Bonjour,
j’ai installé
strongSwan 6.0beta Vici Post-Quantum IKEv2 Daemon - Bien sûr vous pouvez utiliser la version officielle d’aujourd’hui, la version 5.9 sans compiler, mais vous ne pourrez pas chiffrer avec les algorithmes OQS.
Je ne connais pas «
stroongSwan VICI » c’est à dire une configuration IPSec sans le fichier « ipsec.conf » (j’ai du retard sûrement) :
Avec ces fichiers donc :
/etc/strongswan.conf
/etc/swanctl/swanctl.conf
Pour commencer, j'ai écris un «
mémo d'introduction à strongSwan » sur Debian-FR.org
Je viens de réussir à connecter 3 ordinateurs ensemble et à arriver à attraper des sous-réseaux IPv6, je souhaitais vous le dire et vous le transmettre.
Donc, j'ai stocké « mes fichiers et les commandes » dans un de mes répertoire "public", avant de faire un tuto sur mon site web.
My files test and commands #strongSwan v6.0.beta -> https://www.zw3b.fr/pub/vpn/strongSwan-v6.0
Pour le moment je n'ai rien de mieux.
1. La config « 1 » est un exemple des fichiers « /etc/strongSwan.conf » (Serveur / Client)
2. La config « 2 » est OK sans sous-réseaux (IPv4 publique to IPv4 publique - le traceroute ne fait pas de saut entre les 2 machines connectées).
3. La config « 3 » est OK de « site » à « site » (ping & services) avec sous réseaux IPv6.
4. La config « 4 » est OK de « site » à « serveur » à « site » : (ping et services) avec sous-réseaux, j’en suis là au 20240313.
Il faudrait essayer d’autres méthodes d’autentification -- EAP (Extensible Authentication Protocol)
20240313 : Je vous ajoute mon script «
firewall-icmpv6 » où j’ai ajouté la fonction «
ipv6_strongswan() » qui permet de laisser passer les requêtes UDP/TCP sur le prefix d’adresses « IPv6 SWAN Site-Local scoped » en plus de l’ICMPv6 (du ping)
Un bout du firewall-ipv6 - checker le network range
fe80::/10 et
fec0::/10 et le multicast
ff00::/8 #####
# on fixe les regles des adresses IPv6
#####
function ipv6_link_multicast()
{
echo " |";
echo " + IPv6 - Addrs Link-Local Unicast and Multicast -----------------------";
# Allow Link-Local addresses
# network range : fe80:0000:0000:0000:0000:0000:0000:0000-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
echo " |";
$IP6TABLE -A INPUT -s fe80::/10 -j ACCEPT
$IP6TABLE -A FORWARD -s fe80::/10 -d fe80::/10 -j ACCEPT
$IP6TABLE -A OUTPUT -d fe80::/10 -j ACCEPT
echo " +--? "fe80::/10 : ACCEPT;
echo " |";
echo " "+ IPv6 - Addrs Link-Local : [OK]
# Allow multicast
# network range : ff00:0000:0000:0000:0000:0000:0000:0000-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
echo " |";
$IP6TABLE -A INPUT -d ff00::/8 -j ACCEPT
$IP6TABLE -A FORWARD -s ff00::/8 -d ff00::/8 -j ACCEPT
$IP6TABLE -A OUTPUT -d ff00::/8 -j ACCEPT
echo " +--? "ff00::/8 : ACCEPT;
echo " |";
echo " "+ IPv6 - Addrs Multicast : [OK]
}
#####
# on fixe les regles des adresses IPv6 secure (VPN/strongSwan)
#####
function ipv6_strongswan()
{
echo " |";
echo " + IPv6 - Addrs Site-Local Secure Area Network -------------------------";
# Allow Secure Area Network addresses
# network range : fec0:0000:0000:0000:0000:0000:0000:0000-feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
echo " |";
$IP6TABLE -A INPUT -s fec0::/10 -j ACCEPT
$IP6TABLE -A FORWARD -s fec0::/10 -d fec0::/10 -j ACCEPT
$IP6TABLE -A OUTPUT -d fec0::/10 -j ACCEPT
echo " +--? "fec0::/10 : ACCEPT;
echo " |";
echo " "+ IPv6 - Addrs Secure Area Network : [OK]
}
GestióIP : IPv6 subnet calculator Si çà peut vous intéresser.
Bonne journée.
Romain.