LDP
/
LDP
mirror of https://github.com/tLDP/LDP
0
1
Fork 0
Code Releases Activity

Update of french version to 0.48.1

This commit is contained in:
pbldp 2005-01-22 17:08:36 +00:00
parent 6be03bc7b9
commit 6dab676d23
2 changed files with 1379 additions and 97 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1000
LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx
View File

File diff suppressed because it is too large Load Diff

476
LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml
View File

@ -29,6 +29,9 @@ Bieringer
<revhistory>
<revision><revnumber>0.48.1.fr.1</revnumber><date>20-01-2005</date> <authorinitials>MB</authorinitials> <revremark>Voir <link linkend="revision-history">l'historique des révisions</link> pour plus de détails</revremark></revision>
<revision><revnumber>0.47.fr.1</revnumber><date>05-09-2004</date> <authorinitials>MB</authorinitials> <revremark>Voir <link linkend="revision-history">l'historique des révisions</link> pour plus de détails</revremark></revision>
@ -54,7 +57,7 @@ L'objet de cet HOWTO IPv6 Linux est de r
Généralités
</title>
<remark>
CVS-ID: &dollar;Id: Linux+IPv6-HOWTO.fr.lyx,v 1.21 2004/09/08 19:48:57 pbldp Exp &dollar;
CVS-ID: &dollar;Id: Linux+IPv6-HOWTO.fr.lyx,v 1.23 2005/01/01 21:41:14 pbldp Exp &dollar;
</remark>
<para>
Vous trouverez les informations concernant les différentes traductions disponibles dans la section <link linkend="general-translations">Traductions</link>.
@ -68,7 +71,7 @@ Copyright, licence et autres
Copyright
</title>
<para>
Rédaction et Copyright (C) 2001-2004 Peter Bieringer, traduction francophone et Copyright (C) 2003-2004 Michel Boucey
Rédaction et Copyright (C) 2001-2005 Peter Bieringer, traduction francophone et Copyright (C) 2003-2005 Michel Boucey
</para>
</sect2>
@ -339,7 +342,7 @@ Les modifications des lignes de code propres
La génération du SGML
</title>
<para>
Le SGML est généré en utilisant la fonction d'exportation de LyX.
Le code SGML est généré en utilisant la fonction d'exportation de LyX.
</para>
<para>
Des solutions ont été apportées afin de créer un code SGML plus propre (voir aussi ici pour le programme Perl, <ulink url="http://cvsview.tldp.org/index.cgi/LDP/users/Peter-Bieringer/">TLDP-CVS / users / Peter-Bieringer</ulink>):
@ -918,7 +921,7 @@ Pour en savoir plus sur l'histoire d'IPv6, jetez un oeil aux anciens RFC concern
Historique d'IPv6 pour Linux
</title>
<para>
Les années 1992, 1993 et 1994 de l'histoire d'IPv6 (dans ses généralités) sont couvertes par le document suivant: <ulink url="http://www.laynetworks.com/users/webs/IPv6.htm#CH3">IPv6 ou IPng (IP nouvelle génération)</ulink>.
Les années 1992, 1993 et 1994 de l'histoire d'IPv6 (dans ses généralités) sont couvertes par le document suivant: <ulink url="http://www.laynetworks.com/IPv6.htm#CH3">IPv6 ou IPng (IP nouvelle génération)</ulink>.
</para>
<para>
A faire: plus de détails historiques, plus de contenu...
@ -2630,7 +2633,7 @@ sit0 a une signification particuli
Les interfaces PPP
</title>
<para>
Les interfaces PPP acquiérent leur capacité IPv6 grâce à un démon PPP disposant d'IPv6.
Les interfaces PPP acquièrent leur capacité IPv6 grâce à un démon PPP disposant d'IPv6.
</para>
</sect3>
@ -6209,10 +6212,10 @@ Est support
<sect1>
<title>
L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur (<emphasis>Router Advertisement Daemon</emphasis>, ou radvd)
L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur
</title>
<para>
A compléter. Voir plus bas <link linkend="hints-daemons-radvd">l'auto-configuration par le démon radvd</link>.
A compléter. Voir plus bas <link linkend="hints-daemons-radvd">l'auto-configuration par le démon radvd</link> (<emphasis>Router Advertisement Daemon</emphasis>).
