On commence pour installer les services :<\/p>\n Pour la configuration IPsec, on va modifier dans un premier temps le fichier \/etc\/ipsec.conf<\/em><\/p>\n D\u00e9tail de la config :<\/em><\/p>\n – leftid= correspond \u00e0 l’IP de votre serveur<\/em><\/p>\n Ensuite on modifie la cl\u00e9 partag\u00e9e IPSEC dans le fichier \/etc\/ipsec.secrets<\/em><\/p>\n D\u00e9tail de la config :<\/em><\/p>\n – \u00e0 nouveau, 123.456.123.456 est l’IP de votre serveur ;<\/em><\/p>\n – superclepsk : il s’agit de la cl\u00e9 de s\u00e9curit\u00e9, attention \u00e0 mettre quelque chose de solide.<\/em><\/p>\n Les tunnels IPSec purs utilisent les ports UDP 500 et UDP 4500 si vous voulez ajouter des r\u00e8gles de firewall sur votre serveur (ou votre client).<\/p>\n Maintenant on passe \u00e0 la configuration de xl2tpd, le service L2TP.<\/p>\n Pour cela on commence par modifier le fichier \/etc\/xl2tpd\/xl2tpd.conf<\/em><\/p>\n D\u00e9tail de la config :<\/em><\/p>\n – port = 1701, correspond au port L2TP. A d\u00e9bloquer dans le firewall ;<\/em><\/p>\n – ip range = 10.0.1.10-10.0.1.100, correspond \u00e0 la plage des ip pour les clients du vpn ;<\/em><\/p>\n – local ip = 10.0.1.1, correspond \u00e0 l’IP du serveur dans le vpn.<\/em><\/p>\n Pour le fonctionnement de L2TP, nous avons besoin du port UDP 1701.<\/p>\n Il reste deux fichiers \u00e0 \u00e9diter :<\/p>\n D\u00e9tail de la config :<\/em><\/p>\n – superutilisateur : c’est le login que vous allez utiliser en plus de la cl\u00e9 ipsec ;<\/em><\/p>\n – supermotdepasse : c’est le mot de passe associ\u00e9 au login ;<\/em><\/p>\n – VPN : c’est le nom du VPN, ce nom doit \u00eatre strictement identique au param\u00e8tre name = dans le fichier \/etc\/xl2tpd\/xl2tpd.conf ;<\/em><\/p>\n – l’IP : correspond \u00e0 l’IP que vous attribuez \u00e0 l’utilisateur dont vous venez de d\u00e9clarer le login\/mot de passe. Vous pouvez mettre une ast\u00e9risque si vous ne voulez pas affecter d’IP.<\/em><\/p>\n Vous pouvez ajouter des utilisateurs suppl\u00e9mentaires en ajoutant des lignes en dessous.<\/em><\/p>\n Maintenance, notre serveur est configur\u00e9.<\/p>\n Pour que l’on puisse sortir sur internet une fois le tunnel connect\u00e9, il faut cr\u00e9er un r\u00e8gle de NAT :<\/p>\n On peut aller d\u00e9marrer ou red\u00e9marrer les services :<\/p>\n Il ne nous reste plus qu’\u00e0 configurer notre p\u00e9riph\u00e9rique pour acc\u00e9der au tunnel.<\/p>\n Vous avez besoin des \u00e9l\u00e9ments suivants :<\/p>\n La configuration sous Android se passe en deux temps :<\/p>\napt-get update\napt-get upgrade\napt-get install strongswan ppp xl2tpd<\/code><\/pre><\/figure>\nConfiguration IPSEC<\/h2>\n
version 2.0\n\nconfig setup\n virtual-private=%v4:10.0.0.0\/8,%v4:192.168.0.0\/16,%v4:172.16.0.0\/12,%v4:!192.168.42.0\/24,%v4:!192.168.43.0\/24\n protostack=netkey\n nhelpers=0\n interfaces=%defaultroute\n uniqueids=no\n\nconn shared\n left=%defaultroute\n leftid=123.456.123.456\n right=%any\n encapsulation=yes\n authby=secret\n pfs=no\n rekey=no\n keyingtries=5\n dpddelay=30\n dpdtimeout=120\n dpdaction=clear\n ike=3des-sha1,3des-sha2,aes-sha1,aes-sha1;modp1024,aes-sha2,aes-sha2;modp1024,aes256-sha2_512\n phase2alg=3des-sha1,3des-sha2,aes-sha1,aes-sha2,aes256-sha2_512\n sha2-truncbug=yes\n\nconn l2tp-psk\n auto=add\n leftprotoport=17\/1701\n rightprotoport=17\/%any\n type=transport\n phase2=esp\n also=shared\n\nconn xauth-psk\n auto=add\n leftsubnet=0.0.0.0\/0\n rightaddresspool=192.168.43.10-192.168.43.250\n modecfgdns1=8.8.8.8\n modecfgdns2=8.8.4.4\n leftxauthserver=yes\n rightxauthclient=yes\n leftmodecfgserver=yes\n rightmodecfgclient=yes\n modecfgpull=yes\n xauthby=file\n ike-frag=yes\n ikev2=never\n cisco-unity=yes\n also=shared<\/code><\/pre><\/figure>\n123.456.123.456 %any : PSK "superclepsk"<\/code><\/pre><\/figure>\nConfiguration L2TP<\/h2>\n
[global]\nport = 1701\n\n[lns default]\nip range = 10.0.1.10-10.0.1.100\nlocal ip = 10.0.1.1\nrequire chap = yes\nrefuse pap = yes\nrequire authentication = yes\nname = VPN\npppoptfile = \/etc\/ppp\/options.xl2tpd\nlength bit = yes<\/code><\/pre><\/figure>\n\n
GNU nano 2.2.6 File: chap-secrets\n\n# Secrets for authentication using CHAP\n# client server secret IP addresses\n"superutilisateur" VPN "supermotdepasse" "10.0.1.10"<\/code><\/pre><\/figure>\n\n
+mschap-v2\nipcp-accept-local\nipcp-accept-remote\nms-dns 8.8.8.8\nms-dns 8.8.4.4\nnoccp\nauth\nmtu 1280\nmru 1280\nproxyarp\nlcp-echo-failure 4\nlcp-echo-interval 30\nconnect-delay 5000<\/code><\/pre><\/figure>\nRoutage du traffic et d\u00e9marrage des services.<\/h2>\n
iptables -t nat -A POSTROUTING -s 10.0.1.0\/24 -j MASQUERADE<\/code><\/pre><\/figure>\n\/etc\/init.d\/ipsec restart\n\/etc\/init.d\/xl2tpd restart<\/code><\/pre><\/figure>\nConfiguration du client : Exemple sous Android<\/h2>\n
\n
\n
![\"\"](\"https:\/\/blog.vincentcharles.ovh\/wp-content\/uploads\/2017\/12\/Screenshot_20171208-074754.png\")
<\/a><\/p>\n