<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>tunnels IPSEC</title><link href="style.css" rel="stylesheet" type="text/css" /><meta content="DocBook XSL Stylesheets V1.73.2" name="generator" /><link rel="start" href="index.html" title="HOWTO du routage avancé et du contrôle de trafic sous Linux" /><link rel="up" href="ch07.html" title="Chapitre 7. IPSEC: IP sécurisé à travers Internet" /><link rel="prev" href="ch07s02.html" title="Gestion automatique des clés" /><link rel="next" href="ch07s04.html" title="Autre logiciel IPSEC" /></head><body><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">tunnels IPSEC</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ch07s02.html">Précédent</a> </td><th align="center" width="60%">Chapitre 7. IPSEC: IP sécurisé à travers Internet</th><td align="right" width="20%"> <a accesskey="n" href="ch07s04.html">Suivant</a></td></tr></table><hr /></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title"><a id="lartc.ipsec.tunnel" />tunnels IPSEC</h2></div></div></div><p>
Jusqu'ici, nous n'avons seulement considéré IPSEC dans le mode
appelé 'transport' où les points terminaux comprennent directement
IPSEC. Comme ceci n'est pas souvent le cas, il peut être nécessaire
d'avoir des routeurs qui, eux seuls, comprennent IPSEC et qui
réalisent le travail pour les hôtes se trouvant derrière eux. Ceci
est appelé le mode tunnel.
</p><p>
Configurer ceci est très rapide. Pour tunneler tout le trafic vers
130.161.0.0/16 à partir de 10.0.0.216 via 10.0.0.11, nous éditons ce
qui suit sur 10.0.0.216 :
<pre class="screen">#!/sbin/setkey -f
flush;
spdflush;
add 10.0.0.216 10.0.0.11 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";
spdadd 10.0.0.0/24 130.161.0.0/16 any -P out ipsec
esp/tunnel/10.0.0.216-10.0.0.11/require;
</pre>
Notez que l'option '-m tunnel' est vitale ! Ceci configure
tout d'abord une Association de Sécurité ESP entre les points
terminaux de notre tunnel, à savoir 10.0.0.216 et 10.0.0.11.
</p><p>
Nous allons ensuite réellement configurer le tunnel. On doit indiquer au noyau
d'encrypter tout le trafic de 10.0.0.0/24 vers 130.161.0.0. De plus,
ce trafic doit être envoyé vers 10.0.0.11.
</p><p>
10.0.0.11 a également besoin d'être configuré :
<pre class="screen">#!/sbin/setkey -f
flush;
spdflush;
add 10.0.0.216 10.0.0.11 esp 34501
-m tunnel
-E 3des-cbc "123456789012123456789012";
spdadd 10.0.0.0/24 130.161.0.0/16 any -P in ipsec
esp/tunnel/10.0.0.216-10.0.0.11/require;
</pre>
Notez que ceci est exactement identique, à l'exception du
changement de '-P out' en '-P in'. Les exemples précédents n'ont
configuré le trafic que dans un seul sens. Il est laissé comme
exercice au lecteur le soin de compléter l'autre moitié du tunnel.
</p><p>
Le nom de 'proxy ESP' est également donné pour cette configuration,
ce qui est un peu plus clair.
</p><p>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><table border="0" summary="Note"><tr><td valign="top" align="center" rowspan="2" width="25"><img alt="[Note]" src="images/note.png" /></td><th align="left">Note</th></tr><tr><td valign="top" align="left"><p>
Le tunnel IPSEC a besoin d'avoir la transmission IP activée dans
le noyau !
</p></td></tr></table></div>
</p></div><div class="navfooter"><hr /><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ch07s02.html">Précédent</a> </td><td align="center" width="20%"><a accesskey="u" href="ch07.html">Niveau supérieur</a></td><td align="right" width="40%"> <a accesskey="n" href="ch07s04.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">Gestion automatique des clés </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> Autre logiciel IPSEC</td></tr></table></div></body></html>
