Auteur : MICJ 23/02/2004 Mise en page PDF: Anapivirtua 06/07/2005

Vos debuts
sous:
IPCop
Auteur : MICJ
23/02/2004
Mise en page PDF: Anapivirtua
06/07/2005
IPCop Installation:
Remarque préliminaire: Dans le but de simplifier la lecture et de ne pas compliquer la compréhension générale de ce
manuel, certains termes ont été volontairement maintenus en anglais et non francisé outrageusement. Si malgré tout un
terme peut prêter à confusion, un glossaire pourrait être rajouté en fin de ce manuel !
Introduction:
IPCop Linux est une distribution Linux complète dont le seul but est de protéger le réseau sur lequel il est installé. En
implémentant une technologie existante, une nouvelle technologie excellente et des pratiques de programmations
sécurisées, IPCop est la Distribution Linux destinée à ceux qui veulent maintenir leurs réseaux et ordinateurs en sécurité
et fonction. IPCop est open source et est distribuée sous les termes de GNU GPL.
En plus des multiples avantages évident de la formule Open Source, le fait que les sources soit disponibles permet à des
experts en sécurités du monde entier de contrôler et de corriger des trous de sécurités.
Ce programme peut être utilisé sur de vieux PC de récupération. Pour plus d’informations sur les exigences matérielles
de IPCop, il convient de se référer à la liste de compatibilité matérielle de IPCop.
Caractéristiques:
–
Un Firewall basée sur une plate-forme Linux sécurisée, stable et hautement configurable
- Un serveur web permettant une administration aisée du Firewall
- Un client DHCP qui permet à IPCop de manière optionnelle d’obtenir une adresse IP de son ISP
- Un serveur DHCP qui aide à la configuration de son réseau interne.
- Un serveur proxy pour le DNS qui permettra une accélération des requêtes DNS
- Un serveur cache pour le web qui autorisera un accès plus rapide au web.
- Un système de détection des intrusions (IDS) pour identifier les attaques externes vers votre réseau.
- La possibilité de partager votre réseau en un réseau GREEN (GREEN), sécurisé et protégé de l’Internet, et en une
zone démilitarisée (DMZ) ou réseau orange (ORANGE) qui contiendra les serveurs accessibles au public et
partiellement protégé de l’internet.
- Un VPN qui permet de connecter votre réseau interne sur un autre réseau privé en utilisant l’Internet pour ne
former qu’un seul réseau logique.
Synthèse:
Vous allez installer un système d’exploitation sur le PC dédicacé à IPCop. Ce système d’exploitation est basé sur Linux
mais n’est pas supposé être ce qu’on peut qualifier de système d’exploitation générique. La conception même du
Firewall impose d’éliminer le plus de fonctionnalités possibles du système d’exploitation.
L’idée principale est que plus le code utilisé pour le Firewall est important, plus le risque de vulnérabilité aux attaques
est grand. Il ne faut pas espérer trouver des fonctionnalités telle que SendMail ou un serveur FTP. Ceux-ci ne sont pas
nécessaires dans un Firewall et peuvent contenir des trous de sécurité bien connus de certains utilisateurs malveillants.
Quoique ces instructions puissent sembler longues et parfois relativement détaillées, prenez à cœur des les parcourir.
Dès que vous aurez compris ce que vous allez entreprendre et que vous disposerez des paramètres de votre
configuration, l’installation d’IPCop pourra être terminée en 15 minutes maximum.
Vous devrez démarrer votre PC à partir du support d’installation ou d’une disquette. Le support d’installation est
distribué sous forme d’un fichier de type iso. Si vous disposez d’un graveur de CD, il vous faudra créer un CD de
démarrage à partir de ce fichier iso. Si il ne vous est pas possible de graver de CD, il vous faudra placer les fichiers de
cette image iso sur un serveur web
ou FTP. Si le PC que vous destinez à IPCop ne peut pas démarrer à partir du CD, il vous faudra créer une disquette de
démarrage
PREPAREZ VOUS A L'INSTALLATION:
Décider de votre configuration:
Interfaces réseau
IPCop permet de définir maximum trois interfaces réseaux, RED, GREEN et ORANGE.
