Bonsoir,
jâai installĂ© strongSwan 6.0beta Vici Post-Quantum IKEv2 Daemon. Bien sĂ»r vous pouvez utiliser la version officielle dâaujourdâhui, la version 5.9 sans compiler, mais vous ne pourrez pas chiffrer avec les algorithmes OQS.
Je ne connais pas « stroongSwan VICI » câest Ă dire une configuration IPSec sans le fichier « ipsec.conf » (jâai du retard sĂ»rement) :
Avec ces fichiers donc :
/etc/strongswan.conf
/etc/swanctl/swanctl.conf
Je voulais crĂ©er un « mĂ©mo » - je me suis dis que sur ce forum câĂ©tait parfait.
Jâai fais quelques « tests » pour joindre plusieurs rĂ©seaux et sous-rĂ©seaux IPv6 (ULA et UNICAST GLOBAL) et je souhaitai ouvrir ce sujet pour ce grand plaisir de « sĂ©curitĂ© moderne ».
Je ne connais pas, ou plutĂŽt nâai « jamais utilisé » la commande « ip xfrm » non plus.
xfrm est un framework IP pour transformer les paquets (comme le chiffrement de leurs payloads (charges utiles). Ce cadre est utilisĂ© pour implĂ©menter la suite de protocoles IPsec (avec lâobjet state fonctionnant sur la base de donnĂ©es dâassociation de sĂ©curitĂ© et lâobjet policy fonctionnant sur la base de donnĂ©es de politique de sĂ©curitĂ©). Il est Ă©galement utilisĂ© pour le protocole de compression de charge utile IP et les fonctionnalitĂ©s de Mobile IPv6.
| ip xfrm state add | add new state into xfrm |
|---|---|
| ip xfrm state update | update existing state in xfrm |
| ip xfrm state allocspi | allocate an SPI value |
| ip xfrm state delete | delete existing state in xfrm |
| ip xfrm state get | get existing state in xfrm |
| ip xfrm state deleteall | delete all existing state in xfrm |
| ip xfrm state list | print out the list of existing state in xfrm |
| ip xfrm state flush | flush all state in xfrm |
| ip xfrm state count | count all existing state in xfrm |
| ip xfrm policy add | add a new policy |
|---|---|
| ip xfrm policy update | update an existing policy |
| ip xfrm policy delete | delete an existing policy |
| ip xfrm policy get | get an existing policy |
| ip xfrm policy deleteall | delete all existing xfrm policies |
| ip xfrm policy list | print out the list of xfrm policies |
| ip xfrm policy flush | flush policies |
DĂ©jĂ , je voulais remonter cette information.
AprĂšs une dĂ©connexion de ma boxe internet par exemple, je reste connectĂ© Ă la IKEv2_SA - par contre jâai Ă©tais dĂ©connectĂ© de la CHILD_SA.
root@initiator:~ # swanctl --list-sas
gw-gw: #4, ESTABLISHED, IKEv2, 66402962da1dd722_i befb11fc81c37e67_r*
local 'bw.zw3b.eu' @ 192.168.1.254[4500]
remote 'vps.zw3b.eu' @ 135.125.133.51[4500]
AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519/KE1_KYBER_L3/KE2_BIKE_L3/KE3_HQC_L3/KE4_HQC_L5
established 13185s ago, rekeying in 684s
Jâaimerai savoir si une commande permettrait de « terminer » la connexion de lâassociation de sĂ©curitĂ© IKEv2.
Bon jâai trouvĂ© la solution, pour terminer la connexion IKE_SA (enfants ou non) :
$ swanctl --terminate --ike gw-gw
Pour initialiser une connexion IKE_SA seulement :
$ swanctl --initiate --ike gw-gw
Pour initialiser une connexion IKE_SA + CHILD_SA :
$ swanctl --initiate [ --ike gw-gw ] --child gw-gw
Sur une « association de sécurité IKE » en particulier ouvrir sur un autre « Child SA » :
$ swanctl --initiate --ike gw-gw --child test
initiate failed: CHILD_SA config 'test' not found
Pour terminer une connexion CHILD_SA :
$ swanctl --terminate --ike gw-gw --child test
Documentation StrongSwan - Modern vici-based Scenarios IPv6 Configuration Examples et la page Usable Examples configurations.
