VPN - PQ strongSwan - Modern Security network

La Fibre »
Télécom »
Réseau »
VPN »
VPN - PQ strongSwan - Modern Security network

Imprimer

Pages: 1 [2] En bas

Auteur Sujet: VPN - PQ strongSwan - Modern Security network (Lu 3466 fois)

0 Membres et 1 Invité sur ce sujet

LAB3W.ORJ

Abonné Orange Fibre
Messages: 150
Alpes Maritimes (06)

VPN - PQ strongSwan - Modern Security network

« Réponse #12 le: 07 novembre 2024 à 15:26:01 »

Salut,

Pour "analyse" de l'adressage IP dans strongSwan :

Adressage "automatique" des clients en IPv4 d'adresses entre "100" et "110" -> OK :

Citer

addrs = 172.16.8.100-172.16.8.110

Comment peut-on ajouter en plus un masque (longueur de préfixe) ?

* IPv4 : Longueur de "/16" sur le réseau type de CLASS_B (17.16.0.0/12) (pour n'avoir accès qu'au réseau 172.16.XXX.XXX)

Adressage "automatique" des clients en IPv6 d'adresses (256 IP) IPv6::/120 -> KO :

Citer

addrs = fec0::eeee:1ab3:00ca:fe.ff-fec0::eeee:1ab3:00ca:fe.00

Erreur

Comment peut-on ajouter en plus un masque (longueur de préfixe) ?

* IPv6 : Longueur de "/104" pour faire partit du réseau fec0::eeee:1ab3:00ca:0000/104

Et aussi, comment-faire pour attribuer plusieurs adresses IP (par exemple, pour les DNS, chaque DNS est espacé par une virgule)

Citer

dns = fc00::15:2:a:1000, 2001:4860:4860::8844

Il faudrait que l'on puisse simplement écrire : « sur le bloc /120 dans le réseau /104 » :

Pour l'IPv6 çà donnerait :

Citer

addrs = fec0::eeee:1ab3:00ca:fe.ff-fec0::eeee:1ab3:00ca:fe.00/104

Pour l'IPv4 çà donnerait :

Citer

addrs = 172.16.8.100-172.16.8.110/16

Au re-chargement des "pools" :

Code: [Sélectionner]

root@lab3w:/etc/swanctl # swanctl --load-pools
loaded pool 'rw_pool'
loading pool 'rw_pool-v6' failed: invalid addrs value: fec0::eeee:1ab3:00ca:00.ff-fec0::eeee:1ab3:00ca:00.00
loaded pool 'v6-lab3w_home'
loaded pool 'v6_vps-uk'
loaded pool 'v6_vps-de'
loaded 4 of 5 pools, 1 failed to load, 0 unloaded

File ->

Code: [Sélectionner]

    cat /etc/swanctl/swanctl.conf

Code: [Sélectionner]

pools {

        rw_pool {
                addrs = 172.16.8.100-172.16.8.110
                dns = 10.105.150.1, 8.8.8.8
        }
        rw_pool-v6 {
               addrs = fec0::eeee:1ab3:00ca:00.ff-fec0::eeee:1ab3:00ca:00.00
#                addrs = 2607:5300:0060:9389:0000:1ab3:00ca:0000/104
                dns =   fc00::15:2:a:1000, 2001:4860:4860::8844
        }

        # IP HOME
        v6-lab3w_home {
                addrs = fec1::1/16
        }

        # IP VPS
        v6_vps-uk {
                addrs = fec2::1/128
        }
        v6_vps-de {
                addrs = fec3::1/128
        }
}

@+

----

Citer

Donc j'ai essayé comme dans la doc strongSwan > Virtual IP Addresses en ajoutant un « . » :

or as an IP address range

IPv4 connections.<conn>.pools = <name> : pools.<name>.addrs = 10.3.0.1-10.3.0.100
IPv6 connections.<conn>.pools = <name> : pools.<name>.addrs = 2001:db8::3.1-2001:db8::3.100