</para>
</sect1>
@ -7402,40 +7405,36 @@ L'encryptage et l'authentification
</title>
<para>
A la différence d'IPv4, l'encryptage et l'authentification sont des fonctionnalités que ne fournit pas IPv6 lui-même. Elles sont normalement implémentées par l'utilisation d'IPsec (qui peut également être employé par IPv4).
</para>
<para>
Cependant, à cause de l'indépendance de l'encryptage et de l'authentification à l'égard du protocole d'échange de clés, il existe actuellement des problèmes d'inter-opérativité.
</para>
<sect1>
<title>
Son support dans le noyau
Les modes d'emploi de l'encryptage et de l'authentification
</title>
<para>
Deux modes d'encryptage et d'authentification sont possibles:
</para>
<sect2>
<title>
Son support dans le noyau Linux vanille 2.4.x
Le mode transport
</title>
<para>
Il manque actuellement à 2.4 vanille. Le problème est de garder les sources du noyau Linux éloignées des questions de contrôles légaux d'import/export concernant le code d'encryptage en général. C'est une des raisons pour lesquelles <ulink url="http://www.freeswan.org/">le projet FreeS/WAN</ulink> (IPsec pour IPv4 seulement) n'est pas encore compris dans les sources vanille.
Le mode transport est un mode de connexion réellement de bout-en-bout. Ici, seule la charge utile (généralement ICMP, TCP ou UDP) est encryptée avec son en-tête particulier, tandis que l'en-tête IP n'est pas encrypté (mais couramment inclus dans l'authentification).
</para>
<para>
Utilisant AES-128 pour l'encryptage et SHA1 pour l'authentification, ce mode diminue la MTU de 42 octets.
</para>
</sect2>
<sect2>
<title>
Son support dans le noyau USAGI
Le mode tunnel
</title>
<para>
En juillet 2001, le projet USAGI s'est décidé en faveur du code FreeS/WAN IPv6 provenant du <ulink url="http://www.ipv6.iabg.de/downloadframe/">projet IABG / IPv6</ulink> et à l'inclure dans leurs extensions au noyau. De nos jours, il travaille à l'implémentation d'IPsec à la série 2.5.x.
Le mode tunnel peut être utilisé soit dans un mode de connexion de bout-en-bout soit dans un mode de connexion de passerelle-à-passerelle. Ici, le paquet IP complet est encrypté et prend un nouvel en-tête IP, le tout constituant un nouveau paquet (ce mécanisme étant connu sous le nom d'encapsulation).
</para>
</sect2>
<sect2>
<title>
Son support dans le noyau Linux vanille 2.5.x
</title>
<para>
Actuellement, les extensions IPsec au noyau USAGI sont en cours de migration dans les noyaux 2.5.x en développement.
Cependant, à cause de l'indépendance de l'encryptage et de l'authentification à l'égard du protocole d'échange de clés, il existe actuellement des problèmes d'interopérabilité. Ce mode diminue actuellement de 40 octets par rapport au mode transport. Utiliser AES-128 pour l'encryptage et SHA1 pour l'authentification diminue donc au total de 82 octets la MTU courante.
</para>
</sect2>
@ -7445,14 +7444,392 @@ Actuellement, les extensions IPsec au noyau USAGI sont en cours de migration dan
<sect1>
<title>
Utilisation
Son support dans le noyau (ESP et AH)
</title>
<sect2>
<title>
Son support dans les noyaux Linux vanille 2.4.x
</title>
<para>
Manquant à ce jour jusqu'au noyau 2.4.28 vanille, le problème était de garder les sources du noyau Linux éloignées des questions de contrôles légaux d'import/export concernant le code d'encryptage en général. C'est une des raisons pour lesquelles <ulink url="http://www.freeswan.org/">le projet FreeS/WAN</ulink> (IPsec pour IPv4 seulement) n'était pas compris dans les sources vanille. Un rétro-portage à partir de 2.6.x sera peut-être réalisé un jour.
</para>
</sect2>
<sect2>
<title>
Son support dans les noyaux Linux vanille 2.6.x
</title>
<para>
Les versions actuelles (2.6.9 et supérieures, au moment de la rédaction) supportent nativement IPsec pour IPv4 et IPv6.
</para>
<para>
Le projet USAGI a aidé à l'implémentation.
</para>
</sect2>
</sect1>
<sect1>
<title>
Echange automatique de clés (IKE)
</title>
<para>
A la différence de FreeS/WAN, dans IPsec pour 2.5.x le démon IKE &quot;racoon&quot; (pris de KAME) est utilisé à la place de &quot;pluto&quot; qui, lui, provient de FreeS/WAN.