Dumps de trafic IPsec sous Linux :: strongSwan Documentation
Il sâagit dâun court didacticiel expliquant comment obtenir des dumps de trafic IPsec corrects sous Linux.
De nombreux utilisateurs ne sont pas conscients de lâanomalie de capture de paquets qui se produit lors de la capture avec les paramĂštres par dĂ©faut Ă lâaide de Wireshark et tcpdump. Cet article expliquera comment effectuer des vidages de trafic corrects deâŠâ#tcpdump #wiresharp #certifs
Sous Linux, « strongSwan » installe les routes dans la table de routage 220 par défaut et nécessite donc que le noyau prenne en charge le routage basé sur des politiques.
ip -6 route show table 220
Documentation strongSwan :: Introduction to strongSwan â Routing
Documentation strongSwan :: Route-based VPN
J'ajoute un script "updown.sh"
Vu que jâessaie de passer directement sur lâinterface rĂ©seau principale, je nâutilise ce script (en bas de la page Route-based VPN. Je ne sais pas encore si câest mieux de crĂ©er des interfaces « vti_/ipsecX » ou de tout faire passer sur la carte principale. Pour lâinstant « je galĂšre avec mes routes » sans dissocier plusieurs interfaces rĂ©seaux (pour plusieurs connexions), mais au final cela pourait ĂȘtre mieux que dâavoir 20 ethernet « ipsec », je sais pas trop.
#!/bin/bash
# set charon.install_virtual_ip = no to prevent the daemon from also installing the VIP
set -o nounset
set -o errexit
VTI_IF="vti${PLUTO_UNIQUEID}"
PLUTO_MY_SOURCEIP="172.16.5.1"
#PLUTO_MARK_OUT=42
echo ''
echo 'VTP_IF : '$VTI_IF
echo 'PLUTO_VERB : '$PLUTO_VERB
echo 'PLUTO_ME : '$PLUTO_ME
echo 'PLUTO_PEER : '$PLUTO_PEER
#echo 'PLUTO_MARK_IN : '$PLUTO_MARK_IN
#echo 'PLUTO_MARK_OUT : '$PLUTO_MARK_OUT
echo 'PLUTO_MY_SOURCEIP :'$PLUTO_MY_SOURCEIP
echo 'PLUTO_PEER_SOURCEIP : '$PLUTO_PEER_SOURCEIP
echo 'PLUTO_PEER_CLIENT : '$PLUTO_PEER_CLIENT
echo ''
case "${PLUTO_VERB}" in
up-client)
ip tunnel add "${VTI_IF}" local "${PLUTO_ME}" remote "${PLUTO_PEER}" mode vti key "${PLUTO_MARK_OUT%%/*}"
# ip tunnel add "${VTI_IF}" local "${PLUTO_ME}" remote "${PLUTO_PEER}" mode vti key "42"
# ip tunnel add "${VTI_IF}" local "${PLUTO_ME}" remote "${PLUTO_PEER}" mode vti
ip link set "${VTI_IF}" up
ip addr add "${PLUTO_MY_SOURCEIP}" dev "${VTI_IF}"
# Ajoutez les itinéraires souhaités sur le tunnel
ip route add "${PLUTO_PEER_SOURCEIP}" dev "${VTI_IF}"
# Désactivez les vérifications de politique pour cette interface, sinon le noyau supprimera le trafic aprÚs le déchiffrement.
sysctl -w "net.ipv4.conf.${VTI_IF}.disable_policy=1"
# Disable RP filter for the tunnel interface
sysctl -w "net.ipv4.conf.${VTI_IF}.rp_filter=0"
;;
down-client)
ip tunnel del "${VTI_IF}"
;;
esac
Merci.
IPsec (Internet Protocol Security)
IPSec permet dâassurer des communications privĂ©es et protĂ©gĂ©es sur des rĂ©seaux IP, par lâutilisation des services de sĂ©curitĂ© cryptographiques. De plus, IPsec opĂšre Ă la couche rĂ©seau (couche 3 du modĂšle OSI), ce qui le rend indĂ©pendant des applications, et veut dire que les utilisateurs nâont pas besoin de configurer chaque application.
