From 6dab676d2310b51808d5db9d20228327959e7f86 Mon Sep 17 00:00:00 2001 From: pbldp <> Date: Sat, 22 Jan 2005 17:08:36 +0000 Subject: [PATCH] Update of french version to 0.48.1 --- .../Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx | 1000 ++++++++++++++++- .../Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml | 476 +++++++- 2 files changed, 1379 insertions(+), 97 deletions(-) diff --git a/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx b/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx index c02302f9..23d79a80 100644 --- a/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx +++ b/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.lyx @@ -51,6 +51,15 @@ Bieringer \layout SGML +0.48.1.fr.120-01-2005 +MB Voir +\begin_inset LatexCommand \ref[l'historique des révisions]{revision-history} + +\end_inset + + pour plus de détails +\layout SGML + 0.47.fr.105-09-2004 M B Voir \begin_inset LatexCommand \ref[l'historique des révisions]{revision-history} @@ -113,8 +122,8 @@ Copyright, licence et autres Copyright \layout Standard -Rédaction et Copyright (C) 2001-2004 Peter Bieringer, traduction francophone - et Copyright (C) 2003-2004 Michel Boucey +Rédaction et Copyright (C) 2001-2005 Peter Bieringer, traduction francophone + et Copyright (C) 2003-2005 Michel Boucey \layout Subsection Licence @@ -438,7 +447,7 @@ i.e. La génération du SGML \layout Standard -Le SGML est généré en utilisant la fonction d'exportation de LyX. +Le code SGML est généré en utilisant la fonction d'exportation de LyX. \layout Standard Des solutions ont été apportées afin de créer un code SGML plus propre (voir @@ -3679,7 +3688,7 @@ sit0 Les interfaces PPP \layout Standard -Les interfaces PPP acquiérent leur capacité IPv6 grâce à un démon PPP disposant +Les interfaces PPP acquièrent leur capacité IPv6 grâce à un démon PPP disposant d'IPv6. \layout Subsubsection @@ -7403,11 +7412,7 @@ Est support d'une interface sur laquelle IPv6 est disponible. \layout Section -L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur ( -\emph on -Router Advertisement Daemon -\emph default -, ou radvd) +L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur \layout Standard A compléter. @@ -7416,7 +7421,11 @@ A compl \end_inset -. + ( +\emph on +Router Advertisement Daemon +\emph default +). \layout Section Le Protocole de Configuration Dynamique d'Hôte version 6 (DHCPv6) @@ -8953,63 +8962,97 @@ A la diff tés que ne fournit pas IPv6 lui-même. Elles sont normalement implémentées par l'utilisation d'IPsec (qui peut également être employé par IPv4). +\layout Section + +Les modes d'emploi de l'encryptage et de l'authentification +\layout Standard + +Deux modes d'encryptage et d'authentification sont possibles: +\layout Subsection + +Le mode transport +\layout Standard + +Le mode transport est un mode de connexion réellement de bout-en-bout. + Ici, seule la charge utile (généralement ICMP, TCP ou UDP) est encryptée + avec son en-tête particulier, tandis que l'en-tête IP n'est pas encrypté + (mais couramment inclus dans l'authentification). +\layout Standard + +Utilisant AES-128 pour l'encryptage et SHA1 pour l'authentification, ce + mode diminue la MTU de 42 octets. +\layout Subsection + +Le mode tunnel +\layout Standard + +Le mode tunnel peut être utilisé soit dans un mode de connexion de bout-en-bout + soit dans un mode de connexion de passerelle-à-passerelle. + Ici, le paquet IP complet est encrypté et prend un nouvel en-tête IP, le + tout constituant un nouveau paquet (ce mécanisme étant connu sous le nom + d'encapsulation). + \layout Standard Cependant, à cause de l'indépendance de l'encryptage et de l'authentification à l'égard du protocole d'échange de clés, il existe actuellement des problèmes - d'inter-opérativité. + d'interopérabilité. + Ce mode diminue actuellement de 40 octets par rapport au mode transport. + Utiliser AES-128 pour l'encryptage et SHA1 pour l'authentification diminue + donc au total de 82 octets la MTU courante. \layout Section -Son support dans le noyau +Son support dans le noyau (ESP et AH) \layout Subsection -Son support dans le noyau Linux vanille 2.4.x +Son support dans les noyaux Linux vanille 2.4.x \layout Standard -Il manque actuellement à 2.4 vanille. - Le problème est de garder les sources du noyau Linux éloignées des questions - de contrôles légaux d'import/export concernant le code d'encryptage en - général. +Manquant à ce jour