Interface réseau GREEN
Cette interface n’est connectée qu’aux ordinateurs qu’IPCop va protéger. Elle est supposée être locale. Le trafic vers
celle-ci est routé au travers d’une interface réseau de type Ethernet.
Interface réseau ORANGE
Ce réseau optionnel vous permet de connecter des serveurs accessibles par le public sur un réseau séparé. Les
ordinateurs connectés à ce réseau ne sont pas autorisés à accéder au réseau GREEN, excepté via des passerelles « DMZ
» sous étroite surveillance. Le trafic vers ce réseau est routé au travers d’une carte d’interface réseau de type Ethernet.
L’interface réseau ORANGE doit être
différente de l’interface réseau GREEN.
Interface réseau RED
Ce réseau est soit l’Internet soit tout autres réseaux non fiables. La première tâche d’IPCop est la protection des réseaux
ORANGE et GREEN, ainsi que des ordinateurs connectés à ces réseaux de tout trafic provenant du réseau RED. Votre
méthode de connexion actuelle et votre matériel vous servent à vous connecter à ce réseau. Le matériel en question peut
être une interface
Ethernet, un modem analogique, un modem ISDN ou un modem ADSL USB.
Configuration réseau
Il y a deux combinaisons autorisés par IPCop. La configuration GREEN, RED est la combinaison habituellement
utilisée dans le cadre d’une connexion à domicile ou pour des petites entreprises.
La configuration GREEN, ORANGE, RED est utilisée uniquement lorsque vous désirez rendre certains serveurs
disponibles au public. Vous devrez décider quel type de combinaison vous désirez pour votre site.
Type de Configuration réseau
Comme l’interface RED peut être connectée indifféremment par un modem ou par une interface Ethernet, quatre types
configurations Réseau sont possibles:
* GREEN (RED étant le modem/ISDN)
* GREEN + ORANGE (RED étant le modem/ISDN)
* GREEN + RED (RED étant Ethernet)
* GREEN + ORANGE + RED (RED étant Ethernet)
Connexion sur l’Internet ou sur un réseau Externe
Comment êtes-vous actuellement connecté à l’Internet?
Si vous êtes connecté au travers d’un modem externe ou d’un routeur, vous êtes probablement connecté via une interface
réseau Ethernet ou NIC. Dans n’importe quel cas, une carte similaire doit être installée dans votre PC IPCop. Si par
contre, vous êtes connecté via un modem interne analogique, un modem ISDN (ou RNIS) ou un modem ADSL USB,
celui-ci devra être déplacé dans le PC IPCop.
Ce matériel sera utilisé pour votre interface réseau RED.
Prenez le temps de noter quelques paramètres clés concernant votre interface actuelle:
* Vérifier comment vous obtenez actuellement votre adresse IP: statique, DHCP, PPPOE ou PPTP.
* Si vous obtenez votre adresse IP via DHCP, vérifier si votre système a un nom de machine qu’il fournit au serveur
DHCP de votre ISP, se référencer à la section Vérifier votre nom de système DHCP.
Vérifiez votre nom de serveur DHCP
Si vous ne savez pas si votre ISP nécessite un nom de serveur ou si vous ne savez pas ce que c’est, il convient de se
référer aux documents de votre ISP accompagnant votre kit d’installation ou de contacter le centre de support pour
demander cette information.
Si cela ne suffit pas, vous pouvez encoder la commande suivante sur une plate-forme *nix « ifconfig –a » et regarder
l’adresse IP de votre interface eth0. Sur une plate-forme Windows 95, 98, ME, … la commande est « winipcfg » qu’il
convient d’encode au niveau de la ligne de commande. En Windows NT et Windows 2000, la commande est « ipconfig /
all »
Dans tous les cas, il faut noter l’adresse IP de votre interface réseau et utiliser la commande « nslookup adresse_IP » en
remplaçant évidemment adresse_IP par l’adresse obtenue précédemment. Si vous obtenez alors une réponse, noter le
nom de serveur complet reçu.
Quelles adresses IP utiliser pour votre réseau local?