IPsec requière un échange de clés afin de partager un secret. Ceci est essentiellement réalisé de façon automatisée par les démons IKE. Ils prennent également en charge l'authentification des entités en présence, soit par un secret commun (nommé &quot;secret pré-partagé&quot;), soit par clés RSA (qui peuvent provenir de certificats X.509).
</para>
<para>
Il a une syntaxe de configuration différente de celle de &quot;pluto&quot;; notez aussi que l'installation d'IPsec est divisée en 2 parties (IKE et la topologie de l'installation). En attentant qu'une documentation soit fournie ici même, jetez un oeil à <ulink url="http://lartc.org/howto/lartc.ipsec.html">Linux Advanced Routing & Traffic Control HOWTO / IPSEC</ulink>.
Actuellement, deux démons IKE sont disponibles pour Linux, lesquels différent totalement par la configuration et l'emploi.
</para>
<para>
Je préfère &quot;pluto&quot; à l'implémentation *S/WAN à cause de son installation plus simple et à son unique fichier de configuration.
</para>
<sect2>
<title>
Le démon IKE &quot;racoon&quot;
</title>
<para>
Le démon IKE &quot;racoon&quot; provient du projet KAME et a été porté sur Linux. Les distributions contemporaines de Linux comportent ce démon dans le paquetage &quot;ipsec-tools&quot;. Deux exécutables sont requis pour bien installer IPsec. Jetez aussi un oeil à <ulink url="http://lartc.org/howto/lartc.ipsec.html">Linux Advanced Routing & Traffic Control HOWTO / IPSEC</ulink>.
</para>
<sect3>
<title>
Manipulation de la base de données IPsec SA/SP grâce à l'outil &quot;setkey&quot;
</title>
<para>
Le rôle important de &quot;setkey&quot; est de définir la politique de sécurité (<emphasis>SP</emphasis>, <emphasis>security policy</emphasis>) pour le noyau.
</para>
<para>
Fichier: /etc/racoon/setkey.sh
</para>
<itemizedlist>
<listitem>
<para>
Exemple d'une connexion encryptée de boute-en-bout en mode transport
</para>
</listitem>
</itemizedlist>
<programlisting>
<![CDATA[#!/sbin/setkey -f
]]><![CDATA[flush;
]]><![CDATA[spdflush;
]]><![CDATA[spdadd 2001:db8:1:1::1 2001:db8:2:2::2 any -P out ipsec esp/transport//require;
]]><![CDATA[spdadd 2001:db8:2:2::2 2001:db8:1:1::1 any -P in ipsec esp/transport//require;
]]><![CDATA[
]]>
</programlisting>
<itemizedlist>
<listitem>
<para>
Exemple d'une connexion encryptée de boute-en-bout en mode tunnel
</para>
</listitem>
</itemizedlist>
<programlisting>
<![CDATA[#!/sbin/setkey -f
]]><![CDATA[flush;
]]><![CDATA[spdflush;
]]><![CDATA[spdadd 2001:db8:1:1::1 2001:db8:2:2::2 any -P out ipsec
]]><![CDATA[¬ esp/tunnel/2001:db8:1:1::1-2001:db8:2:2::2/require;
]]><![CDATA[spdadd 2001:db8:2:2::2 2001:db8:1:1::1 any -P in ipsec
]]><![CDATA[¬ esp/tunnel/2001:db8:2:2::2-2001:db8:1:1::1/require;
]]>
</programlisting>
<para>
Pour l'autre machine, vous avez juste à échanger &quot;in&quot; et &quot;out&quot;.
</para>
</sect3>
<sect3>
<title>
La configuration du démon IKE &quot;racoon&quot;
</title>
<para>
Pour sa bonne exécution, &quot;racoon&quot; requière d'être configuré. Ceci inclus les réglages relatifs à la politique de sécurité, qui doit être précédemment mise en place grâce à &quot;setkey&quot;.
</para>
<para>
Fichier: /etc/racoon/racoon.conf
</para>
<programlisting>
<![CDATA[# Fichier de configuration du démon IKE racoon.
]]><![CDATA[# Voir 'man racoon.conf' pour une description du format et des entrées.