jusqu'au noyau 2.4.28 vanille, le problème était de garder + les sources du noyau Linux éloignées des questions de contrôles légaux + d'import/export concernant le code d'encryptage en général. C'est une des raisons pour lesquelles \begin_inset LatexCommand \url[le projet FreeS/WAN]{http://www.freeswan.org/} \end_inset - (IPsec pour IPv4 seulement) n'est pas encore compris dans les sources vanille. + (IPsec pour IPv4 seulement) n'était pas compris dans les sources vanille. + Un rétro-portage à partir de 2.6.x sera peut-être réalisé un jour. \layout Subsection -Son support dans le noyau USAGI +Son support dans les noyaux Linux vanille 2.6.x \layout Standard -En juillet 2001, le projet USAGI s'est décidé en faveur du code FreeS/WAN - IPv6 provenant du -\begin_inset LatexCommand \url[projet IABG / IPv6]{http://www.ipv6.iabg.de/downloadframe/} - -\end_inset - - et à l'inclure dans leurs extensions au noyau. - De nos jours, il travaille à l'implémentation d'IPsec à la série 2.5.x. -\layout Subsection - -Son support dans le noyau Linux vanille 2.5.x +Les versions actuelles (2.6.9 et supérieures, au moment de la rédaction) supporten +t nativement IPsec pour IPv4 et IPv6. \layout Standard -Actuellement, les extensions IPsec au noyau USAGI sont en cours de migration - dans les noyaux 2.5.x en développement. +Le projet USAGI a aidé à l'implémentation. + \layout Section -Utilisation +Echange automatique de clés (IKE) \layout Standard -A la différence de FreeS/WAN, dans IPsec pour 2.5.x le démon IKE +IPsec requière un échange de clés afin de partager un secret. + Ceci est essentiellement réalisé de façon automatisée par les démons IKE. + Ils prennent également en charge l'authentification des entités en présence, + soit par un secret commun (nommé \begin_inset Quotes sld \end_inset -racoon +secret pré-partagé \begin_inset Quotes srd \end_inset - (pris de KAME) est utilisé à la place de +), soit par clés RSA (qui peuvent provenir de certificats X.509). +\layout Standard + +Actuellement, deux démons IKE sont disponibles pour Linux, lesquels différent + totalement par la configuration et l'emploi. +\layout Standard + +Je préfère \begin_inset Quotes sld \end_inset @@ -9017,19 +9060,837 @@ pluto \begin_inset Quotes srd \end_inset - qui, lui, provient de FreeS/WAN. + à l'implémentation *S/WAN à cause de son installation plus simple et à + son unique fichier de configuration. + +\layout Subsection + +Le démon IKE +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + + \layout Standard -Il a une syntaxe de configuration différente de celle de "pluto"; notez - aussi que l'installation d'IPsec est divisée en 2 parties (IKE et la topologie - de l'installation). - En attentant qu'une documentation soit fournie ici même, jetez un oeil - à +Le démon IKE +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + + provient du projet KAME et a été porté sur Linux. + Les distributions contemporaines de Linux comportent ce démon dans le paquetage + +\begin_inset Quotes sld +\end_inset + +ipsec-tools +\begin_inset Quotes srd +\end_inset + +. + Deux exécutables sont requis pour bien installer IPsec. + Jetez aussi un oeil à \begin_inset LatexCommand \url[Linux Advanced Routing & Traffic Control HOWTO / IPSEC]{http://lartc.org/howto/lartc.ipsec.html} \end_inset . +\layout Subsubsection + +Manipulation de la base de données IPsec SA/SP grâce à l'outil +\begin_inset Quotes sld +\end_inset + +setkey +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +Le rôle important de +\begin_inset Quotes sld +\end_inset + +setkey +\begin_inset Quotes srd +\end_inset + + est de définir la politique de sécurité ( +\emph on +SP +\emph default +, +\emph on +security policy +\emph default +) pour le noyau. +\layout Standard + +Fichier: /etc/racoon/setkey.sh +\layout Itemize + +Exemple d'une connexion encryptée de boute-en-bout en mode transport +\layout Code + +#!/sbin/setkey -f +\layout Code + +flush; +\layout Code + +spdflush; +\layout Code + +spdadd 2001:db8:1:1::1 2001:db8:2:2::2 any -P out ipsec esp/transport//require; +\layout Code + +spdadd 2001:db8:2:2::2 2001:db8:1:1::1 any -P in ipsec esp/transport//require; +\layout Code + +\layout Itemize + +Exemple d'une connexion encryptée de boute-en-bout en mode tunnel +\layout Code + +#!