Son objectif est dâauthentifier et de chiffrer les donnĂ©es : le flux ne pourra ĂȘtre comprĂ©hensible que par le destinataire final (confidentialitĂ©) et la modification des donnĂ©es par des intermĂ©diaires ne pourra ĂȘtre possible (IntĂ©gritĂ©).Lors de lâĂ©tablissement dâune connexion IPsec, plusieurs opĂ©rations sont effectuĂ©es :
- Ăchange des clĂ©s
- un canal dâĂ©change de clĂ©s, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol).
Le protocole IKE (Internet Key Exchange) est chargĂ© de nĂ©gocier la connexion. Avant quâune transmission IPsec puisse ĂȘtre possible, IKE est utilisĂ© pour authentifier les deux extrĂ©mitĂ©s dâun tunnel sĂ©curisĂ© en Ă©changeant des clĂ©s.
- Transfert des données
Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :
- le protocole no 51, AH, (Authentication Header) fournit lâintĂ©gritĂ© et lâauthentification. AH authentifie les paquets en les signant, ce qui assure lâintĂ©gritĂ© de lâinformation. Une signature unique est crĂ©Ă©e pour chaque paquet envoyĂ© et empĂȘche que lâinformation soit modifiĂ©e.
- le protocole no 50, ESP (Encapsulating Security Payload), en plus de lâauthentification et lâintĂ©gritĂ©, fournit Ă©galement la confidentialitĂ© par lâentremise de la cryptographie.
IPsec peut fonctionner dans un mode transport hÎte à hÎte ou bien dans un mode tunnel réseau.
Mode transport
Dans le mode transport, ce sont uniquement les donnĂ©es transfĂ©rĂ©es (la partie payload du paquet IP) qui sont chiffrĂ©es et/ou authentifiĂ©es. Le reste du paquet IP est inchangĂ© et de ce fait le routage des paquets nâest pas modifiĂ©. NĂ©anmoins, les adresses IP ne pouvant pas ĂȘtre modifiĂ©es par le NAT sans corrompre le hash de lâen-tĂȘte AH gĂ©nĂ©rĂ© par IPsec, AH ne peut pas ĂȘtre utilisĂ© dans un environnement nĂ©cessitant ces modifications dâen-tĂȘte. En revanche, il est possible dâavoir recours Ă lâencapsulation NAT-T pour encapsuler IPSec ESP. Le mode transport est utilisĂ© pour les communications dites hĂŽte Ă hĂŽte (Host-to-Host).Mode tunnel
En mode tunnel, câest la totalitĂ© du paquet IP qui est chiffrĂ© et/ou authentifiĂ©. Le paquet est ensuite encapsulĂ© dans un nouveau paquet IP avec un nouvel en-tĂȘte IP. Au contraire du mode transport, ce mode supporte donc bien la traversĂ©e de NAT quand le protocole ESP est utilisĂ©. Le mode tunnel est utilisĂ© pour crĂ©er des rĂ©seaux privĂ©s virtuels (VPN) permettant la communication de rĂ©seau Ă rĂ©seau (c.a.d. entre deux sites distants), dâhĂŽte Ă rĂ©seau (accĂšs Ă distance dâun utilisateur) ou bien dâhĂŽte Ă hĂŽte (messagerie privĂ©e.)IPsec utilise une association de sĂ©curitĂ© (Security association) pour dicter comment les parties vont faire usage de AH (Authentication header), protocole dĂ©finissant un format dâen-tĂȘte spĂ©cifique portant les informations dâauthentification, et de ESP lâencapsulation de la charge utile dâun paquet.
Source : WikipĂ©dia â IPsec
IKE (Internet Key Exchange)
Le protocole IKE (Internet Key Exchange) est chargĂ© de nĂ©gocier la connexion. Avant quâune transmission IPsec puisse ĂȘtre possible, IKE est utilisĂ© pour authentifier les deux extrĂ©mitĂ©s dâun tunnel sĂ©curisĂ© en Ă©changeant des clĂ©s partagĂ©es ou des certificats. Ce protocole permet deux types dâauthentifications, PSK (secret prĂ©partagĂ© ou secret partagĂ©) pour la gĂ©nĂ©ration de clefs de sessions RSA ou Ă lâaide de certificats. IKE utilise lâĂ©change de clĂ©s Diffie-Hellman.
