> Après freeswan accepte les connexions clientes en ipsec en fonction
> des clés qui sont entrées dans le DNS, le seul souci semble etre
> pour l'authentification qui peut toutefois etre effectuée au niveau
> MAC addresses par le serveur DHCP avec des adresses IP statiques.
Personnellement, je ne me fierais pas à une authentification basé sur
l'adresse MAC. Sous Linux et sous Windows, il existe des drivers
permettant de changer de manière logicielle l'adresse MAC de la carte
réseau, et donc de se faire passer pour une autre machine. Ou sinon,
sous linux on peut forger ses propres paquets au niveau ethernet, en
écrivant directement sur la carte réseau en mode RAW.
Donc ce type d'authentification ne me semble pas une bonne solution,
surtout pour du WIFI (où a priori, n'importe qui peu se connecter). Je
serais plus pour un solution comme celle de Jérôme, à base
d'authentification utilisateur via un serveur Apache + SSH, qui modifie
à la volée les règles iptables.
Quand aux certificats X509, je n'ai qu'une vague idée de ce que c'est.
Olivier
