avez pas besoin de faire autre chose pour
masquer le trafic VPN. Configurez simplement votre passerelle de
masquage pour masquer le trafic IPsec comme d&eacute;crit plus
haut.</p>
<p>Le protocole propri&eacute;taire FWZ de CheckPoint est plus
compliqu&eacute;. Il y a deux modes dans lesquels FWZ peut
&ecirc;tre utilis&eacute; : le mode encapsul&eacute;, et le mode de
transport. En mode encapsul&eacute;, la v&eacute;rification
d'int&eacute;grit&eacute; est faite sur l'ensemble du paquet IP,
comme avec le protocole AH d'IPsec. Changer l'adresse IP casse
cette garantie d'int&eacute;grit&eacute;, donc les tunnels FWZ
encapsul&eacute;s <span class="emphasis"><i class="EMPHASIS">ne
peuvent pas</i></span> &ecirc;tre masqu&eacute;s.</p>
<p>En mode transport, seule la portion du paquet contenant les
donn&eacute;es est crypt&eacute;e, et les ent&ecirc;tes IP ne sont
pas v&eacute;rifi&eacute;s pour voir s'ils ont &eacute;t&eacute;
modifi&eacute;s. Dans ce mode, le masquage doit fonctionner avec
les modifications indiqu&eacute;es plus haut.</p>
<p>La configuration pour choisir entre le mode encapsul&eacute; ou
le mode transport se fait via l'IHM FireWall-1. Dans l'objet
r&eacute;seau correspondant au pare-feu, sur l'onglet VPN,
&eacute;ditez les propri&eacute;t&eacute;s FWZ. Le troisi&egrave;me
onglet dans les propri&eacute;t&eacute;s FWZ vous permet de choisir
le mode encapsul&eacute;.</p>
<p>Vous ne pourrez masquer qu'un seul client &agrave; la fois.</p>
<p>Vous trouverez de plus amples informations aux adresses :</p>
<ul>
<li>
<p><a href="http://www.phoneboy.com/fw1/nat.html" target=
"_top">http://www.phoneboy.com/fw1/nat.html</a>,</p>
</li>
<li>
<p><a href="http://www.phoneboy.com/fw1/faq/0141.html" target=
"_top">http://www.phoneboy.com/fw1/faq/0141.html</a></p>
</li>
<li>
<p><a href="http://www.phoneboy.com/fw1/faq/0372.html" target=
"_top">http://www.phoneboy.com/fw1/faq/0372.html</a></p>
</li>
</ul>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN717" id=
"AEN717">D&eacute;pannage</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN719" id="AEN719">Tests</a></h3>
<p>Pour tester le masquage VPN :</p>
<p></p>
<ol type="1">
<li>
<p>Activez la connexion &agrave; votre FAI depuis votre machine
Linux, et v&eacute;rifiez qu'elle fonctionne correctement.</p>
</li>
<li>
<p>V&eacute;rifiez que le masquage fonctionne correctement, par
exemple en utilisant une machine de votre r&eacute;seau local
masqu&eacute;e pour aller surfer sur un site web, ou pour
acc&eacute;der &agrave; un serveur FTP.</p>
</li>
<li>
<p>PPTP : v&eacute;rifiez que vous avez correctement
configur&eacute; le masquage du canal de contr&ocirc;le PPTP :
essayez de faire un telnet depuis la machine cliente PPTP vers le
port 1723 de votre serveur PPTP. Ne vous attendez pas &agrave; voir
quelque chose, mais si vous avez une erreur disant que la connexion
a &eacute;chou&eacute; ou si vous n'avez pas de r&eacute;ponse,
jetez un coup d'oeil aux r&egrave;gles de masquage sur votre
machine Linux, pour vous assurer que vous masquez bien le trafic en
provenance du poste client PPTP vers le port TCP 1723 du serveur
PPTP.</p>
</li>
<li>
<p>PPTP : essayez d'&eacute;tablir une connexion PPTP. Je vous
recommande de lancer &eacute;galement <tt class=
"LITERAL">RASMON</tt> s'il est disponible, car il va vous donner un
minimum d'informations sur l'&eacute;tat de la connexion. Si vous
&eacute;tablissez une connexion PPTP lors de votre premi&egrave;re
tentative, f&eacute;licitations ! Vous avez r&eacute;ussi !</p>
</li>
<li>
<p>IPsec : essayez d'&eacute;tablir une connexion IPsec.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN735" id="AEN735">Probl&egrave;mes
possibles</a></h3>
<p>Il y a plusieurs &eacute;l&eacute;ments qui peuvent
emp&ecirc;cher d'&eacute;tablir une session VPN. Nous allons les
consid&eacute;rer en partant du client vers le serveur, puis dans
l'autre sens. Pour les exemples, nous partirons du principe que le
client est un client Windows, ce qui correspond au cas le plus
courant.</p>
<p></p>
<ol type="1">
<li>
<p>Information sur la connexion : le "num&eacute;ro de
t&eacute;l&eacute;phone" dans l'&eacute;cran de configuration VPN
distant doit &ecirc;tre l'adresse IP internet du serveur VPN, ou
l'adresse du pare-feu si le serveur est masqu&eacute;.</p>
</li>
<li>
<p>PPTP et cryptage fort : si le client et le serveur n'ont pas le
fichier <tt class="LITERAL">NDISWAN.SYS</tt> ou le logiciel PPTP
pour W'95/'98 128 bits, vous n'arriverez pas &agrave;
&eacute;tablir une session avec cryptage fort. Malheureusement, au
cours de mon exp&eacute;rience j'ai constat&eacute; que ce
probl&egrave;me ne g&eacute;n&egrave;re pas de message d'erreur, et
que le client cherche &agrave; se connecter sans cesse... Vous
pouvez r&eacute;cup&eacute;rer la mise &agrave; jour pour le
cryptage fort sur le site s&eacute;curis&eacute; de Microsoft dont
l'URL est donn&eacute;e dans la section"Configurer un client
MS".</p>
<p>Ceci va &eacute;galement affecter les clients IPsec, s'ils
utilisent les librairies de cryptage fournies par MS plut&ocirc;t
que leurs propres librairies.</p>
</li>
<li>
<p>Routage : v&eacute;rifiez que la route par d&eacute;faut sur
votre client VPN pointe bien vers la machine de masquage Linux.