C’est maintenant qu’il faut décider quel intervalle d’adresses IP votre réseau local ou GREEN va avoir. Ceci n’est pas
l’adresse IP fournies par votre ISP. Les adresses IP présentes sur cette interface ne seront pas connues sur Internet.
IPCop utilise une technique appelée Port Address Translation, PAT, pour cacher les machines présentes sur le réseau
GREEN à toute vue de l’extérieur. Pour être sûr que les adresses IP n’entrent pas en conflit, il est suggéré de choisir un
intervalle d’adresses tel que définis dans la RFC1918 comme étant des adresses privées (en réalité ces adresses ne
peuvent être routées) Il y a plus de 65000 intervalles d’adresses disponibles, il suffit d’en choisir un. Pour obtenir une
liste des intervalles d’adresses utilisables vous pouvez vous référer à l’Annexe A. Le réseau le plus simple à utiliser est
le réseau 192.168.1.xxx. Celui-ci va permettre à IPCop de supporter jusqu’à 250 ordinateurs sur le réseau GREEN.
Généralement les routeurs et firewalls sont placés au début ou à la fin de l’intervalle d’adresses choisies, il est donc
logique d’opter pour l’interface GREEN de votre serveur IPCop l’adresse 192.168.1.1. IPCop va automatiquement fixer
le masque réseau sur base de l’adresse IP donnée mais il est possible de modifier cela si besoin est.
Collecter les informations concernant votre matériel:
Bien que IPCop scannera votre machine pour identifier automatiquement les différentes cartes d’interface réseau, il peut
être nécessaire d’encoder manuellement les paramètres individuels d’une carte d’interface réseau lors de l’installation.
Dans ce cas, le type, adresse IO et l’IRQ de cette carte seront nécessaires.
La manière la plus simple de configurer les carte ou de trouver ces informations est d’utiliser le programme de
configuration fournis en standard avec la carte. Ce programme réside normalement sur disquette. Si vous ne le détenez
pas, le mieux est de se reporter au site Web du constructeur.
Si vous disposez d’un modem ISDN interne, IPCop va automatiquement l’examiner. A nouveau, si IPCop ne peut
déterminer les informations relatives au modem, il vous sera nécessaire de fournir ces informations (type, adresse IO et
IRQ) La manière la plus simple de configurer le modem ou de déterminer ces informations est à nouveau d’utiliser le
programme sur disquette
fourni avec la modem ou de visiter le site Web du constructeur. Vous devrez également avoir le nom du pays ainsi que
le protocole de connexion ainsi que le numéro local d’appel du modem.
Si vous disposez d’un modem USB ADSL, IPCop va l’examiner pour en déterminer le type. Si cela ne réussit pas, il
faudra fournir le type de contrôleur lors de l’installation.
PREPARATION DU PC D'IPCOP:
Avant de vous procurer le PC pour IPCop, vérifier que ce PC se trouve bien dans la Hardware Compatibility List.
Ajouter dans le PC en question, toutes les cartes réseau nécessaire pour supporter votre configuration. Il vous faudra une
carte réseau de type Ethernet pour l’interface GREEN. Si vous avez opté pour une interface ORANGE, il vous faudra
une autre carte réseau. Si votre interface RED est aussi une connexion Ethernet, il vous faudra également une carte
réseau Ethernet pour celle-ci.
Ajouter le carte modem ISDN si nécessaire.
Durant l’installation un moniteur est nécessaire sur le PC IPCop. IPCop reste en mode caractère, donc à peu près
n’importe quel modèle de moniteur peut être utilisé. Ce moniteur peut être retiré par la suite. Un clavier est aussi
nécessaire. Si votre BIOS permet de désactiver la détection du clavier, celui-ci peut aussi être retiré après l’installation.
Régler les paramètres de votre BIOS pour que le PC IPCop se comporte le plus possible comme un serveur indépendant.
Par exemple :
- Désactiver les options de sauvegarde d’énergie du CPU ; ce PC doit s’activer à la moindre activité sur une carte réseau
et/ou sur les modems. Il est plus simple et plus sûr de désactiver l’option de sauvegarde d’énergie. On peut par contre
laisser l’option de sauvegarde d’énergie activée sur le vidéo.
