Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Racoon - IPSec

Je vais essayer de faire simple. Si nécessaire, je donnerai les fichiers de conf et tous les autres renseignements utiles.

J'ai deux sites.

Sur UN site, j'ai UN serveur qui fait office de serveur de certificats. Il délivre des certificats pour DEUX passerelles. Je configure racoon.conf pour utiliser ces certificats. Le tunnel IPSec monte sans aucun problème entre les deux passerelles.

Maintenant: je modifie ma configuration:

Sur CHAQUE site, j'ai un serveur qui fait office d'autorité de certification. Je copie les certificats etc. comme le prévoit la doc et modifie racoon.conf.

La liaison IPSec avec les certificats x509 fonctionne entre les deux passerelles, mais n'est pas logique. Je m'explique.

Les certificats, pour racoon, sont stockés dans /etc/racoon/certs.

Sur une passerelle, on a (la config est identique pour l'autre passerelle)
- 1 - son certificat,
- 2 - sa clé privée.
Ces deux fichiers ont été émis et signés par l'autorité de certification de l'autre site.
Jusqu'ici, cela respecte les docs.

- 3 - Le certificat de l'autorité de SON site.
- 4 - Un lien symbolique vers ce certificat.
Pas logique (cf. fichier racoon.conf ci-dessous). On aurait dû avoir le certificat de l'autorité de certification qui a délivré - 1 et 2 - .

- 5 - On ne trouve pas, sur cette passerelle: le certificat de l'autre passerelle (mais le tunnel va quand même bien monter).

Cela contredit tout ce que l'on peut dire dans les docs.

De plus: un exemple de racoon.conf:

remote 10.0.0.14
{
exchange_mode main,aggressive;
lifetime time 1 min;
my_identifier asn1dn;
peers_identifier asn1dn;
verify_identifier on;
verify_cert on;
certificate_type x509 "serv2.crt" "serv2.key";
ca_type x509 "ca-1.crt";

Le fichier ca-1.crt (qui a délivré le certificat serv2.crt et la clé serv2.key) N'EST PAS dans le dossier /etc/racoon/certs. Aucun message d'erreur et le tunnel monte. A quoi sert donc ca_type finalement ?

J'avoue que je suis perdu.

J'espère avec tout cela:
- avoir un système qui marche,
- comprendre la logique,
- pouvoir, au final, monter des autorités de certification de sous-niveau.

Si on peut me donner quelques tuyaux sur cette non-logique.

Par avance, un grand merci.