Source : WikipĂ©dia â Internet Key Exchange - Ăchange de clĂ©s Diffie-Hellman
AH (Autentification Header)
LâAutentification Header ou AH est un protocole dĂ©finissant un format dâen-tĂȘte spĂ©cifique portant les informations dâauthentification, et de lâencapsulation de la charge utile dâun paquet. Ă lâaide de lâAH on obtient lâauthentification et lâintĂ©gritĂ©. AH authentifie les paquets en les signant, ce qui assure lâintĂ©gritĂ© de lâinformation. Une signature unique est crĂ©Ă©e pour chaque paquet envoyĂ© et empĂȘche que lâinformation soit modifiĂ©e.
Source : WikipĂ©dia â Authentication Header
ESP (Encapsulating Security Payload)
Encapsulating Security Payload (ou ESP), est un protocole appartenant à la suite IPsec, permettant de combiner plusieurs services de sécurité : confidentialité, authentification et intégrité.
ESP fournit le chiffrement des messages / donnĂ©es utiles et lâauthentification dâune donnĂ©e utile et de son origine. Le protocole ESP assure la confidentialitĂ© des encapsulations des messages, des donnĂ©es utiles. ESP propose Ă©galement les services AH. ESP propose de lâauthentification de la mĂȘme maniĂšre que AH grĂące Ă lâutilisation de donnĂ©es dâen-tĂȘte : Le SPI (Security Parameters Index).
ESP ne protĂšge pas lâen-tĂȘte du paquet; cependant, dans un mode tunnel si le paquet entier est encapsulĂ© dans un autre paquet en tant que paquet de donnĂ©es utiles / donnĂ©es, il peut crypter le paquet entier rĂ©sidant Ă lâintĂ©rieur dâun autre paquet.
EAP (Extensible Authentication Protocol)
Extensible Authentication Protocol ou EAP est un protocole de communication rĂ©seau embarquant de multiples mĂ©thodes dâauthentification, pouvant ĂȘtre utilisĂ© sur les liaisons point Ă point, les rĂ©seaux filaires et les rĂ©seaux sans fil tels que les rĂ©seaux Wi-Fi.
Plusieurs mĂ©thodes dâauthentification sont prĂ©dĂ©finies (MD5, OTP (One-Time Passwords), Generic Token Card, SIM, etc.) mais il est possible dâen rajouter sans quâil soit nĂ©cessaire de changer ou de crĂ©er un nouveau protocole rĂ©seau.
Il est conçu pour fournir un mĂ©canisme dâauthentification pour les liaisons PPP (couche 2 du modĂšle OSI) afin dâautoriser ou interdire lâĂ©tablissement de la couche rĂ©seau (couche 3 du modĂšle OSI). Ce protocole ne sâappuie donc pas sur le protocole IP (couche 3 du modĂšle OSI).
La liaison PPP est définie entre un peer et un authenticator.
Lâauthenticator peut envoyer une requĂȘte au peer pour connaĂźtre son identitĂ© ou alors de dĂ©terminer son identitĂ© par lâinterface de communication.
Cette identification est suivie dâune ou plusieurs requĂȘtes envoyĂ©es par lâauthenticator (obligatoire) avec un paramĂštre contenant la mĂ©thode dâauthentification souhaitĂ©e (MD5, OTP (One-Time Passwords), Generic Token Card, SIM, etc.)
Cette authentification peut ĂȘtre rĂ©alisĂ©e par lâauthenticator lui-mĂȘme ou dĂ©lĂ©guĂ©e Ă un service tiers (authentication server). Lâauthentification peut ĂȘtre demandĂ©e par chaque extrĂ©mitĂ©.Le protocole EAP ne supporte pas nativement la fragmentation des paquets rĂ©seau (MTU (Maximum Transmission Unit)) mais ce comportement peut ĂȘtre modifiĂ© avec certaines mĂ©thodes :
Les standards WPA et WPA2 ont adoptĂ© 5 types dâEAP comme mĂ©canismes officiels dâidentification.
- EAP-TLS
- EAP-TTLS/MSCHAPv2
- PEAPv0/EAP-MS-CHAPv2
- PEAPv1/EAP-GTC
- EAP-SIM
EAP-TLS : Câest le seul protocole EAP qui doit obligatoirement ĂȘtre implantĂ© sur un matĂ©riel pour que ce dernier puisse porter le logo WPA ou WPA2. Il offre une bonne sĂ©curitĂ©. En effet il utilise deux certificats pour la crĂ©ation dâun tunnel sĂ©curisĂ© qui permet ensuite lâidentification : un cĂŽtĂ© serveur et un cĂŽtĂ© client. Cela signifie que mĂȘme si le mot de passe est dĂ©couvert, il ne sera dâaucune utilitĂ© sans le certificat client. Bien que EAP-TLS fournisse une excellente sĂ©curitĂ©, lâobligation de disposer dâun certificat client est peut-ĂȘtre son talon dâAchille. En effet lorsque lâon dispose dâun grand parc de machines, il peut sâavĂ©rer difficile et coĂ»teux de gĂ©rer un certificat par machine. Câest pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont Ă©tĂ© crĂ©Ă©s.