Code: [Sélectionner]

root@lab3w:/etc/swanctl # swanctl --load-pools
loaded pool 'rw_pool'
loading pool 'rw_pool-v6' failed: invalid addrs value: fec0::eeee:1ab3:00ca:fe.ff-fec0::eeee:1ab3:00ca:fe.00
loaded pool 'v6-lab3w_2home'
loaded pool 'v6_vps-uk'
loaded pool 'v6_vps-de'
loaded 4 of 5 pools, 1 failed to load, 0 unloaded

Code: [Sélectionner]

root@lab3w:/etc/swanctl # swanctl --load-pools
loaded pool 'rw_pool'
loading pool 'rw_pool-v6' failed: invalid addrs value: 2001:db8::3.1-2001:db8::3.100
loaded pool 'v6-lab3w_2home'
loaded pool 'v6_vps-uk'
loaded pool 'v6_vps-de'
loaded 4 of 5 pools, 1 failed to load, 0 unloaded

----

Adressage IPv4/v6 de connexion "opportuniste" (road warrior) -> OK :

Code: [Sélectionner]

        rw_pool {
                addrs = 172.16.8.100-172.16.8.110
                dns = 10.105.150.1, 8.8.8.8
        }
        rw_pool-v6 {
#               addrs = fec0::eeee:1ab3:00ca:fe.ff-fec0::eeee:1ab3:00ca:fe.00/104
                addrs = fec0::eeee:1ab3:00ca:fe00/104
                dns =   fc00::15:2:a:1000, 2001:4860:4860::8844
        }

Code: [Sélectionner]

root@lab3w:/etc/swanctl # swanctl --load-pools
loaded pool 'rw_pool'
loaded pool 'rw_pool-v6'
loaded pool 'v6-lab3w_home'
loaded pool 'v6_vps-uk'
loaded pool 'v6_vps-de'
successfully loaded 5 pools, 0 unloaded

Me configure sur le client EAP pour la première machine l'adresse "fec0::eeee:1ab3:00ca:fe00/128" --- ca:fe00/128 ?

CF : remote 172.16.8.100/32 fec0::eeee:1ab3:ca:fe00/128

Code: [Sélectionner]

root@lab3w:/etc/swanctl # swanctl --list-sas
ikev2-eap-mschapv2: #25, ESTABLISHED, IKEv2, 262cf867d255bd4f_i 9728f8d9aa142ac3_r*
  local  'srv.ca.lab3w.com' @ 158.69.126.137[4500]
  remote 'orj@lab3w.fr' @ 37.174.70.100[43308] [172.16.8.100 fec0::eeee:1ab3:ca:feff]
  AES_CBC-128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
  established 721s ago
  ikev2-eap-mschapv2: #171, reqid 5, INSTALLED, TUNNEL-in-UDP, ESP:AES_GCM_16-256
    installed 721s ago
    in  c66fbbea, 388011 bytes,  1567 packets,     0s ago
    out 33cdadf1, 323124 bytes,   598 packets,     0s ago
    local  0.0.0.0/0 ::/0
    remote 172.16.8.100/32 fec0::eeee:1ab3:ca:fe00/128

J'ai créé un sujet sur les discussions strongSwan dans GitHub : IPv6 address range (road warrior pools configuration) · strongswan/strongswan ·...

Romain

« Modifié: 07 novembre 2024 à 17:35:40 par LAB3W.ORJ »

IP archivée

LAB3W.ORJ

Abonné Orange Fibre
Messages: 150
Alpes Maritimes (06)

VPN - PQ strongSwan - Modern Security network

« Réponse #13 le: 08 novembre 2024 à 13:15:00 »

Salut,

J’ai mon VPN IPv4/v6 version PostQuantum strongSwan connecté à mes serveurs depuis mon smartphone, ordinateur portable depuis n’importe quel endroit sur Terre

Bonne journée.

----

À titre d'information, en natif depuis Android , avec les mêmes paramètres je n'arrive pas à me connecter à mon VPN Type de connexion : IKEv2 MSCHAPv2.