- Activer l’option du BIOS permettant un démarrage en cas d’alimentation.
- Désactiver le test BIOS du clavier, si possible.
- Positionner l’état de l’alimentation sur un redémarrage en cas de problème d’alimentation.
Ceci va garantir un redémarrage en cas de rupture d’alimentation.
Décider du type d’installation et préparer le média d’installation
Se procurer une image ISO dans rubrique téléchargement d'ixus.net. La taille de cette image est de 28 mégabytes à peu
près.
Il y a trois moyens possibles pour installer IPCop :
- CD Rom amorçable
- Disquette de démarrage avec CD Rom
- Disquette de démarrage avec serveur FTP/Web
Si votre PC IPCop est pourvu d’un lecteur de CD Rom et que son BIOS lui permet de démarrer à partir de ce lecteur,
vous pouvez utiliser le CD amorçable comme média d’installation. Le lecteur CD pourra être retire après installation.
Si votre PC IPCop comporte à la fois un lecteur de disquette et un lecteur de CD Rom et si votre BIOS ne permet pas de
démarrer le PC à partir du CD, l’option « Disquette de démarrage avec CD » peut être utilisée. Le lecteur de disquette
ainsi que le lecteur de CD Rom peuvent être démonté après l’installation.
Finalement, si votre PC IPCop n’a qu’un lecteur de disquette ou que vous ne disposez pas d’un graveur de CD Rom,
l’option “Disquette de démarrage avec serveur FTP/Web” est à envisager. A nouveau le lecteur de disquette peut être
démonté après l’installation.
Graver le CD Rom
Si vous avez un graveur de CD, utiliser votre programme habituel pour la gravure pour transférer l’image ISO sur un
CD Rom. Prenez garde au fait que l’image de CD disponible est une image complète d’un CD Rom. Dans beaucoup de
programmes de gravure, il peut être difficile de trouver l’option « Graver un CD d’une image ISO ou Disk » (« Burn a
CD from ISO or Disk Image ») Cette option peut ne pas se trouver sous le menu le plus trivial. Si vous n’obtenez après
la gravure qu’un seul fichier sur le CD Rom, vous n’aurez pas créé le CD Rom de manière correcte.
Monter l’image ISO
Si vous ne disposez pas d’un graveur de CD, ne paniquez pas. Vous pouvez toujours installer IPCop seulement un petit
surcroît de travail sera nécessaire. Ce qu’il reste à faire, dépend en grande partie du matériel et du système
d’exploitation de vos autres ordinateurs.
Linux
Si vous disposez d’une machine Linux ou Unix, il vous est possible de monter l’image du CD en utilisant la commande
suivante :
losetup /dev/loop0 /path/to/IPCop/iso
Cette commande associe un périphérique de type loop au fichier ISO d’IPCop.
mount –r –t iso9660 /dev/loop0 /mnt/cdrom
Cette dernière commande va permettre d’attacher le fichier ISO d’IPCop au système de fichier
*nix.
L’image sur CD Rom va dès lors être accessible sous /mnt/cdrom.
Remarque : sur la majorité des systèmes ; il sera nécessaire d’avoir des autorisations root ou d’utiliser sudo pour monter
le système de fichier
Windows
Il existe plusieurs utilitaires tels que ISOBuster et WinImage disponibles sur Internet qui vont vous permettre d’accéder
au contenu de l’image ISO. Le mieux est de télécharger un de ces utilitaires et de suivre les indications qu’il donne pour
ouvrir le fichier ISO d’IPCop.
Macintosh
Sur Macintosh OS X, l’utilitaire Disk Copy d’Appel permet d’ouvrir une image iso. Il ne semble pas exister d’utilitaire
capable d’exécuter cette opération sur des systèmes Mac antérieur à OS X.
Créer une disquette à partir des images.
Si votre PC IPCop dispose d’un lecteur de CD-Rom mais que votre BIOS ne vous permet pas de démarrer à partir d’un
CD Rom, il faudra créer une disquette de démarrage. Si votre PC IPCop ne dispose pas de lecteur de CD Rom, il faudra
créer à la fois une disquette de démarrage et une disquette contenant les différents gestionnaires de périphériques
(drivers) Les images sont localisées dans le répertoire /images de l’image Iso.