]]><![CDATA[path include "/etc/racoon";
]]><![CDATA[path pre_shared_key "/etc/racoon/psk.txt";
]]><![CDATA[
]]><![CDATA[listen
]]><![CDATA[ {
]]><![CDATA[ isakmp 2001:db8:1:1::1;
]]><![CDATA[ }
]]><![CDATA[
]]><![CDATA[remote 2001:db8:2:2::2
]]><![CDATA[{
]]><![CDATA[ exchange_mode main;
]]><![CDATA[ lifetime time 24 hour;
]]><![CDATA[ proposal
]]><![CDATA[ {
]]><![CDATA[ encryption_algorithm 3des;
]]><![CDATA[ hash_algorithm md5;
]]><![CDATA[ authentication_method pre_shared_key;
]]><![CDATA[ dh_group 2;
]]><![CDATA[ }
]]><![CDATA[}
]]><![CDATA[
]]><![CDATA[# De passerelle-à-passerelle
]]><![CDATA[sainfo address 2001:db8:1:1::1 any address 2001:db8:2:2::2 any
]]><![CDATA[{
]]><![CDATA[ lifetime time 1 hour;
]]><![CDATA[ encryption_algorithm 3des;
]]><![CDATA[ authentication_algorithm hmac_md5;
]]><![CDATA[ compression_algorithm deflate;
]]><![CDATA[}
]]><![CDATA[
]]><![CDATA[sainfo address 2001:db8:2:2::2 any address 2001:db8:1:1::1 any
]]><![CDATA[{
]]><![CDATA[ lifetime time 1 hour;
]]><![CDATA[ encryption_algorithm 3des;
]]><![CDATA[ authentication_algorithm hmac_md5;
]]><![CDATA[ compression_algorithm deflate;
]]><![CDATA[}
]]>
</programlisting>
<para>
Fixez aussi un secret pré-partagé:
</para>
<para>
Fichier: /etc/racoon/psk.txt
</para>
<programlisting>
<![CDATA[# Fichier des clés pré-partagées utilisées pour l'authentification IKE
]]><![CDATA[# Le format est: 'identificateur' 'clé'
]]><![CDATA[
]]><![CDATA[2001:db8:2:2::2 absolumentsecret
]]>
</programlisting>
</sect3>
<sect3>
<title>
Démarrer IPsec grâce au démon IKE &quot;racoon&quot;
</title>
<para>
Il faut pour le moins que le démon soit démarré. Au premier démarrage, utiliser les modes déboguage et premier plan (<emphasis>debug and foreground</emphasis>). L'exemple suivant montre une négociation IKE réussie dans ses phases 1 (ISAKMP-SA, <emphasis>Internet Security Association Key Management Security Association</emphasis>) and 2 (IPsec-SA, <emphasis>IPsec</emphasis> <emphasis>Security Association</emphasis>):
</para>
<programlisting>
<![CDATA[# racoon -F -v -f /etc/racoon/racoon.conf
]]><![CDATA[Foreground mode.
]]><![CDATA[2005-01-01 20:30:15: INFO: @(#)ipsec-tools 0.3.3 (http://ipsec-tools.sourceforge.net)
]]><![CDATA[2005-01-01 20:30:15: INFO: @(#)This product linked
]]><![CDATA[¬ OpenSSL 0.9.7a Feb 19 2003 (http://www.openssl.org/)
]]><![CDATA[2005-01-01 20:30:15: INFO: 2001:db8:1:1::1[500] used as isakmp port (fd=7)
]]><![CDATA[2005-01-01 20:31:06: INFO: IPsec-SA request for 2001:db8:2:2::2
]]><![CDATA[¬ queued due to no phase1 found.
]]><![CDATA[2005-01-01 20:31:06: INFO: initiate new phase 1 negotiation:
]]><![CDATA[¬ 2001:db8:1:1::1[500]<=>2001:db8:2:2::2[500]
]]><![CDATA[2005-01-01 20:31:06: INFO: begin Identity Protection mode.
