<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"><head><title>tunnels IPSEC</title><link href="style.css" rel="stylesheet" type="text/css" /><meta content="DocBook XSL Stylesheets V1.73.2" name="generator" /><link rel="start" href="index.html" title="HOWTO du routage avancé et du contrôle de trafic sous Linux" /><link rel="up" href="ch07.html" title="Chapitre 7. IPSEC: IP sécurisé à travers Internet" /><link rel="prev" href="ch07s02.html" title="Gestion automatique des clés" /><link rel="next" href="ch07s04.html" title="Autre logiciel IPSEC" /></head><body><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">tunnels IPSEC</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ch07s02.html">Précédent</a> </td><th align="center" width="60%">Chapitre 7. IPSEC: IP sécurisé à travers Internet</th><td align="right" width="20%"> <a accesskey="n" href="ch07s04.html">Suivant</a></td></tr></table><hr /></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title"><a id="lartc.ipsec.tunnel" />tunnels IPSEC</h2></div></div></div><p> Jusqu'ici, nous n'avons seulement considéré IPSEC dans le mode appelé 'transport' où les points terminaux comprennent directement IPSEC. Comme ceci n'est pas souvent le cas, il peut être nécessaire d'avoir des routeurs qui, eux seuls, comprennent IPSEC et qui réalisent le travail pour les hôtes se trouvant derrière eux. Ceci est appelé le mode tunnel. </p><p> Configurer ceci est très rapide. Pour tunneler tout le trafic vers 130.161.0.0/16 à partir de 10.0.0.216 via 10.0.0.11, nous éditons ce qui suit sur 10.0.0.216 : <pre class="screen">#!/sbin/setkey -f flush; spdflush; add 10.0.0.216 10.0.0.11 esp 34501 -m tunnel -E 3des-cbc "123456789012123456789012"; spdadd 10.0.0.0/24 130.161.0.0/16 any -P out ipsec esp/tunnel/10.0.0.216-10.0.0.11/require; </pre> Notez que l'option '-m tunnel' est vitale ! Ceci configure tout d'abord une Association de Sécurité ESP entre les points terminaux de notre tunnel, à savoir 10.0.0.216 et 10.0.0.11. </p><p> Nous allons ensuite réellement configurer le tunnel. On doit indiquer au noyau d'encrypter tout le trafic de 10.0.0.0/24 vers 130.161.0.0. De plus, ce trafic doit être envoyé vers 10.0.0.11. </p><p> 10.0.0.11 a également besoin d'être configuré : <pre class="screen">#!/sbin/setkey -f flush; spdflush; add 10.0.0.216 10.0.0.11 esp 34501 -m tunnel -E 3des-cbc "123456789012123456789012"; spdadd 10.0.0.0/24 130.161.0.0/16 any -P in ipsec esp/tunnel/10.0.0.216-10.0.0.11/require; </pre> Notez que ceci est exactement identique, à l'exception du changement de '-P out' en '-P in'. Les exemples précédents n'ont configuré le trafic que dans un seul sens. Il est laissé comme exercice au lecteur le soin de compléter l'autre moitié du tunnel. </p><p> Le nom de 'proxy ESP' est également donné pour cette configuration, ce qui est un peu plus clair. </p><p> <div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><table border="0" summary="Note"><tr><td valign="top" align="center" rowspan="2" width="25"><img alt="[Note]" src="images/note.png" /></td><th align="left">Note</th></tr><tr><td valign="top" align="left"><p> Le tunnel IPSEC a besoin d'avoir la transmission IP activée dans le noyau ! </p></td></tr></table></div> </p></div><div class="navfooter"><hr /><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ch07s02.html">Précédent</a> </td><td align="center" width="20%"><a accesskey="u" href="ch07.html">Niveau supérieur</a></td><td align="right" width="40%"> <a accesskey="n" href="ch07s04.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">Gestion automatique des clés </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> Autre logiciel IPSEC</td></tr></table></div></body></html>