著者: Luc Saccavini 日付: To: Marc Chachereau CC: guilde 題目: Re: FreeSwan et iptables
marc.chachereau@??? said: > sur un "proxy firewall" protégeant un intranet d'un autre ... (ne pas
> chercher à comprendre, trop complexe), nous souhaitons utiliser
> FreeSwan pour offrir une fonction VPN. Notre proxy/firewall possède
> deux interfaces réseaux, eth0 et eth1. nous utilisons une possibilité
> avancé de filtrage d'iptable "queue" nous permettant de traiter les
> paquets à un niveau applicatif après leur passage dans la chaîne
> input. Sans VPN tout fonctionne sans problème. Avec VPN, tout se
> complique, le VPN donne directement accès ou sous réseau de
> l'interface eth1. Les paquets encryptés sont décryptés par free/swan
> et ne peuvent être traités par notre proxy/firewall. En effet, pour
> que le traitement puisse avoir lieu il faut que nos trames décryptées
> soient réinjectées dans la chaîne INPUT par eth0.
Il manque un peu de contexte pour bien comprendre la problématique, mais
à priori il y deux pistes qui peuvent peut-être creusées :
-faire de l'IPsec sans chiffrement (uniquement authentification AH,
pas d'ESP)
-faire du tunnel L2TP (RFC2661), mais c'est une solution plutôt adaptée
à du VPN client pour des nomades (toujours si le chifremment n'est pas
une nécessité)