VPN HOWTO (Version française issue du site d'IPCop):
Introduction
Le VPN mis en oeuvre par IPCop est une implémentation standard de VPN IPSec.
Cette implémentation est légèrement simplifiée par l'utilisation de clés manuelles.
Le service ainsi offert est très satisfaisant pour de petites installations mais requiert une certaine rigueur pour changer
régulièrement les clés de cryptage.
L'implémentation actuelle du VPN par IPCop ne conviendra toutefois pas pour des installations à grande échelle et ne
pourra pas offrir un usage nomade (" road warrior ").
Quelques modifications sont nécessaires afin de mettre en place de telles configurations de VPN plus évoluées.
Cependant, ces limitations n'empêchent pas l'environnement IPCop d'être hautement utile dans le cadre du déploiement
de VPN sur DSL ou lignes louées entre différents bureaux locaux.
Concepts de base
Le concept de VPN (Réseau Privé Virtuel) est très simple.
Il s'agit de créer un canal de communication protégé traversant un espace public non protégé.
On pourrait faire une analogie avec un véhicule blindé voyageant sur le réseau routier.
Pratiquement, la mise en place d'un VPN ne nécessite que peu de composants, comme l'illustre le schéma ci-dessous:
Sur ce schéma apparaissent deux intranets privés connectés via un VPN au travers de l'Internet public.
Le VPN est créé grâce aux deux passerelles VPN ("VPN Gateways").
Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP ordinaire et en le transportant
vers un autre réseau.
Quand le paquet arrive au réseau de destination, il est décapsulé et délivré à la machine appropriée de ce réseau.
En encapsulant les données et en utilisant des techniques de cryptographie, les données sont protégées de l'écoute et de
toute modification pendant leur transport au travers du réseau public.
Malheureusement, cette protection rend difficile la mise en place d'un VPN quand le périmètre de sécurité (intranet
privé) est protégé par un firewall faisant de la translation d'adresses (ce que fait IPCop). La solution est d'implémenter le
VPN sur le firewall et de l'autoriser à traverser les deux extrémités. Ainsi il peut capturer les paquets du réseau vert et
les transférer, encapsulés, au travers de l'Internet sans être modifiées par la translation d'adresse du firewall.
Détails essentiels de l'implémentation
Afin de mettre en place un VPN, quelques pré-requis sont nécessaires à son bon fonctionnement:
•
•
•
•
Une bonne connectivité entre les deux machines IPCop (peu de paquets perdus).
Tous les réseaux connectés par le VPN doivent être dans des plages d'adresses IP propres et ne se chevauchant
pas.
Le routage doit être correctement configuré pour s'adapter au VPN.
Les informations doivent être récoltées précisément pour chaque extrémité du VPN.
Une bonne connectivité est indispensable car s'il y a trop de paquets perdus ou une latence trop importante, les
performances du VPN en souffriront immédiatement. Le VPN tente continuellement de maintenir la connexion et de la
rétablir si elle avait été coupée. Il ne peut cependant pas faire de miracle quand le réseau au travers duquel il voyage est
cassé. La connectivité peut être testée grâce à une combinaison de "ping" et de "traceroute". "Ping" doit rapporter un
faible taux de paquets perdus et "traceroute" doit montrer un routage fiable.
Il est indispensable que chaque réseau connecté par le VPN ait une plage d'adresse IP qui lui soit propre et qui n'en
chevauche pas une autre. Par exemple, si un des réseaux est 192.168.0.0/24 et l'autre réseau 192.168.0.128/25, la
connexion VPN ne pourra pas fonctionner. Cependant, si cet autre réseau était 192.1 68.1.0/25, le VPN fonctionnerait
car les plages d'adresses ne se chevauchent pas.
Lors de la configuration d'un VPN, le routage est une autre source d'erreur. Il est important que toutes les machines
devant communiquer au travers du VPN soient configurées de sorte que les routes spécifiques au VPN soient connues et
correctement définies. Une méthode consiste à utiliser un routeur comme passerelle par défaut et de rerouter le trafic
adéquat à partir de ce routeur.