Lancez la commande <tt class="LITERAL">route print</tt> et cherchez
l'entr&eacute;e <tt class="LITERAL">0.0.0.0</tt>.</p>
<p>Si d'autres services masqu&eacute;s (comme HTTP, FTP, IRC,
etc...) fonctionnent sur votre machine cliente VPN, alors ce n'est
pas un probl&egrave;me de routage.</p>
</li>
<li>
<p>Masquage : il y a deux parties dans la session VPN.</p>
<p>Pour IPsec, le service d'authentification et d'&eacute;change de
cl&eacute;s (ISAKMP), qui est une session UDP sur le port 500 de la
machine IPsec distante, le pare-feu doit &ecirc;tre
configur&eacute; pour le masquage comme pour tout autre service UDP
(par exemple DNS).</p>
<p>Pour PPTP, le canal de contr&ocirc;le, qui est une session TCP
normale vers le port 1723 du serveur PPTP, le pare-feu doit
&ecirc;tre configur&eacute; pour le masquage comme pour tout autre
service TCP (par exemple HTTP).</p>
<p>Le canal de donn&eacute;es crypt&eacute; avec IPsec est
transport&eacute; au dessus d'ESP, le protocole IP 50. Le canal de
donn&eacute;es crypt&eacute; avec PPTP est transport&eacute; au
dessus de GRE, le protocole IP 47. (Notez que ce ne sont
<span class="emphasis"><i class="EMPHASIS">pas</i></span> des
num&eacute;ros de ports TCP ou UDP !) Le noyau Linux 2.0 ne vous
permettant de pr&eacute;ciser que les protocoles IP <tt class=
"LITERAL">TCP</tt>, <tt class="LITERAL">UDP</tt>, <tt class=
"LITERAL">ICMP</tt> et <tt class="LITERAL">ALL</tt> lors de la
cr&eacute;ation des r&egrave;gles de masquage, vous devez masquer
le trafic du protocole <tt class="LITERAL">ALL</tt> m&ecirc;me si
vous masquez uniquement des services sp&eacute;cifiques. Si vous
masquez tout, ne vous en inqui&eacute;tez pas.</p>
<p>Afin d'isoler les probl&egrave;mes issus des r&egrave;gles du
pare-feu de ceux provenant du code de masquage du noyau, essayez
d'&eacute;tablir une connexion VPN avec votre pare-feu
compl&egrave;tement ouvert, et si &ccedil;a marche, resserrez alors
les r&egrave;gles du pare-feu.</p>
<p>Pare-feu compl&egrave;tement ouvert avec ipfwadm et un noyau
2.0.x :</p>
<pre class="SCREEN">
ipfwadm -I -p accept
ipfwadm -O -p accept
ipfwadm -F -a accept -m
</pre>
<p>Pare-feu compl&egrave;tement ouvert avec ipchains et un noyau
2.2.x :</p>
<pre class="SCREEN">
ipchains -P input   ACCEPT
ipchains -P output  ACCEPT
ipchains -P forward MASQ
</pre>
<p>Ne laissez <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> votre pare-feu compl&egrave;tement ouvert
plus de temps qu'il n'en faut pour prouver qu'une connexion VPN
masqu&eacute;e peut &ecirc;tre &eacute;tablie !</p>
</li>
<li>
<p>&Eacute;quipements interm&eacute;diaires et Internet : Tous les
routeurs entre votre pare-feu Linux et la machine IPsec distante
doivent autoriser le passage des paquets porteurs du protocole IP
50. Tous les routeurs entre votre pare-feu Linux et le serveur PPTP
doivent autoriser le passage des paquets porteurs du protocole IP
47. Si IPsec ou PPTP fonctionne lorsque votre client VPN est
directement connect&eacute; &agrave; votre FAI, alors le
probl&egrave;me ne vient probablement pas de l&agrave;.</p>
<p>Pour savoir si un &eacute;quipement interm&eacute;diaire bloque
le trafic GRE, utilisez un <tt class="LITERAL">traceroute</tt>
patch&eacute; pour suivre la progression des paquets GRE. Regardez
la section des ressources pour de plus amples informations sur le
patch de traceroute. Un patch similaire pour ESP est en cours de
codage.</p>
</li>
<li>
<p>Le pare-feu distant : le pare-feu du c&ocirc;t&eacute; du
serveur doit autoriser une machine ayant la m&ecirc;me adresse IP
que celle attribu&eacute;e &agrave; votre machine Linux par votre
FAI &agrave; se connecter au port 500/udp de la machine IPsec ou
sur le port 1723/tcp du serveur PPTP. Si le VPN fonctionne lorsque
votre client VPN est connect&eacute; directement &agrave; votre
FAI, alors le probl&egrave;me ne vient probablement pas de
l&agrave;.</p>
</li>
<li>
<p>Le pare-feu c&ocirc;t&eacute; serveur et ESP : les
donn&eacute;es crypt&eacute;es IPsec sont transport&eacute;es au
dessus du protocole IP 50. Si le pare-feu derri&egrave;re lequel se
trouve la machine IPsec distante ne fait pas suivre le trafic ESP
dans les deux sens, IPsec ne pourra pas marcher. Une fois de plus,
si IPsec fonctionne lorsque votre client IPsec est connect&eacute;
directement &agrave; votre FAI, alors le probl&egrave;me ne vient
probablement pas de l&agrave;.</p>
</li>
<li>
<p>Le pare-feu c&ocirc;t&eacute; serveur et GRE : le canal de
donn&eacute;es PPTP est transport&eacute; comme une session PPP
encapsul&eacute;e dans GRE (protocole IP 47). Si le pare-feu
derri&egrave;re lequel votre serveur PPTP se trouve ne fait pas
suivre le trafic GRE dans les deux sens, PPTP ne pourra pas
fonctionner. Une fois de plus, si PPTP fonctionne lorsque votre
client IPsec est connect&eacute; directement &agrave; votre FAI,
alors le probl&egrave;me ne vient probablement pas de
l&agrave;.</p>
</li>
<li>
<p>Le patch : si votre client IPsec s'authentifie correctement mais
ne peut pas &eacute;tablir de connexion r&eacute;seau, le patch
peut ne pas masquer le trafic ESP correctement. Si votre client
PPTP &eacute;tablit le canal de contr&ocirc;le (RASMON bipe et le
petit t&eacute;l&eacute;phone clignote) et qu'un trafic GRE est
g&eacute;n&eacute;r&eacute; (la lumi&egrave;re en haut de RASMON
clignote) mais qu'il n'y a pas de trafic GRE en retour (la
lumi&egrave;re en bas de RASMON ne clignote pas en r&eacute;ponse),
le patch peut ne pas masquer le trafic GRE correctement.</p>
<p>Regardez dans <tt class="LITERAL">/var/log/messages</tt> pour
trouver les entr&eacute;es des journaux qui montrent que le trafic
VPN a &eacute;t&eacute; vu. Activez le d&eacute;boguage du VPN pour
vous aider &agrave; d&eacute;terminer si le patch est responsable
ou non. Faites aussi tourner un sniffeur sur votre connexion
internet en cherchant le trafic VPN sortant <span class=
"emphasis"><i class="EMPHASIS">(voir plus bas)</i></span>.</p>
