6.4. Création d'un VPN d'hôte à hôte
Pour configurer [application]Libreswan afin de créer un VPN IPsec d'hôte à hôte entre deux hôtes appelés left et right en utilisant l'authentification par clés RSA brutes, entrez les commandes suivantes sur les deux hôtes :
Conditions préalables
-
Libreswan est installé et le service
ipsecest démarré sur chaque nœud.
Procédure
Générer une paire de clés RSA brutes sur chaque hôte :
# ipsec newhostkeyL'étape précédente a renvoyé la clé générée à
ckaid. Utilisez cetteckaidavec la commande suivante sur left, par exemple :# ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857dLa sortie de la commande précédente a généré la ligne
leftrsasigkey=nécessaire à la configuration. Faites de même sur le second hôte (right) :# ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03Dans le répertoire
/etc/ipsec.d/, créez un nouveau fichiermy_host-to-host.conf. Inscrivez dans le nouveau fichier les clés d'hôte RSA provenant de la sortie des commandesipsec showhostkeyde l'étape précédente. Par exemple :conn mytunnel leftid=@west left=192.1.2.23 leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ== rightid=@east right=192.1.2.45 rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ== authby=rsasigAprès l'importation des clés, redémarrez le service
ipsec:# systemctl restart ipsecCharger la connexion :
# ipsec auto --add mytunnelÉtablir le tunnel :
# ipsec auto --up mytunnelPour démarrer automatiquement le tunnel lorsque le service
ipsecest démarré, ajoutez la ligne suivante à la définition de la connexion :auto=start