* Versison Android 12 (mise à jour : 5 juillet 2024)
* Version Color OS : V12.1
* Appareil : OPPO A53s - Modèle CPH2135
* Version noyeau : 4.1.19.152-perf+

Discuss GitHub : [In the native VPN option from Android, i cannot connect to my VPN ? · strongswan/strongswan · Discussion #2528 · GitHub](https://github.com/strongswan/strongswan/discussions/2528)

En natif (option VPN du smartphone) -> KO (IP field servername) :

Code: [Sélectionner]

Nov  8 15:12:26 12[NET] <65> received packet: from 78.242.194.44[1620] to 158.69.126.137[500] (1072 bytes)
Nov  8 15:12:26 12[ENC] <65> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) ]
Nov  8 15:12:26 12[IKE] <65> 78.242.194.44 is initiating an IKE_SA
Nov  8 15:12:26 12[CFG] <65> selected proposal: IKE:AES_CTR_256/HMAC_SHA2_512_256/PRF_HMAC_SHA1/MODP_4096
Nov  8 15:12:26 12[IKE] <65> remote host is behind NAT
Nov  8 15:12:26 12[IKE] <65> sending cert request for "C=FR, O=LAB3W, CN=ZW3B Cyber Root CA : rsa_3072"
Nov  8 15:12:26 12[ENC] <65> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) V ]
Nov  8 15:12:26 12[NET] <65> sending packet: from 158.69.126.137[500] to 78.242.194.44[1620] (773 bytes)
Nov  8 15:12:27 14[NET] <65> received packet: from 78.242.194.44[1621] to 158.69.126.137[4500] (488 bytes)
Nov  8 15:12:27 14[ENC] <65> parsed IKE_AUTH request 1 [ IDi IDr SA TSi TSr CPRQ(ADDR ADDR6 DNS DNS6 MASK VER) ]
Nov  8 15:12:27 14[CFG] <65> looking for peer configs matching 158.69.126.137[158.69.126.137]...78.242.194.44[orj@lab3w.fr]
Nov  8 15:12:27 14[CFG] <65> no matching peer config found
Nov  8 15:12:27 14[ENC] <65> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Nov  8 15:12:27 14[NET] <65> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1621] (81 bytes)

En natif (option VPN du smartphone) -> KO (FQDN field servername) :

Code: [Sélectionner]

Nov  8 15:54:18 07[NET] <70> received packet: from 78.242.194.44[1747] to 158.69.126.137[500] (1072 bytes)
Nov  8 15:54:18 07[ENC] <70> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) ]
Nov  8 15:54:18 07[IKE] <70> 78.242.194.44 is initiating an IKE_SA
Nov  8 15:54:18 07[CFG] <70> selected proposal: IKE:AES_CTR_256/HMAC_SHA2_512_256/PRF_HMAC_SHA1/MODP_4096
Nov  8 15:54:18 07[IKE] <70> remote host is behind NAT
Nov  8 15:54:18 07[IKE] <70> sending cert request for "C=FR, O=LAB3W, CN=ZW3B Cyber Root CA : rsa_3072"
Nov  8 15:54:18 07[ENC] <70> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) V ]
Nov  8 15:54:18 07[NET] <70> sending packet: from 158.69.126.137[500] to 78.242.194.44[1747] (773 bytes)
Nov  8 15:54:18 05[NET] <70> received packet: from 78.242.194.44[1748] to 158.69.126.137[4500] (504 bytes)
Nov  8 15:54:18 05[ENC] <70> parsed IKE_AUTH request 1 [ IDi IDr SA TSi TSr CPRQ(ADDR ADDR6 DNS DNS6 MASK VER) ]
Nov  8 15:54:18 05[CFG] <70> looking for peer configs matching 158.69.126.137[srv.ca.lab3w.com]...78.242.194.44[orj@lab3w.fr]
Nov  8 15:54:18 05[CFG] <ikev2-eap|70> selected peer config 'ikev2-eap'
Nov  8 15:54:18 05[IKE] <ikev2-eap|70> peer requested EAP, config unacceptable
Nov  8 15:54:18 05[CFG] <ikev2-eap|70> switching to peer config 'ikev2-eap-mschapv2'
Nov  8 15:54:18 05[IKE] <ikev2-eap-mschapv2|70> initiating EAP_IDENTITY method (id 0x00)
Nov  8 15:54:18 05[IKE] <ikev2-eap-mschapv2|70> authentication of 'srv.ca.lab3w.com' (myself) with RSA_EMSA_PSS_SHA2_256_SALT_32 successful
Nov  8 15:54:18 05[IKE] <ikev2-eap-mschapv2|70> sending end entity cert "C=FR, O=LAB3W, CN=srv.ca.lab3w.com"
Nov  8 15:54:18 05[ENC] <ikev2-eap-mschapv2|70> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Nov  8 15:54:18 05[ENC] <ikev2-eap-mschapv2|70> splitting IKE message (1759 bytes) into 2 fragments
Nov  8 15:54:18 05[ENC] <ikev2-eap-mschapv2|70> generating IKE_AUTH response 1 [ EF(1/2) ]
Nov  8 15:54:18 05[ENC] <ikev2-eap-mschapv2|70> generating IKE_AUTH response 1 [ EF(2/2) ]
Nov  8 15:54:18 05[NET] <ikev2-eap-mschapv2|70> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1748] (1448 bytes)