</li>
<li>
<p>Clients multiples : l'ancien patch PPTP ne supporte PAS le
masquage de plusieurs clients PPTP cherchant &agrave;
acc&eacute;der au <span class="emphasis"><i class=
"EMPHASIS">m&ecirc;me</i></span> serveur PPTP. Si vous essayez de
le faire, vous devriez reconsid&eacute;rer votre architecture
r&eacute;seau et voir si vous ne devriez pas installer un routeur
PPTP pour vos clients locaux. Le patch 2.0 inclus le masquage
d'identifiant d'appel, qui permet plusieurs sessions
simultan&eacute;es. <span class="emphasis"><i class="EMPHASIS">Note
:</i></span> n'activez pas le masquage d'identifiant d'appel PPTP
si vous masquez un serveur PPTP. Cela emp&ecirc;cherait le trafic
sortant en provenance du serveur d'&ecirc;tre masqu&eacute;.</p>
</li>
</ol>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN788" id=
"AEN788">D&eacute;pannage</a></h3>
<p>La plupart des probl&egrave;mes peuvent &ecirc;tre
identifi&eacute;s en faisant tourner un sniffeur de paquets (par
exemple <tt class="LITERAL">tcpdump</tt> avec l'option <tt class=
"LITERAL">-v</tt>) sur votre pare-feu passerelle VPN. Si tout
fonctionne correctement, vous allez voir le trafic suivant.</p>
<p></p>
<ul>
<li>
<p>R&eacute;seau local du client :</p>
<p>IPsec : le trafic UDP (destination UDP port 500) et ESP
(protocole IP 50) en provenance de votre client local IPsec
&agrave; destination de l'adresse IP internet de la machine IPsec
distante. Si vous ne le voyez pas, votre client IPsec est mal
configur&eacute;.</p>
<p>PPTP : le trafic TCP (destination TCP port 1723) et GRE
(protocole IP 47) en provenance de votre client local PPTP &agrave;
destination de l'adresse IP internet du serveur PPTP. Si vous ne le
voyez pas, votre client PPTP est mal configur&eacute;.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; FAI de votre pare-feu client : un trafic
UDP et ESP ou TCP et GRE en provenance de l'adresse IP internet du
pare-feu client (souvenez vous, on fait du masquage) vers l'adresse
IP internet du serveur VPN. Si vous ne le voyez pas, votre masquage
est mal configur&eacute;, ou bien le patch ne fonctionne pas.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; FAI de votre pare-feu serveur : un trafic
UDP et ESP ou TCP et GRE en provenance de l'adresse IP internet de
votre client vers l'adresse IP internet du serveur VPN. Si vous ne
le voyez pas, internet ne marche pas <tt class="LITERAL">:)</tt> ou
des &eacute;quipements interm&eacute;diaires bloquent le trafic ESP
ou GRE.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; DMZ de votre pare-feu serveur : un trafic
UDP et ESP ou TCP et GRE en provenance de l'adresse IP internet du
client vers l'adresse IP du serveur. Si vous ne le voyez pas,
v&eacute;rifiez les r&egrave;gles pare-feu concernant le suivi de
paquets UDP port 500 ainsi que ceux porteurs du protocole IP 50 ou
TCP port 1723 et protocole IP 47, ainsi que la configuration
d'<tt class="LITERAL">ipportfw</tt> et de <tt class=
"LITERAL">ipfwd</tt> si vous masquez le serveur.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; interne du pare-feu serveur : un trafic UDP
(port source 500) et ESP ou TCP (port source 1723) et GRE en
provenance de l'adresse IP du serveur VPN et &agrave; destination
de l'adresse IP internet du client. Si vous ne le voyez pas,
v&eacute;rifiez la configuration du serveur VPN, y compris les
r&egrave;gles de filtrage de paquets sur le serveur VPN.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; FAI du pare-feu serveur : un trafic UDP et
ESP ou TCP et GRE en provenance de l'adresse IP du serveur VPN (ou
l'adresse IP du pare-feu si le serveur est masqu&eacute;) vers
l'adresse IP internet du client. Si vous ne le voyez pas,
v&eacute;rifiez les r&egrave;gles de votre pare-feu concernant la
transmission de paquets UDP port 500 ainsi que de ceux porteurs du
protocole IP 50 ou TCP port 1723 et protocole IP 47.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; FAI de votre pare-feu client : un trafic
UDP et ESP ou TCP et GRE en provenance de l'adresse IP du serveur
VPN et &agrave; destination de l'adresse IP internet du pare-feu
client. Si vous ne le voyez pas, internet se r&eacute;volte
encore.</p>
</li>
<li>
<p>Du c&ocirc;t&eacute; r&eacute;seau local client : un trafic UDP
et ESP ou TCP et GRE en provenance de l'adresse IP internet du
serveur VPN &agrave; destination de l'adresse IP sur le
r&eacute;seau local du client VPN. Si vous voyez le trafic UDP mais
pas le trafic ESP, ou bien le trafic TCP mais pas le trafic GRE, le
patch ne fonctionne pas ou n'a pas &eacute;t&eacute;
install&eacute; correctement.</p>
</li>
</ul>
<p>Vous pouvez trouver utile d'activer le d&eacute;boguage du VPN
et de recompiler votre noyau. Ajoutez ce qui suit au fichier
<tt class="LITERAL">/etc/syslog.conf</tt></p>
<pre class="SCREEN">
# d&eacute;boguage
*.=debug           /var/log/debug
</pre>
et regardez <tt class="LITERAL">/var/log/messages</tt> et
<tt class="LITERAL">/var/log/debug</tt> pour les messages
concernant le trafic VPN. Notez que l'enregistrement -
particuli&egrave;rement l'enregistrement bavard (verbose log) - va
engendrer une grande activit&eacute; disque et va faire grossir
tr&egrave;s rapidement les journaux. N'activez pas le
d&eacute;boguage si vous n'en avez pas besoin, et coupez le quand
vous avez fini.</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN821" id="AEN821">Clients MS PTPP et
noms de domaines</a></h3>
<p>Merci &agrave; Charles Curley <a href="mailto:ccurley@trib.com"
target="_top">&lt;ccurley@trib.com&gt;</a> pour ce qui suit :</p>
<pre class="SCREEN">
Si vous utilisez PPTP (Point to Point Tunneling Protocol) 
pour acc&eacute;der &agrave; un environnement R&eacute;seau Microsoft (SMB) et que
vous avez votre propre environnement R&eacute;seau Microsoft sur votre
r&eacute;seau local (Samba ou Windows), donnez &agrave; votre groupe de travail
local un nom qui n'est pas connu dans l'environnement distant.