Il utilise une Infrastructure Ă clĂ©s publiques (PKI) pour sĂ©curiser les communications dâidentification entre les clients et le serveur RADIUS (Remote Authentication Dial-In User Service).EAP-TTLS ou EAP-Tunneled Transport Layer Security utilise des certificats X-509 uniquement sur le serveur dâidentification. Le certificat est optionnel du cĂŽtĂ© client. Il offre un trĂšs bon niveau de sĂ©curitĂ©. Le dĂ©faut de EAP-TTLS par rapport Ă PEAP est de ne pas ĂȘtre prĂ©sent nativement sur les systĂšmes Microsoft et Cisco. En revanche, il est lĂ©gĂšrement plus sĂ©curisĂ© que PEAP car il ne diffuse pas le nom de lâutilisateur en clair.
PEAP Protected EAP : PEAP est trĂšs similaire Ă une autre mĂ©thode EAP : EAP-TTLS. Protected EAP a Ă©tĂ© crĂ©Ă© pour contrer EAP-TTLS qui Ă©tait jusque-lĂ la seule mĂ©thode EAP Ă utiliser une Infrastructure Ă clĂ©s publiques (Public Key Infrastructure, PKI) que du cĂŽtĂ© serveur, pour la crĂ©ation dâun tunnel TLS protĂ©geant lâidentification. Dans ces deux standards, lâutilisation dâune clef publique cĂŽtĂ© client est optionnelle. Il existe deux versions de PEAP certifiĂ©es WPA (mise Ă jour) et WPA2 : PEAPv0/EAP-MS-CHAPv2 et PEAPv1/EAP-GTC.
EAP-SIM est une mĂ©thode EAP pour les clients des rĂ©seaux Wi-Fi et des rĂ©seaux de tĂ©lĂ©phonie mobile GSM, UMTS et LTE. Il est utilisĂ© pour lâidentification et la distribution de clefs au travers des rĂ©seaux ; SIM signifie « Subscriber Identity Module ».
Autres méthodes EAP (Extensible Authentication Protocol) :
- LEAP, EAP-MD5, EAP-FAST, EAP-AKA
Source : Wikipédia : Extensible Authentication Protocol - Maximum Transmission Unit (MTU)
SA (Security Association)
Une association de sĂ©curitĂ© IPSec est une structure de donnĂ©es servant Ă stocker lâensemble des paramĂštres de sĂ©curitĂ© associĂ©s Ă une communication . Une SA Ă©tant unidirectionnelle, il faut deux SA pour protĂ©ger les deux sens dâune communication.
Source : Wikipedia â Security association
SPI (Security Parameter Index)
Lâindex des paramĂštres de sĂ©curitĂ© (SPI) est une balise dâidentification ajoutĂ©e Ă lâen-tĂȘte lors de lâutilisation dâIPsec pour tunneliser le trafic IP. Cette balise aide le noyau Ă distinguer deux flux de trafic dans lesquels des rĂšgles et algorithmes de chiffrement diffĂ©rents peuvent ĂȘtre utilisĂ©s.
Le SPI (conformĂ©ment Ă la RFC 2401) est un Ă©lĂ©ment obligatoire dâune association de sĂ©curitĂ© (SA) IPsec car il permet au systĂšme de rĂ©ception de sĂ©lectionner la SA sous laquelle un paquet reçu sera traitĂ©. Un SPI nâa quâune signification locale, puisquâil est dĂ©fini par le crĂ©ateur de la SA ; un SPI est gĂ©nĂ©ralement considĂ©rĂ© comme une chaĂźne de bits opaque. Cependant, le crĂ©ateur dâune SA peut interprĂ©ter les bits dâun SPI pour faciliter le traitement local.