Avec "strongSwan VPN client for Android" -> OK :

Code: [Sélectionner]

Nov  8 15:17:30 13[NET] <67> received packet: from 78.242.194.44[1710] to 158.69.126.137[500] (948 bytes)
Nov  8 15:17:30 13[ENC] <67> parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Nov  8 15:17:30 13[IKE] <67> 78.242.194.44 is initiating an IKE_SA
Nov  8 15:17:30 13[CFG] <67> selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Nov  8 15:17:30 13[IKE] <67> remote host is behind NAT
Nov  8 15:17:30 13[IKE] <67> sending cert request for "C=FR, O=LAB3W, CN=ZW3B Cyber Root CA : rsa_3072"
Nov  8 15:17:30 13[ENC] <67> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) V ]
Nov  8 15:17:30 13[NET] <67> sending packet: from 158.69.126.137[500] to 78.242.194.44[1710] (325 bytes)
Nov  8 15:17:31 01[NET] <67> received packet: from 78.242.194.44[1713] to 158.69.126.137[4500] (480 bytes)
Nov  8 15:17:31 01[ENC] <67> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Nov  8 15:17:31 01[IKE] <67> received cert request for "C=FR, O=LAB3W, CN=ZW3B Cyber Root CA : rsa_3072"
Nov  8 15:17:31 01[CFG] <67> looking for peer configs matching 158.69.126.137[srv.ca.lab3w.com]...78.242.194.44[orj@lab3w.fr]
Nov  8 15:17:31 01[CFG] <ikev2-eap|67> selected peer config 'ikev2-eap'
Nov  8 15:17:31 01[IKE] <ikev2-eap|67> peer requested EAP, config unacceptable
Nov  8 15:17:31 01[CFG] <ikev2-eap|67> switching to peer config 'ikev2-eap-mschapv2'
Nov  8 15:17:31 01[IKE] <ikev2-eap-mschapv2|67> initiating EAP_IDENTITY method (id 0x00)
Nov  8 15:17:31 01[IKE] <ikev2-eap-mschapv2|67> peer supports MOBIKE
Nov  8 15:17:31 01[IKE] <ikev2-eap-mschapv2|67> authentication of 'srv.ca.lab3w.com' (myself) with RSA_EMSA_PSS_SHA2_256_SALT_32 successful
Nov  8 15:17:31 01[IKE] <ikev2-eap-mschapv2|67> sending end entity cert "C=FR, O=LAB3W, CN=srv.ca.lab3w.com"
Nov  8 15:17:31 01[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Nov  8 15:17:31 01[ENC] <ikev2-eap-mschapv2|67> splitting IKE message (1760 bytes) into 2 fragments
Nov  8 15:17:31 01[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 1 [ EF(1/2) ]
Nov  8 15:17:31 01[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 1 [ EF(2/2) ]
Nov  8 15:17:31 01[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (1444 bytes)
Nov  8 15:17:31 01[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (388 bytes)
Nov  8 15:17:31 07[NET] <ikev2-eap-mschapv2|67> received packet: from 78.242.194.44[1713] to 158.69.126.137[4500] (96 bytes)
Nov  8 15:17:31 07[ENC] <ikev2-eap-mschapv2|67> parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Nov  8 15:17:31 07[IKE] <ikev2-eap-mschapv2|67> received EAP identity 'orj@lab3w.fr'
Nov  8 15:17:31 07[IKE] <ikev2-eap-mschapv2|67> initiating EAP_MSCHAPV2 method (id 0x28)