La raison est que tant que votre client PPTP est connect&eacute;
&agrave; l'environnement distant, il va voir les serveurs de noms de 
domaine de l'environnement distant, et il ne va voir que les machines
distantes appartenant &agrave; ce groupe de travail.

<br>Vous devez &eacute;viter l'option paresseuse. Microsoft livre Windows 
pr&eacute;-configur&eacute; pour un groupe de travail par d&eacute;faut nomm&eacute; WORKGROUP.
Il y a des gens paresseux qui vont garder ce nom pour leur groupe 
de travail quand ils installeront leurs ordinateurs.
Donc il y a une bonne chance pour que l'environnement distant ait
un groupe de travail appel&eacute; WORKGROUP, que cela plaise ou non aux 
administrateurs.
</pre>
<p>Je pense que ceci s'applique ind&eacute;pendamment de
l'utilisation du VPN, car les services de nommage sont
ind&eacute;pendants du transport. Si votre (ou vos) client peut
voir les serveurs WINS sur le r&eacute;seau distant, vous aurez le
probl&egrave;me, avec ou sans PPTP.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN829" id="AEN829">Clients PPTP MS et
IPX Novell</a></h3>
<p>Si vous avez des probl&egrave;mes avec le trafic IPX sur votre
liaison PPTP, lisez les sections 3.5 et 5.2 de cet article de la
base de connaissances MS : <a href=
"http://microsoft.com/ntserver/nts/downloads/recommended/dun13win95/ReleaseNotes.asp"
target=
"_top">http://microsoft.com/ntserver/nts/downloads/recommended/dun13win95/ReleaseNotes.asp</a></p>
<p>Les m&ecirc;mes consid&eacute;rations s'appliquent probablement
&eacute;galement &agrave; W'98.</p>
<p>Merci &agrave; David Griswold <a href=
"mailto:dgriswol@ix.netcom.com" target=
"_top">&lt;dgriswol@ix.netcom.com&gt;</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN836" id="AEN836">Probl&egrave;mes de
mots de passe r&eacute;seau MS</a></h3>
<p>Lorsque vous utilisez un VPN pour acc&eacute;der &agrave; un
r&eacute;seau MS, souvenez-vous qu'il vous faut fournir deux jetons
d'authentification diff&eacute;rents - un pour se connecter au
serveur VPN (le mot de passe VPN) et l'autre pour acc&eacute;der
aux ressources du r&eacute;seau distant une fois que la connexion
est &eacute;tablie (le mot de passe r&eacute;seau).</p>
<p>Le mot de passe VPN - le nom d'utilisateur et le mot de passe
que vous avez entr&eacute; dans votre client VPN lorsque vous avez
initi&eacute; la connexion au serveur VPN - n'est utilis&eacute;
que par le serveur VPN pour vous autoriser &agrave; vous connecter
au r&eacute;seau via le VPN. Il n'est utilis&eacute; pour rien
d'autre une fois que vous &ecirc;tes connect&eacute;.</p>
<p>Le mot de passe VPN n'est <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> utilis&eacute; pour prouver votre
identit&eacute; aux autres ordinateurs du r&eacute;seau distant.
Pour cela vous devez fournir une autre paire nom d'utilisateur/mot
de passe - votre mot de passe r&eacute;seau.</p>
<p>Il y a deux m&eacute;thodes pour fournir un mot de passe
r&eacute;seau. Votre mot de passe r&eacute;seau peut provenir de la
m&ecirc;me paire nom d'utilisateur/mot de passe que celle que vous
utilisez lorsque vous vous connectez sur le r&eacute;seau local en
allumant votre ordinateur. S'il est diff&eacute;rent, vous pouvez
configurer votre client VPN pour vous demander votre mot de passe
pour le r&eacute;seau distant une fois que la connexion VPN est
&eacute;tablie.</p>
<p>Si vous arrivez &agrave; vous connecter au serveur VPN sans
pouvoir acc&eacute;der aux ressources disponibles sur le
r&eacute;seau distant, alors vous n'avez pas fourni une paire nom
d'utilisateur/mot de passe valide sur le r&eacute;seau distant.