Cela fonctionne comme les numĂ©ros de port dans les connexions TCP et UDP. Cela signifie quâil peut y avoir diffĂ©rentes SA utilisĂ©es pour assurer la sĂ©curitĂ© dâune connexion. Une SA pourrait donc agir comme un ensemble de rĂšgles.
TransportĂ© dans lâen-tĂȘte Encapsulated Security Payload (ESP) ou dans lâen-tĂȘte dâauthentification (AH), sa longueur est de 32 bits.
Je finis avec :
PKI (Public Key Infrastructure)
Une « infrastructure Ă clĂ©s publiques » (ICP) ou « infrastructure de gestion de clĂ©s » (IGC) ou encore « public key infrastructure » (PKI), est un ensemble de composants physiques ou matĂ©riel type Hardware Security Module (HSM), de procĂ©dures humaines (vĂ©rifications, validation) et de logiciels destinĂ© Ă gĂ©rer les clĂ©s publiques des utilisateurs dâun systĂšme.
Une infrastructure de gestion de clĂ©s permet de lier des clĂ©s publiques Ă des identitĂ©s (comme des noms dâutilisateurs ou dâorganisations). Une infrastructure de gestion de clĂ©s fournit des garanties permettant de faire a priori confiance Ă une clĂ© publique obtenue par son biais.
Une erreur courante est dâassimiler le terme « infrastructure de gestion de clĂ©s » à « autoritĂ© de certification ». Cette erreur provient probablement du terme PKIX, pour PKI X.509, qui est lui bien associĂ© aux autoritĂ©s de certification et aux certificats X.509
Lâinfrastructure Ă clĂ©s publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer et de signer des donnĂ©es. Vous pouvez alors Ă©mettre des certificats numĂ©riques pour lâauthentification de vos utilisateurs, de vos appareils et de vos services. Ces certificats Ă©tablissent des connexions sĂ©curisĂ©es pour vos pages web publiques, mais aussi vos systĂšmes privĂ©s (VPN, Wi-Fi interne, et autres services compatibles avec lâauthentification multifacteur).
Bonne journée, mesdames, messieurs.
Romain
PS : JâhĂ©site Ă mettre ici ma configuration strongSwan (ce que je ferais sĂ»rement, ultĂ©rieurement ;
â Mes tests de configuration (jâai rien de mieux pour le moment)
- La config « 1 » est un exemple des fichiers « /etc/strongSwan.conf » (Serveur / Client)
- La config « 2 » est OK sans sous-réseaux (IPv4 publique to IPv4 publique - le traceroute ne fait pas de saut entre les 2 machines connectées).
- La config « 3 » est OK de « site » à « site » (ping & services) avec sous réseaux IPv6.
- La config « 4 » est OK de « site » à « serveur » à « site » : (ping et services) avec sous-rĂ©seaux, jâen suis lĂ au 20240313.
Exemple de création de certificats SSL/TLS avec la commande « pki ».
Il faudrait essayer dâautres mĂ©thodes dâautentification â EAP (Extensible Authentication Protocol)
20240313 : Je vous ajoute mon script « firewall-icmpv6 » oĂč jâai ajoutĂ© la fonction « ipv6_strongswan() » qui permet de laisser passer les requĂȘtes UDP/TCP sur le prefix dâadresses « IPv6 SWAN Site-Local scoped » en plus de lâICMPv6 (du ping)
-
un bout du firewall-ipv6 pour checker les networks range de liens
fe80::/10, des sites-Localsfec0::/10, du multicastff00::/8(mĂȘme longueur de bloc IPv6::/64 et IPv6::/104) et des adresses localesfc00::/7
Jâai Ă©cris/copiĂ©/collĂ© ces informations sur le sujet « IPsec modern communication IPv6 et IKEv2 security ».
Ce nâest pas trop « lourd » Ă lire 
Note : pour infos jâai ouvert un sujet sur LaFibre.info pour celles et ceux qui prĂ©fĂ©raient ou qui nâont pas de compte sur Debian-Fr.org.
Greets.
GestiĂłIP : IPv6 subnet calculator
Note personnelle d'un exemple réseau IPv6 (temporaire, todo)
Date : 20240226
Info : đ„ł Network IPv6 - IPSec - strongSwan - Modern Security communication
FR.LAB3W.DC (France/Alpes)
Je configure la machine serveur « domain controller »
Ici câest chez moi Ă mon domicile.