Nov  8 15:17:31 07[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Nov  8 15:17:31 07[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (112 bytes)
Nov  8 15:17:31 12[NET] <ikev2-eap-mschapv2|67> received packet: from 78.242.194.44[1713] to 158.69.126.137[4500] (144 bytes)
Nov  8 15:17:31 12[ENC] <ikev2-eap-mschapv2|67> parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
Nov  8 15:17:31 12[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
Nov  8 15:17:31 12[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (144 bytes)
Nov  8 15:17:31 10[NET] <ikev2-eap-mschapv2|67> received packet: from 78.242.194.44[1713] to 158.69.126.137[4500] (80 bytes)
Nov  8 15:17:31 10[ENC] <ikev2-eap-mschapv2|67> parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
Nov  8 15:17:31 10[IKE] <ikev2-eap-mschapv2|67> EAP method EAP_MSCHAPV2 succeeded, MSK established
Nov  8 15:17:31 10[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 4 [ EAP/SUCC ]
Nov  8 15:17:31 10[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (80 bytes)
Nov  8 15:17:31 14[NET] <ikev2-eap-mschapv2|67> received packet: from 78.242.194.44[1713] to 158.69.126.137[4500] (112 bytes)
Nov  8 15:17:31 14[ENC] <ikev2-eap-mschapv2|67> parsed IKE_AUTH request 5 [ AUTH ]
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> authentication of 'orj@lab3w.fr' with EAP successful
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> authentication of 'srv.ca.lab3w.com' (myself) with EAP
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> peer requested virtual IP %any
Nov  8 15:17:31 14[CFG] <ikev2-eap-mschapv2|67> reassigning offline lease to 'orj@lab3w.fr'
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> assigning virtual IP 172.16.8.100 to peer 'orj@lab3w.fr'
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> peer requested virtual IP %any6
Nov  8 15:17:31 14[CFG] <ikev2-eap-mschapv2|67> reassigning offline lease to 'orj@lab3w.fr'
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> assigning virtual IP fec0::eeee:1ab3:ca:feff to peer 'orj@lab3w.fr'
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> IKE_SA ikev2-eap-mschapv2[67] established between 158.69.126.137[srv.ca.lab3w.com]...78.242.194.44[orj@lab3w.fr]
Nov  8 15:17:31 14[CFG] <ikev2-eap-mschapv2|67> selected proposal: ESP:AES_GCM_16_256/NO_EXT_SEQ
Nov  8 15:17:31 14[IKE] <ikev2-eap-mschapv2|67> CHILD_SA ikev2-eap-mschapv2{1677} established with SPIs c1900ab9_i 8f10373c_o and TS 0.0.0.0/0 ::/0 === 172.16.8.100/32 fec0::eeee:1ab3:ca:feff/128
Nov  8 15:17:31 14[ENC] <ikev2-eap-mschapv2|67> generating IKE_AUTH response 5 [ AUTH CPRP(ADDR ADDR6 DNS DNS DNS6 DNS6) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Nov  8 15:17:31 14[NET] <ikev2-eap-mschapv2|67> sending packet: from 158.69.126.137[4500] to 78.242.194.44[1713] (560 bytes)

