StrongSwan: Configurer StrongSwan
Généralités à l'installation
Même si StrongSwan connaît deux variantes d'IPsec, je vais me borner à un des
deuc. IKEv1 a si pris de
l'âge, d'autant qu'il pose des problèmes à quelque regard, notamment en rapport
avec NAT. En outre la
procédure de négocier des clés de connexion est comparativement gauche.
En ce regard IKEv2 est considérablement plus sophistiqué pourquoi il est
recommandé de choisir IKEv2 pour des connexions IPsec. Comme StrongSwan
supporte les deux, vous pouvez utiliser les deux en cas de besoin – je vais me
borner à expliquer établir des connexions IKEv2.
strongswan.conf
Vous spécifiez le comportement de StrongSwan même dans ce fichier. Il contient des paramètres comme les plug-ins à charger, les algorithmes cryptographiques à utiliser ou les identités à utiliser lorsque StrongSwan doit se connecter p. ex. à MySQL ou un serveur RADIUS. Mais l'enregistrement des messages est des interna comment StrongSwan doit gérer IPsec sont ajustés ici.
On y établira plusieurs zones que sont introduites par un nom et enserrées par
des accolades. Ils peuvent contenir des additionnelles sous-zones ainsi que des
couples de nom et valeur qu'établissent des diverses conventions.
Veuillez observer que vous ne puissiez établir ni des autorités de
certification ni des connexions dans ce fichier!
ipsec.conf
Vous spécifiez dans ce fichier comment StrongSwan travaille avec des connexions
IPsec. Vous y spécifiez des paramètres générales qui influent sur IPsec en tout
même si des autorités de certification et des connexions. Vous pouvez spécifier
individuellement pour toute autorité de certification et toute connexion
comment les manier, mais vous pouvez fort bien des valeurs par défaut qui sont
appliquées à toutes autorités de certification et connexions que vous pouvez
écraser en cas de besoin.
Ce fichier doit seulement contenir une seule zone contenant des valeurs
générales, mais vous pouvez alors définir n'importe combien des autorités de
certification et des connexions.
ipsec.secrets
Vous spécifiez les parts secrètes du contrôle d'accès. Vous pouvez spécifier
ici des différents types de secret commençant avec des clés partagées et des
procédures d'authentification élargies aux smartcards et des
containers PKCS#12.
Le nombre des secrets contenus n'est pas limité.
La configuration
Il faut modifier les trois fichiers en accord de votre besoin pour configurer
StrongSwan. Il est en règle générale nécessaire de modifier
strongswan.conf seulement une fois; ensuite son
contenu demeure constant. Il est seulement nécessaire de le modifier lorsque
vous voulez adapter certains paramètres en accord des développements récents ou
vous voulez appliquer des additionnelles caractéristiques de StrongSwan.
Il faut que vous modifiez les autres deux fichiers lorsque vous introduirez
des nouvelles connexions ou autorités de certifications ou effacerez lesquelles
que vous n'utilisez plus. Mais s'il y a des changements nécessaire il faut
adapter ces fichiers, p. ex. pour adapter les procédures d'authentification,
lorsque vous voulez prendre des sous-réseaux derrière quelques bouts en compte,
etc. – ou simplement pour commuter une connexion à un autre mode.