Jâai plusieurs machines sur diffĂ©rents rĂ©seaux de machines, de tablettes, de smartphones etc.
VMBR0 <-> LAN/WAN
//-----------------------
// VMBR0 <-> LAN/WAN
//---------
// IP Address (addr unique locale magic) :
fc01:0000:0000:0000:0000:0000:0000:0253/16
// network range :
fc01:0000:0000:0000:0000:0000:0000:0000-
fc01:ffff:ffff:ffff:ffff:ffff:ffff:ffff
// IP Address (addr unique locale "fc01::") - gateway generale :
2001:cb1d:02d4:88ff:ffff:ffff:ffff:ffff/56
fc01:cb1d:02d4:88ff:ffff:ffff:ffff:ffff/56
// network range :
fc01:cb1d:02d4:8800:0000:0000:0000:0000-
fc01:cb1d:02d4:88ff:ffff:ffff:ffff:ffff
//-----------------------
VMBR1 <-> VLAN/VSERVERs
//-----------------------
// VMBR1 <-> VLAN/VSERVERs
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_D2 (a2ff:00ff/96) :
2001:cb1d:02d4:8851:0642:0000:a2ff:00ff/96
fc01:cb1d:02d4:8851:0642:0000:a2ff:00ff/96
// network range :
fc01:cb1d:02d4:8850:0000:0000:0000:0000-
fc01:cb1d:02d4:885f:ffff:ffff:ffff:ffff
//-----------------------
FR.LAB3W.BW (France/Alpes)
Je configure la machine serveur « initiateur »
Ici câest chez moi Ă mon domicile.
Jâai plusieurs machines sur diffĂ©rents rĂ©seaux de machines, de tablettes, de smartphones etc.
VMBR0 <-> LAN/WAN
//-----------------------
// VMBR0 <-> LAN/WAN
//---------
// IP Address (addr unique locale magic) :
fc00:0000:0000:0000:0000:0000:0000:0254/16
// network range :
fc00:0000:0000:0000:0000:0000:0000:0000-
fc00:ffff:ffff:ffff:ffff:ffff:ffff:ffff
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") :
2001:cb1d:2d4:8850:0642:0000:0000:0254/64
fc01:cb1d:2d4:8850:0642:0000:0000:0254/64
// network range :
fc01:cb1d:02d4:8850:0000:0000:0000:0000-
fc01:cb1d:02d4:8850:ffff:ffff:ffff:ffff
//---------
// IP Address (addr secure wide area) :
fec0:0000:0000:0000:0000:0000:0000:0254/16
// network range :
fec0:0000:0000:0000:0000:0000:0000:0000-
fec0:ffff:ffff:ffff:ffff:ffff:ffff:ffff
//---------
VMBR1 <-> VLAN/VSERVERs
//-----------------------
// VMBR1 <-> VLAN/VSERVERs
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_D1 (a1ff:00ff/96) :
2001:cb1d:02d4:8851:0642:0000:a1ff:00ff/96
fc01:cb1d:02d4:8851:0642:0000:a1ff:00ff/96
// network range :
fc01:cb1d:02d4:8851:0642:0000:0000:0000-
fc01:cb1d:02d4:8851:0642:0000:ffff:ffff
//-----------------------
DE.LAB3W.VPS (Allemagne/Berllin)
Ici câest un VPS (1 seule IPv6 UNICAST GLOBAL).