----

Bizarre le traceroute vers le dns.google (j'arrive en VPN au Canada, j'ai sort par la passerelle de mon serveur, puis les 2 adresses sont "taguées française" puis je retourne au Canada, puis j'arrive aux USA) :

La configuration vu depuis mon smartphone :

Le software "Network Analyzer" :

« Modifié: 08 novembre 2024 à 16:15:12 par LAB3W.ORJ »

IP archivée

trekker92

Abonné Free adsl
Messages: 1 933

VPN - PQ strongSwan - Modern Security network

« Réponse #14 le: 08 novembre 2024 à 15:06:07 »

Citation de: LAB3W.ORJ le 08 novembre 2024 à 13:15:00

ordinateur portable depuis n’importe quel endroit sur Terre

starlink en alaska? parce qu'il faudra le générateur électrique.

EN attendant, inmarsat, iridium et globalstar : partout sur terre aussi, ils passent, mais n'ont pas forcément besoin d'une installation, le téléphone suffit amplement.

et pour l'alaska, le plaidoyer pour un internet léger est de mise :
https://brr.fyi/posts/engineering-for-slow-internet

IP archivée

LAB3W.ORJ

Abonné Orange Fibre
Messages: 150
Alpes Maritimes (06)

VPN - PQ strongSwan - Modern Security network

« Réponse #15 le: 15 janvier 2025 à 05:30:55 »

Bonjour et bonne année 2025 à toutes et à tous !

Pour infos (les connexions ULA IPv6 inter-sites fonctionnent très bien) :

Mes "frontaux" Web Apache qui pointent vers 3 serveurs en "backend" plus 1 en standby.

Frontends :
FR (Valdeblore) : srv.fr.lab3w.com,
CA (Montreal) : srv.ca.lab3w.com,
DE (Frankfurt) : vps.de.ipv10.net,
UK (London) : vps.uk.ipv10.net.

Backends : 2 in CA and 1+1 in FR.

Serveurs #ZW3B #LAB3W

Serveurs chez OVHcloud_CA OVHcloud_DE OVHcloud_UK Orange_FR 😁

J'ai fais un papier sur mon portfolio 2025 - Serveurs ZW3B | LAB3W | IPv10 : Frontaux Web dans plusieurs pays.

Les impressions d'écrans des frontaux Apache Web Balancers manager : https://www.zw3b.fr/pub/screens/apache/?C=M;O=D

Exemple d'applications (web) :

Romain (LAB3W.ORJ) - O.Romain.Jaillet-ramey - Fondateur ZW3B.FR|TV|EU|NET|COM|BLOG

----

Je vous ajoute les liens VPN StrongSwan v6 en utilisant la librairie "Open Quantum Safe (OQS) project" qui vise à soutenir la transition vers une cryptographie résistante aux attaques quantiques.

Il y a 3 liens IPSec en permanence connectés au serveur du Canada : ca-de | ca-uk | ca-fr 🤠

Code: [Sélectionner]

IKEv2 : KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5
ESP : KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5

Code: [Sélectionner]