V&eacute;rifiez que le nom d'utilisateur et le mot de passe pour
votre r&eacute;seau local fonctionnent aussi sur le r&eacute;seau
distant, ou configurez votre client VPN pour vous demander un nom
d'utilisateur et un mot de passe &agrave; utiliser sur le
r&eacute;seau distant, et pour vous "enregistrer" sur le
r&eacute;seau distant une fois que la connexion VPN est
&eacute;tablie.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN844" id="AEN844">Si votre session
IPsec meurt automatiquement apr&egrave;s un certain laps de
temps</a></h3>
<p>Si vous avez des probl&egrave;mes avec votre tunnel IPsec qui
meurt r&eacute;guli&egrave;rement, plus particuli&egrave;rement si
une v&eacute;rification des enregistrements sur le pare-feu
montrent que des paquets ISAKMP avec des valeurs "zero cookie"
passent, voici ce qui arrive.</p>
<p>Les versions ant&eacute;rieures du patch pour le masquage IPsec
ne changeaient pas le d&eacute;lai de fin d'attente (timeout) pour
les entr&eacute;es de la table de masquage des paquets ISAKMP UDP.
Les entr&eacute;es de la table de masquage pour le trafic ISAKMP
UDP vont arriver en fin d'attente assez rapidement (comparativement
au canal de donn&eacute;es) et vont &ecirc;tre supprim&eacute;es ;
si l'h&ocirc;te IPsec distant d&eacute;cide alors d'initialiser un
renouvellement des cl&eacute;s avant que la machine IPsec locale ne
le fasse, le trafic ISAKMP entrant pour le renouvellement des
cl&eacute;s ne pourra alors pas &ecirc;tre rout&eacute; vers la
machine masqu&eacute;e. Le trafic de renouvellement des cl&eacute;s
sera rejet&eacute;, l'h&ocirc;te IPsec distant pensera que le lien
est tomb&eacute;, et que la connexion va &ecirc;tre
termin&eacute;e.</p>
<p>Le patch 2.0.x a &eacute;t&eacute; modifi&eacute; depuis sa
version initiale pour augmenter le d&eacute;lai de fin d'attente
des entr&eacute;es de la table de masquage concernant les paquets
ISAKMP UDP. R&eacute;cup&eacute;rez la version actuelle du patch,
disponible sur les sites indiqu&eacute;s dans la section
Ressources, r&eacute;-appliquez le patch et recompilez votre
noyau.</p>
<p>V&eacute;rifiez &eacute;galement que votre param&egrave;tre
<tt class="LITERAL">Dur&eacute;e de vie de la table de masquage
IPsec (IPsec Masq Table Lifetime)</tt> est configur&eacute; pour
&ecirc;tre &eacute;gal, ou l&eacute;g&egrave;rement
sup&eacute;rieur, &agrave; votre intervalle de renouvellement des
cl&eacute;s.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN851" id="AEN851">Si le masquage VPN
ne fonctionne pas apr&egrave;s le red&eacute;marrage</a></h3>
<p>Vous souvenez-vous d'avoir mis les commandes <tt class=
"LITERAL">modprobe ip_masq_pptp.o</tt> ou <tt class=
"LITERAL">modprobe ip_masq_ipsec.o</tt> dans votre script de
d&eacute;marrage <tt class="LITERAL">/etc/rc.d/rc.local</tt> au cas
o&ugrave; vous avez compil&eacute; le support de masquage VPN en
modules ?</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN857" id="AEN857">Si votre seconde
session PPTP tue votre premi&egrave;re session</a></h3>
<p><a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">La RFC de PPTP</a> pr&eacute;cise qu'il ne peut y avoir
qu'un seul canal de contr&ocirc;le entre deux syst&egrave;mes. Cela
peut vouloir dire qu'un seul client masqu&eacute; est capable de
contacter un serveur PPTP donn&eacute; &agrave; un instant
donn&eacute;. Regardez pour de plus amples d&eacute;tails.</p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN862" id="AEN862">Notes techniques sur
le masquage IPsec et consid&eacute;rations sp&eacute;ciales sur la
s&eacute;curit&eacute;</a></h2>
<div class="SECT2">
<h3 class="SECT2"><a name="AEN864" id="AEN864">Limites et
faiblesses du masquage IPsec</a></h3>
<p>Le trafic utilisant le protocole AH <span class=
"emphasis"><i class="EMPHASIS">ne peut pas</i></span> &ecirc;tre
masqu&eacute;. Le protocole AH inclut un contr&ocirc;leur
d'int&eacute;grit&eacute; cryptographique qui couvre les adresses
IP, et que la passerelle de masquage ne peut pas
r&eacute;g&eacute;n&eacute;rer correctement. Donc tout le trafic AH
masqu&eacute; va &ecirc;tre rejet&eacute; car il aura des
contr&ocirc;leurs d'int&eacute;grit&eacute; non valides.</p>
<p>Le trafic IPsec utilisant le mode de transport ESP ne peut pas
non plus &ecirc;tre correctement masqu&eacute;. Le mode de
transport ESP crypte tout ce qui se trouve apr&egrave;s
l'ent&ecirc;te IP. Or, par exemple, les contr&ocirc;leurs
d'int&eacute;grit&eacute; de TCP et UDP incluent les adresses IP
source et destination, ils se trouvent dans la partie
crypt&eacute;e, et ne peuvent donc pas &ecirc;tre recalcul&eacute;s
apr&egrave;s que la passerelle de masquage ait modifi&eacute; les
adresses IP. L'ent&ecirc;te TCP/UDP ne va donc pas passer les
contr&ocirc;les d'int&eacute;grit&eacute; sur la passerelle
distante, et le paquet va &ecirc;tre rejet&eacute;. Les protocoles
n'incluant pas les informations sur les adresses IP source ou
destination peuvent utiliser le masquage du mode de transport.</p>
<p>Ces limites mises &agrave; part, le masquage IPsec est s&ucirc;r
et fiable &agrave; condition qu'un seul h&ocirc;te IPsec soit
masqu&eacute; &agrave; un instant donn&eacute;, ou que chaque
h&ocirc;te masqu&eacute; communique avec un serveur distant