]]><![CDATA[2005-01-01 20:31:09: INFO: ISAKMP-SA established
]]><![CDATA[¬ 2001:db8:1:1::1[500]-2001:db8:2:2::2[500] spi:da3d3693289c9698:ac039a402b2db401
]]><![CDATA[2005-01-01 20:31:09: INFO: initiate new phase 2 negotiation:
]]><![CDATA[¬ 2001:6f8:900:94::2[0]<=>2001:db8:2:2::2[0]
]]><![CDATA[2005-01-01 20:31:10: INFO: IPsec-SA established:
]]><![CDATA[¬ ESP/Tunnel 2001:db8:2:2::2->2001:db8:1:1::1 spi=253935531(0xf22bfab)
]]><![CDATA[2005-01-01 20:31:10: INFO: IPsec-SA established:
]]><![CDATA[¬ ESP/Tunnel 2001:db8:1:1::1->2001:db8:2:2::2 spi=175002564(0xa6e53c4)
]]>
</programlisting>
<para>
Chaque direction a sa propre IPsec-SA (comme définie dans le standard IPsec). Avec &quot;tcpdump&quot; à l'écoute de la bonne interface, vous devriez voir comme résultat d'un ping IPv6:
</para>
<programlisting>
<![CDATA[20:35:55.305707 2001:db8:1:1::1 > 2001:db8:2:2::2: ESP(spi=0x0a6e53c4,seq=0x3)
]]><![CDATA[20:35:55.537522 2001:db8:2:2::2 > 2001:db8:1:1::1: ESP(spi=0x0f22bfab,seq=0x3)
]]>
</programlisting>
<para>
Comme prévu, les SPI (<emphasis>Security Parameter Index</emphasis>) négociés sont utilisés ici.
</para>
<para>
Et en utilisant &quot;setkey&quot;, les paramètres actifs courants:
</para>
<programlisting>
<![CDATA[# setkey -D
]]><![CDATA[2001:db8:1:1::1 2001:db8:2:2::2
]]><![CDATA[ esp mode=tunnel spi=175002564(0x0a6e53c4) reqid=0(0x00000000)
]]><![CDATA[ E: 3des-cbc bd26bc45 aea0d249 ef9c6b89 7056080f 5d9fa49c 924e2edd
]]><![CDATA[ A: hmac-md5 60c2c505 517dd8b7 c9609128 a5efc2db
]]><![CDATA[ seq=0x00000000 replay=4 flags=0x00000000 state=mature
]]><![CDATA[ created: Jan 1 20:31:10 2005 current: Jan 1 20:40:47 2005
]]><![CDATA[ diff: 577(s) hard: 3600(s) soft: 2880(s)
]]><![CDATA[ last: Jan 1 20:35:05 2005 hard: 0(s) soft: 0(s)
]]><![CDATA[ current: 540(bytes) hard: 0(bytes) soft: 0(bytes)
]]><![CDATA[ allocated: 3 hard: 0 soft: 0
]]><![CDATA[ sadb_seq=1 pid=22358 refcnt=0
]]><![CDATA[2001:db8:2:2::2 2001:db8:1:1::1
]]><![CDATA[ esp mode=tunnel spi=253935531(0x0f22bfab) reqid=0(0x00000000)
]]><![CDATA[ E: 3des-cbc c1ddba65 83debd62 3f6683c1 20e747ac 933d203f 4777a7ce
]]><![CDATA[ A: hmac-md5 3f957db9 9adddc8c 44e5739d 3f53ca0e
]]><![CDATA[ seq=0x00000000 replay=4 flags=0x00000000 state=mature
]]><![CDATA[ created: Jan 1 20:31:10 2005 current: Jan 1 20:40:47 2005
]]><![CDATA[ diff: 577(s) hard: 3600(s) soft: 2880(s)
]]><![CDATA[ last: Jan 1 20:35:05 2005 hard: 0(s) soft: 0(s)
]]><![CDATA[ current: 312(bytes) hard: 0(bytes) soft: 0(bytes)
]]><![CDATA[ allocated: 3 hard: 0 soft: 0
]]><![CDATA[ sadb_seq=0 pid=22358 refcnt=0
]]>
</programlisting>
</sect3>
</sect2>
<sect2>
<title>
Le démon IKE &quot;pluto&quot;
</title>
<para>
Le démon IKE &quot;pluto&quot; est inclus dans les distributions des projets *S/WAN, qui ont pour origine <ulink url="http://www.freeswan.org/">FreeS/WAN</ulink>. Le développement du projet FreeS/WAN a malheureusement été stoppé en 2004. A cause de la lenteur du développement dans le passé, deux projets en découlèrent: <ulink url="http://www.strongswan.org/">strongSwan</ulink> et <ulink url="http://www.openswan.org/">Openswan</ulink>. Aujourd'hui, des paquetages d'installation sont disponibles, au moins pour Openswan (inclus dans Fedora Core 3).
</para>
<para>
Une différence importante par rapport à &quot;racoon&quot;, un seul et unique fichier de configuration est requis. Il y a bien sûr un script d'initialisation qui automatise le lancement au démarrage de la machine.