VMBR0 <-> LAN/WAN
//-----------------------
// VMBR0 <-> LAN/WAN
//---------
// IP Address (addr unicast globale "2001::/128" :
2001:41d0:701:1100::6530/128
//---------
// IP Address (addr secure wide area) :
fec0:0000:0000:0000:0000:0000:0000:0001/16
// network range :
fec0:0000:0000:0000:0000:0000:0000:0000-
fec0:ffff:ffff:ffff:ffff:ffff:ffff:ffff
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_D1 (a1ff:00ff/96) :
fec0:cb1d:02d4:885e:eeee:0642:0000:0254/61
// network range :
fec0:cb1d:02d4:8858:0000:0000:0000:0000-
fec0:cb1d:02d4:885f:ffff:ffff:ffff:ffff
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 135.125.133.51 netmask 255.255.255.0 broadcast 135.125.133.255
inet6 fec0::1 prefixlen 16 scopeid 0x40<site>
inet6 fe80::24b2:4ff:fea2:c384 prefixlen 64 scopeid 0x20<link>
inet6 2001:41d0:701:1100::6530 prefixlen 128 scopeid 0x0<global>
ether 26:b2:04:a2:c3:84 txqueuelen 1000 (Ethernet)
RX packets 216146041 bytes 93608898294 (87.1 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 231937862 bytes 48252690945 (44.9 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
VMBR1 <-> VLAN/VSERVERs
//-----------------------
// VMBR1 <-> VLAN/VSERVERs
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_00 (0000:0000:0000:0000/64) :
fc00:41d0:701:1100::fffe/64
// network range :
fc00:41d0:701:1100:0000:0000:0000:0000-
fc00:41d0:701:1100:ffff:ffff:ffff:ffff
vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.133.0.254 netmask 255.255.255.0 broadcast 10.133.0.255
inet6 fe80::7069:deff:fe53:4683 prefixlen 64 scopeid 0x20<link>
inet6 fc00:41d0:701:1100::fffe prefixlen 64 scopeid 0x0<global>
ether 72:69:de:53:46:83 txqueuelen 1000 (Ethernet)
RX packets 68448644 bytes 15499970989 (14.4 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 63449533 bytes 7999980401 (7.4 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
UK.LAB3W.VPS (Angleterre/Londres)
Ici câest un VPS (1 seule IPv6 UNICAST GLOBAL).
VMBR0 <-> LAN/WAN
//-----------------------
// VMBR0 <-> LAN/WAN
//---------
// IP Address (addr unicast globale "2001::/128" :
2001:41d0:801:2000::44f9/128
//---------
// IP Address (addr secure wide area) :
fec0:0000:0000:0000:0000:0000:0000:0243/16
// network range :
fec0:0000:0000:0000:0000:0000:0000:0000-
fec0:ffff:ffff:ffff:ffff:ffff:ffff:ffff
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_D1 (a1ff:00ff/96) :
fec0:cb1d:02d4:885e:eeee:0642:0000:0254/61
// network range :
fec0:cb1d:02d4:8858:0000:0000:0000:0000-
fec0:cb1d:02d4:885f:ffff:ffff:ffff:ffff
vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 57.128.171.43 netmask 255.255.255.0 broadcast 57.128.171.255
inet6 fe80::a09c:91ff:fed5:d3d9 prefixlen 64 scopeid 0x20<link>
inet6 fec1::243 prefixlen 128 scopeid 0x40<site>
inet6 2001:41d0:801:2000::44f9 prefixlen 128 scopeid 0x0<global>
ether a2:9c:91:d5:d3:d9 txqueuelen 1000 (Ethernet)
RX packets 778091 bytes 177948788 (169.7 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 684303 bytes 250874892 (239.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
VMBR1 <-> VLAN/VSERVERs
//-----------------------
// VMBR1 <-> VLAN/VSERVERs
//---------
// IP Address (addr unicast globale "2001::" / addr unique locale "fc01::") -> VLAN_00 (0000:0000:0000:0000/64) :
fc00:41d0:801:2000::fffe/64
// network range :
fc00:41d0:801:2000:0000:0000:0000:0000-
fc00:41d0:801:2000:ffff:ffff:ffff:ffff
vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.171.43.254 netmask 255.255.255.0 broadcast 10.171.43.255
inet6 fe80::40a9:16ff:fe94:6f1a prefixlen 64 scopeid 0x20<link>
inet6 fc00:41d0:801:2000::fffe prefixlen 64 scopeid 0x0<global>
ether 42:a9:16:94:6f:1a txqueuelen 1000 (Ethernet)
RX packets 24074 bytes 3246205 (3.0 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 20868 bytes 64167857 (61.1 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
CA.LAB3W.SRV (Canada/Montreal)
Ici câest un DĂ©diĂ© (1 bloc IPv6::/64 UNICAST GLOBAL).
//-----------------------
[...]
//-----------------------
Pour le plaisir et les nouveaux Ătres comme moi â ScienceEtonnante " LâAlgorithme qui SĂ©curise Internet (entre autresâŠ)"
David Louapre vous parle de lâĂ©tonnant algorithme de Diffie-Hellman, une mĂ©thode de cryptographie dont il a eu du mal Ă croire quâelle puisse exister !
%20A+.png)
.png)