diff&eacute;rent. Lorsque plusieurs machines masqu&eacute;es
communiquent avec la m&ecirc;me machine distante, quelques
faiblesses apparaissent :</p>
<p></p>
<ul>
<li>
<p>Les communications du mode transport sont sujettes &agrave;
collisions.</p>
<p>Si deux machines masqu&eacute;es ou plus utilisent le mode
transport pour communiquer avec le m&ecirc;me h&ocirc;te distant,
et si la politique de s&eacute;curit&eacute; sur l'h&ocirc;te
distant permet plusieurs sessions de mode transport avec la
m&ecirc;me machine, il est possible que les sessions aient des
collisions. Ceci arrive parce que l'adresse IP de la <span class=
"emphasis"><i class="EMPHASIS">passerelle de masquage</i></span> va
&ecirc;tre utilis&eacute;e pour identifier les sessions, et que les
autres informations d'identification ne pourront pas &ecirc;tre
masqu&eacute;es puisqu'elles sont dans la portion crypt&eacute;e du
paquet.</p>
<p>Si la politique de s&eacute;curit&eacute; de l'h&ocirc;te
distant n'autorise pas plusieurs sessions simultan&eacute;es en
mode transport avec la m&ecirc;me machine, la situation est pire :
la session en mode transport n&eacute;goci&eacute;e en dernier va
&eacute;craser <span class="emphasis"><i class=
"EMPHASIS">tout</i></span> le trafic de la session
pr&eacute;c&eacute;dente, entra&icirc;nant sa "mort". Alors que les
sessions &eacute;tablies via l'ancienne session IPsec en mode
transport vont &ecirc;tre rapidement r&eacute;initialis&eacute;es
si l'h&ocirc;te distant n'attend pas de trafic, au moins un paquet
de donn&eacute;es va &ecirc;tre envoy&eacute; &agrave; la mauvaise
machine. Ce paquet va probablement &ecirc;tre ignor&eacute; par le
destinataire, mais il va tout de m&ecirc;me &ecirc;tre
envoy&eacute;.</p>
<p><span class="emphasis"><i class="EMPHASIS">Donc une collision du
mode transport peut avoir comme cons&eacute;quence une fuite
d'information entre les deux sessions ou bien la fin de l'une des
deux sessions.</i></span> L'utilisation d'IPsec en mode transport
via une passerelle de masquage <span class="emphasis"><i class=
"EMPHASIS">n'est pas recommand&eacute;e</i></span> s'il y a une
possibilit&eacute; que d'autres sessions IPsec en mode transport
soient initialis&eacute;es via la m&ecirc;me passerelle de masquage
vers le m&ecirc;me h&ocirc;te IPsec distant.</p>
<p>IPsec en mode tunnel avec une adresse de r&eacute;seau externe
(l'h&ocirc;te IPsec masqu&eacute; se voit attribuer une adresse IP
du r&eacute;seau de l'h&ocirc;te distant) n'est <span class=
"emphasis"><i class="EMPHASIS">pas</i></span> sujet &agrave; ces
probl&egrave;mes, car l'adresse IP fournie par le r&eacute;seau
distant sera utilis&eacute;e pour identifier les sessions
plut&ocirc;t que l'adresse IP de la machine masquante.</p>
</li>
<li>
<p>Les communications ISAKMP sont sujettes &agrave; des collisions
de cookies.</p>
<p>Si deux ou plusieurs machines masqu&eacute;es &eacute;tablissant
une session avec la m&ecirc;me machine distante utilisent le
m&ecirc;me cookie lors de l'initialisation du trafic ISAKMP, la
passerelle de masquage va router tout le trafic ISAKMP vers la
seconde machine. Il y a une chance sur 2&circ;64 (ie. tr&egrave;s
petite) pour que cette collision ait lieu lorsque la connexion
ISAKMP initiale est &eacute;tablie.</p>
<p>Pour corriger cela, il faut inclure le cookie de r&eacute;ponse
dans la cl&eacute; utilis&eacute;e pour router le trafic ISAKMP
entrant. Cette modification est incluse dans le code de masquage
IPsec des noyaux 2.2.x, et la courte p&eacute;riode entre le moment
o&ugrave; l'h&ocirc;te masqu&eacute; initialise l'&eacute;change
ISAKMP et la r&eacute;ponse de l'h&ocirc;te distant est
prot&eacute;g&eacute;e par le bloquage de tout nouveau trafic
ISAKMP qui pourrait entrer en collision avec le trafic actuel.
Cette modification va bient&ocirc;t &ecirc;tre port&eacute;e sur le
code des 2.0.x.</p>
</li>
<li>
<p>Il peut y avoir une collision entre les valeurs SPI du trafic
entrant.</p>
<p>Deux ou plusieurs h&ocirc;tes IPsec masqu&eacute;s communiquant
avec la m&ecirc;me machine IPsec distante peuvent n&eacute;gocier
pour utiliser la m&ecirc;me valeur SPI pour le trafic entrant. Si
cela arrive, la passerelle de masquage va router tout le trafic
entrant vers la premi&egrave;re machine qui va recevoir tout le
trafic entrant avec ce SPI. La probabilit&eacute; est de 1 sur
2&circ;32 pour chaque session ESP, et le cas peut se
pr&eacute;senter &agrave; chaque renouvellement de cl&eacute;s.</p>
<p>Les valeurs SPI sont rattach&eacute;es &agrave;
diff&eacute;rents SA ayant diff&eacute;rentes cl&eacute;s de
cryptage, le premier h&ocirc;te ne sera donc pas capable de
d&eacute;crire les donn&eacute;es destin&eacute;es aux autres
machines, donc il n'y aura aucune fuite de donn&eacute;es. Il n'y a
aucun moyen pour la passerelle de masquage de d&eacute;tecter ou
d'emp&ecirc;cher cette collision. La seule fa&ccedil;on
d'emp&ecirc;cher cette collision est que l'h&ocirc;te IPsec distant
v&eacute;rifie la valeur SPI propos&eacute;e par la machine
masqu&eacute;e pour voir si cette valeur SPI est d&eacute;j&agrave;
utilis&eacute;e par un autre SA depuis la m&ecirc;me adresse IP. Il
est peu probable que ceci soit impl&eacute;ment&eacute; un jour,