Le premier avantage de cette technique est que les routes sont contrôlées en un endroit unique.
Les inconvénients sont que s'il s'agit d'un réseau non switché, il pourrait y avoir des congestions réseau supplémentaires
et que le routeur est un point unique de défaillance. S'il n'existe aucun routeur interne, la machine IPCop sera
généralement route par défaut pour le réseau et pourra être utilisée comme routeur général.
Afin de mettre en oeuvre le VPN sur un firewall IPCop, trois éléments d'information essentiels doivent être collectés
pour chaque extrémité du VPN (voyez ci-dessous).
Ces trois éléments d'information essentiels sont : l'adresse IP de l'interface rouge du firewall, la route par défaut pour le
firewall, ainsi que l'adresse de réseau et masque de sous-réseau du réseau à connecter par le VPN (généralement le
réseau vert). Ces informations peuvent être obtenues aisément en se connectant par SSH sur le firewall IPCop et en
utilisant simplement deux commandes. La commande "ifconfig" permet d'obtenir les informations d'adresse de réseau et
de masque de sous-réseau. La commande "netstat" permet quant à elle de visualiser les routes. Par exemple, si eth2 est
l'interface rouge:
La case grise contient l'adresse IP de l'interface rouge. Afin d'obtenir le reste des informations, nous utilisons la
commande "netstat" comme indiqué ci-dessous.
La case la plus à gauche contient l'adresse du réseau vert (regardez la colonne Iface à l'extrême droite). La case du
milieu contient l'adresse de la passerelle par défaut du firewall. La case la plus à droite contient le masque de sousréseau du réseau vert (sur la même ligne que l'adresse du réseau vert). Hélas, le masque de sous-réseau n'apparaît pas
sous la forme requise. En effet, au lieu de la notation décimale pointée, le masque de sous-réseau doit être en "notation
CIDR". La "notation CIDR" indique le nombre de bits de l'adresse décrivant la partie réseau (netId). Dans notre cas, ce
serait "/24". Le tableau ci-dessous fournit une conversion entre la "notation CIDR" et la notation décimale pointée.
Longueur en bits
/24
Masque de sous-réseau
255.255.255.0
Nombre d'IPs utilisables
254
/25
255.255.255.128
126
/26
255.255.255.192
62
/27
255.255.255.224
30
/28
255.255.255.240
14
/29
255.255.255.248
6
/30
255.255.255.252
2
/31
255.255.255.254
0 (point-to-point)
/32
255.255.255.255
0 (single-host netmask)
Lorsque ces informations ont été collectées pour les deux extrémités du VPN, chaque firewall peut être configuré et le
VPN activé. Une feuille de route est fournie à la fin de ce document pour vous aider à organiser la phase de collecte des
informations nécessaires.
Le VPN d'IPCop est un système à clés manuelles. Cela signifie que vous devrez utiliser un mot de passe unique, partagé
par tous les noeuds du VPN, qui deviendra la clé pour crypter tout le trafic. Les clés doivent être changées régulièrement
et conservées secrètes afin qu'il soit difficile voire impossible de briser le VPN. Les versions futures d'IPCop
remplaceront le système manuel de clés par un système automatique et une authentification basée sur RSA.
Les systèmes à clés manuelles doivent utiliser des chaînes de caractères relativement longues. Une technique simple
pour générer des clés est de prendre la sortie de la commande "ps -aux" passée au travers d'un "md5sum". Cela reste une
méthode assez pauvre pour générer manuellement une clé mais c'est beaucoup plus sûr que d'utiliser un mot de passe
généré humainement. Générez la clé, notez la, conservez la précieusement et surtout ne la perdez pas tant que vous ne
l'avez pas remplacée.
Détails du VPN d'IPCop
Avant d'activer le VPN:
•
•
Une version 0.1.X d'IPCop firewall est requise. Cette procédure pourrait ne pas convenir à une autre révision.
Vérifiez que vous pouvez effectuer un "ping" et un "traceroute" depuis une machine du réseau vert sur le
firewall distant. Inutile d'aller plus loin si vous n'arrivez pas à joindre l'autre firewall par "ping" et "traceroute".
