On Fri, Nov 08, 2002 at 08:15:43PM +0100, Xavier MAILLARD wrote: > On Thu, 7 Nov 2002, Lionel Elie Mamane spake thusly:
>> Oui, oui. J'ai aussi mis en place IPSEC sur le r�seau sans fil, pour >> avoir un minimum de vie priv�e. Tu te sens partant pour �a? >> (Si tu as des machines Microsoft Windows 2000 dans le lot, >> z'attention, il y a des pi�ges � �viter). > Une adresse � ma proposer, un howto bien senti ? Euh... Pour les machines Windows 2000, ce qui m'a sauv� la vie, c'est http://jixen.tripod.com/win2k-screen.html Sinon, le web regorge de howto's diverses et vari�es. J'ai post� mes configs dans un autre message, tu peux t'en inspirer. Sinon, par rapport � l'URL que je t'ai donn�e, j'ai mis 3DES/SHA1 en premier choix (et non MD5). N'utilise pas de l'authentification par cl� partag�e, utilise des certificats X.509 si tu peux, c'est beaucoup mieux. Pour importer le certificat, attention!!!! Ne pas double-cliquer dessus!!! Je l'ai fait, il l'a mis dans les "certificats utilisateurs", et pas "certificats machine". Pas grave, me suis-je dit. Glisser-d�poser, et hop! Cet imb�cile de Windows 2000 n'a copi� que la cl� publique, pas la cl� priv�e. Mais quand on double-clique sur le certificat il dit toujours "Vous avez la cl� secr�te pour ce certificat", alors qu'il l'a perdue :( Proc�dure d�taill�e l�: http://support.real-time.com/open-source/ipsec/index.html Bon, pour les machines s�rieuses, quelques docs qui m'ont l'air pas trop mal (mais que je n'ai pas utilis�es moi-m�me, use the source (err... documentation) Luke: http://www.natecarlson.com/linux/ipsec-x509.php http://security.nta.no/freeswan-w2k.html Et, last but not least: file:/usr/share/doc/freeswan/ En vrac: - les logs de pluto sont dans /var/log/auth.log La premi�re fois, �a surprend - les logs de la partie kernel (klips? j'ai oubli�) sont dans /var/log/syslog, comme on s'y attend. - tu sais recompiler un kernel? N'oublies pas "export PATCH_THE_KERNEL=AUTO", --added-patches=freeswan et "--config menuconfig". Fais bien un "make-kpkg clean" avant. J'ai utilis� le kernel 2.4.19 (paquet de sources Debian), et le freeswan et kernel-patch-freeswan-ext de sid. Pour bien enfoncer le clou: Utilise de l'authentification RSA ou par certificats X.509. Pas de secret partag�, non. Bon, voil�, je vois rien d'autre de sp�cial � dire pour l'instant. Si t'as des questions, n'h�sites pas (sur la liste, mais CC (ou BCC) moi, je lis pas la liste tr�s r�guli�rement). -- Lionel
pgpyAkPjr0cCa.pgp
Description: PGP signature