05:22:26 root@srv.ca.lab3w.com:~ # swanctl --list-sas
ca-de: #1113, ESTABLISHED, IKEv2, de4990cf64c5baaf_i d1e1464e53d87cbf_r*
  local  'srv.ca.lab3w.com' @ 158.69.126.137[4500]
  remote 'vps.de.ipv10.net' @ 135.125.133.51[4500] [fec3::1]
  AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5
  established 1806s ago, rekeying in 11808s
  ca-de: #27888, reqid 2, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3
    installed 43s ago, rekeying in 128s, expires in 156s
    in  c5176f07,  82141 bytes,  1003 packets,     0s ago
    out c378207d, 150822 bytes,   618 packets,     0s ago
    local  fc00:41d0:801:2000::/64 fc00:5300:60:9389::/64 fc01::10:106:0:0/104 fc01::10:126:42:0/112 fc01::172:16:0:0/104 fc01::192:168:0:0/104 fec0::/16 fec1::/16 fec2::1/128
    remote fc00:41d0:701:1100::/64 fec3::1/128
ca-fr: #1111, ESTABLISHED, IKEv2, 723fe3944efc30e2_i* 27263be64c91817c_r
  local  'srv.ca.lab3w.com' @ 158.69.126.137[4500]
  remote 'srv.fr.lab3w.com' @ 90.5.102.244[4500]
  AES_CBC-256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/CURVE_448/KE4_HQC_L5
  established 9780s ago, rekeying in 4067s
  ca-fr: #27885, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_256_128/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5
    installed 465s ago, rekeying in 4435s, expires in 5475s
    in  c0d8ecbb, 2272106 bytes, 12243 packets,     0s ago
    out c60b4300, 1403489 bytes, 14380 packets,     0s ago
    local  fc00:41d0:701:1100::/64 fc00:41d0:801:2000::/64 fc00:5300:60:9389::/64 fec0::/16 fec2::1/128 fec3::1/128
    remote fc01::10:106:0:0/104 fc01::10:126:42:0/112 fc01::172:16:0:0/104 fc01::192:168:0:0/104 fec1::/16
ca-uk: #1089, ESTABLISHED, IKEv2, e65b5f0cba6f311b_i 8a4dfc7162b7c490_r*
  local  'srv.ca.lab3w.com' @ 158.69.126.137[4500]
  remote 'vps.uk.ipv10.net' @ 57.128.171.43[4500] [fec2::1]
  AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5
  established 73418s ago
  ca-uk: #27872, reqid 4, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3
    installed 2426s ago
    in  c9c739ed, 5017104 bytes, 57764 packets,     0s ago
    out c7b8b75b, 11242106 bytes, 36951 packets,     0s ago
    local  fc00:41d0:701:1100::/64 fc00:5300:60:9389::/64 fc01::10:106:0:0/104 fc01::10:126:42:0/112 fc01::172:16:0:0/104 fc01::192:168:0:0/104 fec0::/16 fec1::/16
    remote fc00:41d0:801:2000::/64 fec2::1/128
05:22:31 root@srv.ca.lab3w.com:~ #

Ça fonctionne fort ce "Strong Secure Wide Area Network" 😎

----

Code: [Sélectionner]

root@srv.fr.lab3w.com:~ # host www.zw3b.fr
www.zw3b.fr has address 90.5.102.244
www.zw3b.fr has address 158.69.126.137
www.zw3b.fr has address 57.128.171.43
www.zw3b.fr has address 135.125.133.51
www.zw3b.fr has IPv6 address 2607:5300:60:9389::1
www.zw3b.fr has IPv6 address 2001:41d0:801:2000::44f9
www.zw3b.fr has IPv6 address 2001:41d0:701:1100::6530
www.zw3b.fr has IPv6 address 2a01:cb1d:5:af00::1

En passant j'attends toujours la gestion du Reverse DNS / IPv6 chez Orange ; et IPv4 !

Citer

Note de Moi-même : En fait : je n'ai pas essayé de créer un serveur DNS Bind9 chez moi (Orange_FR) et de configurer mes zones reverse IPv6 après avoir déléguer (depuis la livebox) et d'essayer si çà répond (NXDOMAIN Found my domain name pointer) de l'extérieur. Qui sait !?!

Server FR → srv.fr.lab3w.com chez Orange_FR :

Code: [Sélectionner]

root@srv.fr.lab3w.com:~ # host 2a01:cb1d:5:af00::1
Host 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.a.5.0.0.0.d.1.b.c.1.0.a.2.ip6.arpa not found: 3(NXDOMAIN)
root@srv.fr.lab3w.com:~ # host 90.5.102.244
244.102.5.90.in-addr.arpa domain name pointer apoitiers-657-1-83-244.w90-5.abo.wanadoo.fr.