</para>
<sect3>
<title>
La configuration du démon IKE &quot;pluto&quot;
</title>
<para>
La configuration est très similaire à celle nécessaire pour IPv4, à part une importante et nécessaire option.
</para>
<para>
Fichier: /etc/ipsec.conf
</para>
<programlisting>
<![CDATA[# /etc/ipsec.conf - Fichier de configuration d'IPsec Openswan
]]><![CDATA[#
]]><![CDATA[# Manuel: ipsec.conf.5
]]><![CDATA[version 2.0 # conforme à la seconde version de la spécification d'ipsec.conf
]]><![CDATA[
]]><![CDATA[# configuration de base
]]><![CDATA[config setup
]]><![CDATA[ # Contrôles du déboguage / journalisation : "none" pour (presque) rien, "all" pour beaucoup.
]]><![CDATA[ # klipsdebug=none
]]><![CDATA[ # plutodebug="control parsing"
]]><![CDATA[
]]><![CDATA[#Rendre indisponible l'encryptage opportuniste
]]><![CDATA[include /etc/ipsec.d/examples/no_oe.conf
]]><![CDATA[
]]><![CDATA[conn ipv6-p1-p2
]]><![CDATA[ connaddrfamily=ipv6 # Important pour IPv6!
]]><![CDATA[ left=2001:db8:1:1::1
]]><![CDATA[ right=2001:db8:2:2::2
]]><![CDATA[ authby=secret
]]><![CDATA[ esp=aes128-sha1
]]><![CDATA[ ike=aes128-sha-modp1024
]]><![CDATA[ type=transport
]]><![CDATA[ #type=tunnel
]]><![CDATA[ compress=no
]]><![CDATA[ #compress=yes
]]><![CDATA[ auto=add
]]><![CDATA[ #auto=start
]]><![CDATA[
]]>
</programlisting>
<para>
N'oubliez pas ici également de définir un secret pré-partagé.
</para>
<para>
Fichier: /etc/ipsec.secrets
</para>
<programlisting>
<![CDATA[2001:db8:1:1::1 2001:db8:2:2::2 : PSK "absolumentsecret"
]]>
</programlisting>
</sect3>
<sect3>
<title>
Démarrer IPsec grâce au démon IKE &quot;pluto&quot;
</title>
<para>
Si l'installation d'Openswan s'est achevée avec succès, un script d'initialisation doit exister permettant le démarrage d'IPsec, lancez simplement (sur chaque machine) par:
</para>
<programlisting>
<![CDATA[# /etc/rc.d/init.d/ipsec start
]]>
</programlisting>
<para>
Ensuite, démarrez une connexion sur l'une des machines. Si vous pouvez voir la ligne &quot;IPsec SA established&quot;, c'est que tout fonctionne parfaitement.
</para>
<programlisting>
<![CDATA[# ipsec auto --up ipv6-peer1-peer2
]]><![CDATA[104 "ipv6-p1-p2" #1: STATE_MAIN_I1: initiate
]]><![CDATA[106 "ipv6-p1-p2" #1: STATE_MAIN_I2: sent MI2, expecting MR2
]]><![CDATA[108 "ipv6-p1-p2" #1: STATE_MAIN_I3: sent MI3, expecting MR3
]]><![CDATA[004 "ipv6-p1-p2" #1: STATE_MAIN_I4: ISAKMP SA established
]]><![CDATA[112 "ipv6-p1-p2" #2: STATE_QUICK_I1: initiate
]]><![CDATA[004 "ipv6-p1-p2" #2: STATE_QUICK_I2: sent QI2,
]]><![CDATA[¬ IPsec SA established {ESP=>0xa98b7710 <0xa51e1f22}
]]>
</programlisting>
<para>
Parce que *S/WAN et setkey/racoon sont basés sur la même implémentation d'IPsec dans les noyaux 2.6.x,&quot;setkey&quot; peut être utilisé pour afficher les paramètres actifs courants:
</para>
<programlisting>
<![CDATA[# setkey -D
]]><![CDATA[2001:db8:1:1::1 2001:db8:2:2::2
]]><![CDATA[ esp mode=transport spi=2844489488(0xa98b7710) reqid=16385(0x00004001)
]]><![CDATA[ E: aes-cbc 082ee274 2744bae5 7451da37 1162b483
]]><![CDATA[ A: hmac-sha1 b7803753 757417da 477b1c1a 64070455 ab79082c
]]><![CDATA[ seq=0x00000000 replay=64 flags=0x00000000 state=mature
]]><![CDATA[ created: Jan 1 21:16:32 2005 current: Jan 1 21:22:20 2005
]]><![CDATA[ diff: 348(s) hard: 0(s) soft: 0(s)
]]><![CDATA[ last: hard: 0(s) soft: 0(s)
]]><![CDATA[ current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