car cela imposerait une charge suppl&eacute;mentaire &agrave; une
op&eacute;ration d&eacute;j&agrave; co&ucirc;teuse (le
renouvellement des cl&eacute;s) pour un b&eacute;n&eacute;fice
concernant un nombre r&eacute;duit de personnes et un type
d'&eacute;v&egrave;nement assez rare.</p>
</li>
<li>
<p>Les valeurs SPI entrantes et sortantes peuvent &ecirc;tre
dissoci&eacute;es.</p>
<p>Ceci sera vu en d&eacute;tail dans la section suivante.</p>
</li>
</ul>
<p>Pour &eacute;viter ces probl&egrave;mes, le code des noyaux
2.2.x emp&ecirc;che par d&eacute;faut l'&eacute;tablissement de
plusieurs connexions vers la m&ecirc;me machine distante. Si vous
estimez que la faiblesse li&eacute;e &agrave; plusieurs connexions
vers la m&ecirc;me machine distante est acceptable, vous pouvez
activer les "sessions parall&egrave;les".</p>
<p>Il peut &ecirc;tre g&ecirc;nant de bloquer pour des raisons de
s&eacute;curit&eacute; les sessions parall&egrave;les : il n'y a
aucun moyen pour le code de masquage IPsec de sniffer la session et
de voir quand elle se termine, donc les entr&eacute;es de la table
de masquage vont &ecirc;tre conserv&eacute;es pendant leur
dur&eacute;e de vie standard, m&ecirc;me si la session se termine
juste apr&egrave;s qu'elle ait &eacute;t&eacute; &eacute;tablie. Si
l'on emp&ecirc;che les sessions parall&egrave;les, cela signifie
que le serveur n'acceptera pas d'autre client tant que
l'entr&eacute;e de la table de masquage la plus r&eacute;cente sera
pr&eacute;sente. Cela peut prendre plusieurs heures.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN896" id="AEN896">Routage correct du
trafic crypt&eacute; entrant</a></h3>
<p>La partie de l'&eacute;change de cl&eacute;s ISAKMP o&ugrave;
les valeurs SPI d'ESP sont communiqu&eacute;es est crypt&eacute;e,
donc les valeurs SPI d'ESP doivent &ecirc;tre
d&eacute;termin&eacute;es en &eacute;tudiant le trafic ESP actuel.
Le trafic ESP sortant ne contient aucune indication sur ce que sera
le SPI entrant. Cela signifie qu'il n'y a aucune m&eacute;thode
fiable pour associer le trafic ESP entrant avec le trafic ESP
sortant.</p>
<p>Le masquage IPsec tente d'associer le trafic ESP entrant et
sortant en s&eacute;rialisant le trafic ESP par machine distante.
Concr&egrave;tement :</p>
<p></p>
<ul>
<li>
<p>Si un paquet ESP sortant avec une valeur SPI qui n'a pas encore
&eacute;t&eacute; vue (ou dont l'entr&eacute;e dans la table de
masquage a expir&eacute;) est re&ccedil;u (il sera appel&eacute;
par la suite un "paquet initial"), une entr&eacute;e dans la table
de masquage est cr&eacute;&eacute;e pour cette combinaison
AdresseSource+SPI+AdresseDest. Elle est marqu&eacute;e comme "en
attente", ce qui signifie qu'aucun trafic correspondant &agrave;
cette entr&eacute;e n'a &eacute;t&eacute; pour l'instant
re&ccedil;u. Le marquage se fait en mettant la valeur "SPI entrant"
dans l'entr&eacute;e de la table de masquage &agrave; z&eacute;ro,
qui est une valeur r&eacute;serv&eacute;e pour cela. Ceci arrivera
lors de l'initialisation d'une nouvelle connexion ESP et &agrave;
intervalles r&eacute;guliers lors du renouvellement de cl&eacute;s
d'une connexion ESP existante.</p>
</li>
<li>
<p>Tant que l'entr&eacute;e de la table de masquage est en attente,
aucun autre paquet ESP initial &agrave; destination du <span class=
"emphasis"><i class="EMPHASIS">m&ecirc;me h&ocirc;te
distant</i></span> n'est trait&eacute;. Les paquets sont
imm&eacute;diatement rejet&eacute;s, et une entr&eacute;e du
journal syst&egrave;me est ajout&eacute;e, pr&eacute;cisant que le
trafic est temporairement bloqu&eacute;. Ceci s'applique
&eacute;galement au trafic initial en provenance de la m&ecirc;me
machine masqu&eacute;e &agrave; destination du m&ecirc;me
h&ocirc;te distant, si les valeurs SPI sont diff&eacute;rentes. Le
trafic vers d'autres h&ocirc;tes distants, et le trafic o&ugrave;
les deux valeurs SPI sont connues (trafic d&eacute;j&agrave;
"&eacute;tabli") n'est pas affect&eacute;.</p>
</li>
<li>
<p>Ceci peut facilement mener &agrave; un d&eacute;ni de service
sur la machine distante, c'est pour cela que la dur&eacute;e de vie
de cette entr&eacute;e en attente de la table de masquage ESP est
faible, et que seul un nombre limit&eacute; de tentatives pour le
m&ecirc;me trafic est autoris&eacute;. Ceci permet de faire un
acc&egrave;s via round-robin &agrave; la machine distante si
plusieurs machines masqu&eacute;es tentent d'initialiser
simultan&eacute;ment la connexion et que les r&eacute;ponses
n'arrivent pas tr&egrave;s vite, par exemple &agrave; cause d'une
congestion r&eacute;seau, ou d'une machine distante lente. Le
d&eacute;compte des tentatives commence d&egrave;s qu'il y a une
collision, donc l'h&ocirc;te IPsec masqu&eacute; peut attendre une
r&eacute;ponse aussi longtemps qu'il le faut jusqu'&agrave; ce
qu'il soit n&eacute;cessaire de faire une mise en s&eacute;rie des
connexions.</p>
</li>
<li>
<p>Quand un paquet ESP est re&ccedil;u en provenance de
l'h&ocirc;te distant en attente, et que la valeur SPI
n'appara&icirc;t dans aucune entr&eacute;e de la table de masquage,
il est suppos&eacute; que le paquet est la r&eacute;ponse au paquet
en attente initial. La valeur SPI est stock&eacute;e dans
l'entr&eacute;e courante de la table de masquage associant les