Server CA → srv.ca.lab3w.com chez OVHcloud_CA :

Code: [Sélectionner]

root@srv.fr.lab3w.com:~ # host 2607:5300:60:9389::1
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer srv.ca.lab3w.com.
root@srv.fr.lab3w.com:~ # host 158.69.126.137
137.126.69.158.in-addr.arpa domain name pointer mail.zw3b.eu.

Server DE → vps.de.ipv10.net chez OVHcloud_DE :

Code: [Sélectionner]

root@srv.fr.lab3w.com:~ # host 2001:41d0:701:1100::6530
0.3.5.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.1.1.0.7.0.0.d.1.4.1.0.0.2.ip6.arpa domain name pointer vps.de.ipv10.net.
root@srv.fr.lab3w.com:~ # host 135.125.133.51
51.133.125.135.in-addr.arpa domain name pointer vps.de.ipv10.net.

Server UK → vps.uk.ipv10.net chez OVHcloud_UK :

Code: [Sélectionner]

root@srv.fr.lab3w.com:~ # host 2001:41d0:801:2000::44f9
9.f.4.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.1.0.8.0.0.d.1.4.1.0.0.2.ip6.arpa domain name pointer vps.uk.ipv10.net.
root@srv.fr.lab3w.com:~ # host 57.128.171.43
43.171.128.57.in-addr.arpa domain name pointer vps.uk.ipv10.net.

Je n'habite pas Poitiers ; j'habite à 68 kilomètres de Nice dans les Alpes-Maritimes.

😁

« Modifié: 17 janvier 2025 à 07:02:57 par LAB3W.ORJ »

IP archivée

LAB3W.ORJ

Abonné Orange Fibre
Messages: 150
Alpes Maritimes (06)

VPN - PQ strongSwan - Modern Security network

« Réponse #16 le: 14 février 2025 à 17:55:00 »

Salut,

J'ai ouvert ce sujet de discussion I'm trying to retrieve the correct NMAP responses through strongSwan from "site" to "site". · strongswan/strongswan · Discussion #2669 · GitHub.

----

Post Scriptum : J'ai mis (mis à jour) ma configuration "6" des fichiers strongSwan ici 🙂 si cela peut aider les gens à configurer leurs réseaux.

Thious !

Romain - Fondateur ZW3B.FR | TV | EU | NET | COM | BLOG et plus.

IP archivée

LAB3W.ORJ

Abonné Orange Fibre
Messages: 150
Alpes Maritimes (06)

VPN - PQ strongSwan - Modern Security network

« Réponse #17 le: 20 mars 2025 à 04:38:02 »

Salut, je vous écris un tutoriel par ici avec strongSwan v6.0 officiel.

How to configure #strongSwan v6 using the modern Versatile IKE Control Interface (VICI) and the #swanctl command-line tool in an #IPsec network, with #pki and #openssl tools for #NIST compliant Post-Quantum Cryptography #PQC.

Page translate : https://howto-zw3b-fr.translate.goog/linux/securite/strongswan-v6-0-x-for-swanctl-in-ipsec-by-ike-vici?_x_tr_sl=fr&_x_tr_tl=en&_x_tr_hl=auto

#CyberSecurity #LAB3W #ZW3B

Page in French : https://howto.zw3b.fr/linux/securite/strongswan-v6-0-x-for-swanctl-in-ipsec-by-ike-vici

Bonne journée.

IP archivée

Imprimer

Pages: 1 [2] En haut

La Fibre »
Télécom »
Réseau »
VPN »
VPN - PQ strongSwan - Modern Security network

Vous utilisez IPv4 avec le port TCP 55480 (Plus d'informations)
Suivez-nous sur Bluesky | X | Mastodon | LinkedIn | Mentions légales / Contact | Charte d’utilisation | Écoconception | Flux RSS

Site sous licence Creative Commons BY-SA 4.0 (partage dans les mêmes conditions)