Configuration du VPN:
•
•
•
•
•
•
•
Connectez-vous à l'interface Web d'administration de votre firewall IPCop.
Dans le menu en marge de gauche, cliquez sur le bouton nommé "VPN"
Identifiez-vous en tant qu' "admin" (j'espère que vous n'avez pas oublié votre mot de passe d'administrateur).
Rendez-vous d'abord sur la page d'administration VPN. Dans la plupart des cas, les paramètres généraux
doivent être laissés blancs ou non cochés. Si vous n'avez créé aucun VPN, la section "Contrôle manuel et
statut" devrait être vide également.
Cliquez sur l'onglet nommé "connexions" en haut de la page d'administration VPN.
Complétez les informations concernant le nom de la connexion, les paramètres réseaux pour droite et gauche.
Remplissez le champ "clé de cryptage" à l'aide la phrase secrète générée.
Cliquez sur le bouton "ajouter"
A ce moment, toutes les informations que vous avez entrées devraient être visibles dans la section des "Connexions
actuelles" sur la page. Vérifiez que vous avez correctement saisi toutes les informations et répétez alors les étapes cidessus pour l'autre extrémité du VPN. Quand les deux extrémités du VPN auront été renseignées avec des informations
identiques, activez la connexion:
•
•
Cliquez sur l'onglet nommé "Contrôle" en haut de la page d'administration VPN.
Cliquez sur le bouton "Redémarrer".
Vérifications
Vérifier que le VPN est fonctionnel est relativement aisé. Le premier test est d'essayer de "pinguer" une machine de
l'extrémité distante en utilisant sa véritable adresse IP. Si cela ne marche pas, lancez la commande "netstat" pour vérifier
que le VPN est bien activé et que des routes vers l'autre extrémité du VPN ont été créées. Vous devriez voir quelque
chose comme ci-dessous:
manque une image sur le document présent sur le site web.
Remarquez les deux routes sur l'interface ipsec0. Toutes les deux doivent être présentes si le VPN est activé et
fonctionnel. Si elles ne le sont pas, c'est qu'une erreur s'est glissée dans les paramètres entrés dans la configuration VPN
ou du réseau entre les deux firewalls.
Feuille de travail
Note: peu importe le système considéré comme droite ou gauche. Choisissez arbitrairement le système qui sera gauche
et celui qui sera droite et tenez-vous à cette convention. Le système que vous avez choisi comme étant gauche ou droite
devra l'être des deux côtés du VPN.
Note: n'improvisez pas! Vérifiez les paramètres sur chaque firewall en utilisant les méthodes décrites ci-dessus. L'usage
de valeurs incorrectes peut être la source de plusieurs heures d'amusement :-)
Nom de la connexion: ___________________________________
VPN : Paramètres de gauche:
Adresse IP de l'Interface Rouge: ___________________________________
(gauche)
Adresse IP de la passerelle du firewall: ___________________________________
(prochain hôte de gauche)
réseau/masque connecté au VPN: ___________________________________
(sous-réseau de gauche)
VPN : Paramètres de droite:
Adresse IP de l'Interface Rouge: ___________________________________
(droite)
Adresse IP de la passerelle du firewall: ___________________________________
(prochain hôte de droite)
réseau/masque connecté au VPN: ___________________________________
(sous-réseau de droite)
CONNAITRE SON TRAFIC RESEAU SOUS IPCOP:
Afin de connaitre le traffic généré sur votre réseau, nous vous proposons d'installer un petit "addon" sur votre firewall
préféré !
–
Pour commencer, téléchargez le fichier trafficmod106.tgz (5.14Ko)
Il vous reste maintenant à installer ce module. Pour cela, connectez vous en root sur votre machine avec votre client ssh
habituel (port 222).
- Revenez à la racine de votre arboresence,
- Décompressez l'archive,
- Installez le module en executant les commandes suivantes :
- cd /ipcoptraffic
- ./install.pl
Il ne vous reste plus qu'à admirer le résultat en vous connectant à l'interface web d'administration d'IPCOP - Menu
Information - Trafic Réseau