valeurs SPI, et le trafic ESP entrant est alors rout&eacute; vers
la machine masqu&eacute;e. A ce point un autre paquet initial
destin&eacute; au serveur distant peut &ecirc;tre
trait&eacute;.</p>
</li>
<li>
<p>Tout trafic ESP avec une valeur SPI de z&eacute;ro est
rejet&eacute; comme &eacute;tant invalide, conform&eacute;ment au
RFC.</p>
</li>
</ul>
<p>Il y a plusieurs possibilit&eacute;s pour que l'association de
trafic ne se fasse pas proprement :</p>
<p></p>
<ul>
<li>
<p>La latence du r&eacute;seau ou la lenteur d'une machine distante
peuvent retarder suffisamment la r&eacute;ponse au paquet initial
pour que l'entr&eacute;e de la table de masquage ait expir&eacute;,
et qu'une autre machine masqu&eacute;e ait eu sa chance
d'initialiser un trafic. Ceci peut faire que la r&eacute;ponse sera
associ&eacute;e au mauvais SPI sortant, et donc le trafic entrant
sera rout&eacute; vers la mauvaise machine masqu&eacute;e. Si cela
arrive, la machine masqu&eacute;e recevant le trafic par erreur le
rejettera parce qu'il n'aura pas la valeur SPI attendue, et tout le
monde risque de patienter jusqu'&agrave; la fin du temps d'attente
pour faire un nouvel &eacute;change de cl&eacute;s, et
r&eacute;essayer. On peut y rem&eacute;dier en &eacute;ditant
<tt class="LITERAL">/usr/src/linux/net/ipv4/ip_masq.c</tt>
(<tt class="LITERAL">ip_masq_ipsec.c</tt> dans le 2.2.x) et en
augmentant la dur&eacute;e de vie d'INIT ou le nombre de tentatives
INIT autoris&eacute;es, avec pour co&ucirc;t l'agrandissement de la
fen&ecirc;tre de bloquage (et de d&eacute;ni de service).</p>
</li>
<li>
<p>Les sessions inactives ou semi-inactives (avec un trafic entrant
peu fr&eacute;quent et aucun trafic sortant) sur une longue
p&eacute;riode peuvent le rester suffisamment longtemps pour que
l'entr&eacute;e de la table de masquage expire. Si la machine
distante envoie du trafic d'une session ayant d&eacute;j&agrave;
expir&eacute; au niveau de la table de masquage pendant qu'une
initialisation est en cours vers la m&ecirc;me machine, le trafic
peut &ecirc;tre incorrectement rout&eacute;, pour la m&ecirc;me
raison que plus haut. On peut y rem&eacute;dier en s'assurant que
le param&egrave;tre de configuration du noyau <tt class=
"LITERAL">IPsec Masq Table Lifetime</tt> est
l&eacute;g&egrave;rement plus grand que l'intervalle de
renouvellement des cl&eacute;s, qui est la dur&eacute;e la plus
longue que les paires SPI peuvent utiliser. Le probl&egrave;me ici
est que vous ne pouvez pas conna&icirc;tre tous les intervalles de
renouvellement des cl&eacute;s si vous masquez plusieurs serveurs
distants, ou que certains peuvent avoir leurs intervalles de
renouvellement des cl&eacute;s positionn&eacute;s &agrave; des
valeurs d&eacute;raisonnablement &eacute;lev&eacute;es, comme
plusieurs heures.</p>
</li>
<li>
<p>S'il y a un d&eacute;lai entre un renouvellement de cl&eacute;s
et la transmission du trafic ESP sortant utilisant le nouveau SPI,
et si durant ce d&eacute;lai un trafic ESP entrant utilisant ce
nouveau SPI est re&ccedil;u, il n'y a pas d'entr&eacute;e de la
table de masquage d&eacute;crivant comment router le trafic
entrant. Si une autre machine masqu&eacute;e a une initialisation
en attente avec le m&ecirc;me h&ocirc;te distant, le trafic va
&ecirc;tre dissoci&eacute;. Notez que la s&eacute;rialisation du
trafic ESP initial n'affecte <span class="emphasis"><i class=
"EMPHASIS">pas</i></span> le trafic de renouvellement des
cl&eacute;s ISAKMP.</p>
</li>
</ul>
<p>La meilleure solution est d'avoir un moyen de pr&eacute;-charger
la table de masquage avec les bonnes paires
SPI-sortie/SPI-entr&eacute;e, ou une autre forme d'association
machine_distante + SPI_entr&eacute;e avec la
machine_masqu&eacute;e. Cela ne peut pas &ecirc;tre fait en suivant
l'&eacute;change de cl&eacute;s ISAKMP, car il est crypt&eacute;.
Il peut &ecirc;tre possible d'utiliser RSIP (&eacute;galement connu
en tant que Translation d'Adresse R&eacute;seau pour un h&ocirc;te
(NdT : Host-NAT)) pour communiquer avec l'h&ocirc;te IPsec
masqu&eacute; et demander une notification sur les informations SPI
une fois que la n&eacute;gociation a eu lieu. Ce point est &agrave;
&eacute;tudier. Si quelque chose est fait pour
l'impl&eacute;menter, ce ne sera pas fait avant les s&eacute;ries
2.3.x, car RSIP est un protocole NAT client/serveur assez
complexe.</p>
<p>Quand un paquet ESP entrant avec un nouveau SPI est re&ccedil;u,
le pare-feu de masquage tente de deviner &agrave; quel(s)
h&ocirc;te(s) masqu&eacute;(s) ce trafic entrant est
destin&eacute;. Si le trafic ESP entrant ne correspond pas &agrave;
une session &eacute;tablie, ou &agrave; une session en cours
d'initialisation, alors le paquet est envoy&eacute; &agrave; la
(aux) machine(s) masqu&eacute;e(s) qui a (ont) renouvel&eacute; en
dernier ses (leurs) cl&eacute;s avec cet h&ocirc;te distant. Les
machines masqu&eacute;es "incorrectement" vont rejeter le trafic
comme n'&eacute;tant pas correctement crypt&eacute;, et la machine
"correctement" masqu&eacute;e va recevoir des donn&eacute;es.
Lorsque la machine "correctement" masqu&eacute;e r&eacute;pond, le
processus normal de s&eacute;rialisation de l'initialisation ESP a
lieu.</p>
</div>
</div>
</div>
</body>
</html>