]]><![CDATA[ allocated: 0 hard: 0 soft: 0
]]><![CDATA[ sadb_seq=1 pid=23825 refcnt=0
]]><![CDATA[2001:db8:2:2::2 2001:db8:1:1::1
]]><![CDATA[ esp mode=transport spi=2770214690(0xa51e1f22) reqid=16385(0x00004001)
]]><![CDATA[ E: aes-cbc 6f59cc30 8d856056 65e07b76 552cac18
]]><![CDATA[ A: hmac-sha1 c7c7d82b abfca8b1 5440021f e0c3b335 975b508b
]]><![CDATA[ seq=0x00000000 replay=64 flags=0x00000000 state=mature
]]><![CDATA[ created: Jan 1 21:16:31 2005 current: Jan 1 21:22:20 2005
]]><![CDATA[ diff: 349(s) hard: 0(s) soft: 0(s)
]]><![CDATA[ last: hard: 0(s) soft: 0(s)
]]><![CDATA[ current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
]]><![CDATA[ allocated: 0 hard: 0 soft: 0
]]><![CDATA[ sadb_seq=0 pid=23825 refcnt=0
]]>
</programlisting>
</sect3>
</sect2>
</sect1>
<sect1>
<title>
Informations complémentaires
</title>
<para>
Pour les noyaux Linux 2.6.x, vous pouvez également obtenir la politique et l'état d'IPsec en utilisant &quot;ip&quot;:
</para>
<programlisting>
<![CDATA[# ip xfrm policy
]]><![CDATA[...
]]><![CDATA[
]]><![CDATA[# ip xfrm state
]]><![CDATA[...
]]>
</programlisting>
</sect1>
@ -7467,7 +7844,7 @@ La Qualit
IPv6 supporte QoS par l'utilisation des labels de flux et des classes de trafic. Ceci peut être contrôlé en utilisant &quot;tc&quot; (compris dans le paquetage &quot;iproute&quot;).
</para>
<para>
Information addditionelle:
Information complémentaire:
</para>
<itemizedlist>
<listitem>
@ -7489,11 +7866,11 @@ A remplir plus avant...
Eléments d'installation des démons prêts pour IPv6
</title>
<para>
Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés
Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés.
</para>
<sect1 id="hints-daemons-bind">
<title>
Le Démon de Nom Internet Berkeley (<emphasis>Berkeley Internet Name Daemon</emphasis>, ou BIND - <emphasis>i.e.</emphasis> named)
Le Démon de Nom Internet Berkeley (named)
</title>
<para>
IPv6 est supporté depuis la version 9. Utilisez toujours la dernière version disponible. Il faut au moins utiliser la version 9, les versions plus anciennes peuvent contenir des trous de sécurité exploitables à distance.
@ -7935,7 +8312,7 @@ Note additionnelle
<itemizedlist>
<listitem>
<para>
D'une part, Apache2 supporte une méthode appelée &quot;sendfile&quot;, accélérant la fourniture des données. D'autre part, certains pilotes de NIC supportent la vérification différée des sommes de contrôle (<emphasis>offline checksumming</emphasis>). Dans certains cas, cela peut conduire à des problèmes de connexion et invalider les sommes de contrôle TCP. Il faut alors rendre indisponible &quot;sendfile&quot;, ou bien en recompilant en utilisant l'option de configure &quot;--without-sendfile&quot;, ou bien en utilisant la directive du fichier de configuration &quot;EnableSendfile off&quot;.
D'une part, Apache2 supporte une méthode appelée &quot;sendfile&quot;, accélérant la fourniture des données. D'autre part, certains pilotes de NIC supportent la vérification différée des sommes de contrôle (<emphasis>offline checksumming</emphasis>). Dans certains cas, cela peut conduire à des problèmes de connexion et invalider les sommes de contrôle TCP. Il faut alors rendre indisponible &quot;sendfile&quot;, ou bien en recompilant par l'utilisation de l'option de configure &quot;--without-sendfile&quot;, ou bien en utilisant la directive du fichier de configuration &quot;EnableSendfile off&quot;.
</para>
</listitem>
@ -8354,7 +8731,7 @@ C'est tout.
<sect1 id="hints-daemons-others">
<title>
Autres Démons
Autres démons
</title>
<para>
De nos jours c'est généralement simple, cherchez une ligne de commande d'option ou bien une valeur de configuration pour rendre disponible l'écoute IPv6. Cherchez dans la page du manuel du démon ou dans les FAQ concernées. Il peut arriver que vous ne puissiez lier le démon qu'à une adresse IPv6 &quot;any&quot; (::) et pas à une adresse IPv6 précise, par manque de support (ça dépend de la façon dont le développeur à implémenter...).
@ -9552,7 +9929,7 @@ Autriche
<itemizedlist>
<listitem>
<para>
<ulink url="http://www.ikn.tuwien.ac.at/~ipv6/">IPv6@IKNnet et le groupe de recherche MIPv6</ulink>: Vienne , Autriche (IPv6: projets, publications, diplômes / thèses de doctorat, actes de conférence, <emphasis>etc.</emphasis>)
<ulink url="http://www.ikn.tuwien.ac.at/~ipv6/">IPv6@IKNnet et le groupe de recherche MIPv6</ulink>: Vienne , Autriche (IPv6: projets, publications, diplômes / thèses de doctorat, actes de conférence, <emphasis>etc.</emphasis>)é
</para>
</listitem>
@ -10168,7 +10545,7 @@ Solaris
<sect3>
<title>
Sumitoma
Sumitoma é
</title>
<itemizedlist>
<listitem>
@ -10689,7 +11066,7 @@ Europe
<itemizedlist>
<listitem>
<para>
<ulink url="http://www.xs26.net/">Fournisseur de tunnel distribué XS26</ulink>, USA &amp; Europe
<ulink url="http://www.xs26.net/">Fournisseur de tunnel distribué XS26</ulink>, USA &amp; Europeé
</para>
</listitem>
@ -11342,7 +11719,7 @@ Description: L'intention est de discuter du plan g
<listitem>
<para>
<ulink url="http://www.tile.net/lists/showlists.php?list_id=37430">ipv6-bsd-user</ulink>
Description: Cette liste de diffusion concerne l&quot;implémentation INRIA/IMAG d'IPv6. Elle est bilingue, Francais/Anglais. Si vous souhaitez contacter les implémenteurs, essayez ipv6-bsd-core@imag.fr
Description: Cette liste de diffusion concerne l&quot;implémentation INéRIA/IMAG d'IPv6. Elle est bilingue, Francais/Anglais. Si vous souhaitez contacter les implémenteurs, essayez ipv6-bsd-core@imag.fr
</para>
</listitem>
@ -11441,6 +11818,18 @@ traceroute6, whois: <ulink url="http://www.ipng.nl/">IPng.nl</ulink>
Vérificateur de résolution AAAA <ulink url="http://www.cnri.dit.ie/cgi-bin/check_aaaa.pl">http://www.cnri.dit.ie/cgi-bin/check_aaaa.pl</ulink>
</para>
</listitem>
<listitem>
<para>
Outils divers : <ulink url="http://www.ipv6tools.com/">IPv6tools</ulink>
</para>
</listitem>
<listitem>
<para>
<ulink url="http://doc.tavian.com/ipv6util/index.htm">Outil d'analyse d'adresse IPv6</ulink> (assez similaire à l'option d'information d'ipv6calc)
</para>
</listitem>
</itemizedlist>
@ -11618,7 +12007,16 @@ La version francophone
<variablelist>
<varlistentry>
<term>
0.47.1.fr.1
0.48.1.fr.1
</term><listitem><para>20-01-2005/MB: Mise à jour au profit de la révision 0.48.1.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term>
0.47.fr.1
</term><listitem><para>05-09-2004/MB: Mise à jour au profit de la révision 0.47.
</para>
@ -11746,6 +12144,12 @@ Michel Boucey &lt;mboucey chez free point fr&gt;: pour la correction orthographi
Michele Ferritto &lt;m dot ferritto at virgilio dot it&gt;: pour avoir découvert des bogues, et pour sa traduction en langue italienne.
</para>
</listitem>
<listitem>
<para>
Daniel Roesen &lt;dr at cluenet dot de&gt;: pour ses vérifications orthographiques.
</para>
</listitem>
</itemizedlist>