/sbin/setkey -f +\layout Code + +flush; +\layout Code + +spdflush; +\layout Code + +spdadd 2001:db8:1:1::1 2001:db8:2:2::2 any -P out ipsec +\layout Code + +¬ esp/tunnel/2001:db8:1:1::1-2001:db8:2:2::2/require; +\layout Code + +spdadd 2001:db8:2:2::2 2001:db8:1:1::1 any -P in ipsec +\layout Code + +¬ esp/tunnel/2001:db8:2:2::2-2001:db8:1:1::1/require; +\layout Standard + +Pour l'autre machine, vous avez juste à échanger +\begin_inset Quotes sld +\end_inset + +in +\begin_inset Quotes srd +\end_inset + + et +\begin_inset Quotes sld +\end_inset + +out +\begin_inset Quotes srd +\end_inset + +. +\layout Subsubsection + +La configuration du démon IKE +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +Pour sa bonne exécution, +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + + requière d'être configuré. + Ceci inclus les réglages relatifs à la politique de sécurité, qui doit + être précédemment mise en place grâce à +\begin_inset Quotes sld +\end_inset + +setkey +\begin_inset Quotes srd +\end_inset + +. +\layout Standard + +Fichier: /etc/racoon/racoon.conf +\layout Code + +# Fichier de configuration du démon IKE racoon. +\layout Code + +# Voir 'man racoon.conf' pour une description du format et des entrées. +\layout Code + +path include "/etc/racoon"; +\layout Code + +path pre_shared_key "/etc/racoon/psk.txt"; +\layout Code + +\layout Code + +listen +\layout Code + + { +\layout Code + + isakmp 2001:db8:1:1::1; +\layout Code + + } +\layout Code + + +\layout Code + +remote 2001:db8:2:2::2 +\layout Code + +{ +\layout Code + + exchange_mode main; +\layout Code + + lifetime time 24 hour; +\layout Code + + proposal +\layout Code + + { +\layout Code + + encryption_algorithm 3des; +\layout Code + + hash_algorithm md5; +\layout Code + + authentication_method pre_shared_key; +\layout Code + + dh_group 2; +\layout Code + + } +\layout Code + +} +\layout Code + +\layout Code + +# De passerelle-à-passerelle +\layout Code + +sainfo address 2001:db8:1:1::1 any address 2001:db8:2:2::2 any +\layout Code + +{ +\layout Code + + lifetime time 1 hour; +\layout Code + + encryption_algorithm 3des; +\layout Code + + authentication_algorithm hmac_md5; +\layout Code + + compression_algorithm deflate; +\layout Code + +} +\layout Code + +\layout Code + +sainfo address 2001:db8:2:2::2 any address 2001:db8:1:1::1 any +\layout Code + +{ +\layout Code + + lifetime time 1 hour; +\layout Code + + encryption_algorithm 3des; +\layout Code + + authentication_algorithm hmac_md5; +\layout Code + + compression_algorithm deflate; +\layout Code + +} +\layout Standard + +Fixez aussi un secret pré-partagé: +\layout Standard + +Fichier: /etc/racoon/psk.txt +\layout Code + +# Fichier des clés pré-partagées utilisées pour l'authentification IKE +\layout Code + +# Le format est: 'identificateur' 'clé' +\layout Code + +\layout Code + +2001:db8:2:2::2 absolumentsecret +\layout Subsubsection + +Démarrer IPsec grâce au démon IKE +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +Il faut pour le moins que le démon soit démarré. + Au premier démarrage, utiliser les modes déboguage et premier plan ( +\emph on +debug and foreground +\emph default +). + L'exemple suivant montre une négociation IKE réussie dans ses phases 1 + (ISAKMP-SA, +\emph on +Internet Security Association Key Management Security Association +\emph default +) and 2 (IPsec-SA, +\emph on +IPsec +\emph default + +\emph on +Security Association +\emph default +): +\layout Code + +# racoon -F -v -f /etc/racoon/racoon.conf +\layout Code + +Foreground mode. +\layout Code + +2005-01-01 20:30:15: INFO: @(#)ipsec-tools 0.3.3 (http://ipsec-tools.sourceforge.net +) +\layout Code + +2005-01-01 20:30:15: INFO: @(#)This product linked +\layout Code + +¬ OpenSSL 0.9.7a Feb 19 2003 (http://www.openssl.org/) +\layout Code + +2005-01-01 20:30:15: INFO: 2001:db8:1:1::1[500] used as isakmp port (fd=7) +\layout Code + +2005-01-01 20:31:06: INFO: IPsec-SA request for 2001:db8:2:2::2 +\layout Code + +¬ queued due to no phase1 found. +\layout Code + +2005-01-01 20:31:06: INFO: initiate new phase 1 negotiation: +\layout Code + +¬ 2001:db8:1:1::1[500]<=>2001:db8:2:2::2[500] +\layout Code + +2005-01-01 20:31:06: INFO: begin Identity Protection mode. +\layout Code + +2005-01-01 20:31:09: INFO: ISAKMP-SA established +\layout Code + +¬ 2001:db8:1:1::1[500]-2001:db8:2:2::2[500] spi:da3d3693289c9698:ac039a402b2db40 +1 +\layout Code + +2005-01-01 20:31:09: INFO: initiate new phase 2 negotiation: +\layout Code + +¬ 2001:6f8:900:94::2[0]<=>2001:db8:2:2::2[0] +\layout Code + +2005-01-01 20:31:10: INFO: IPsec-SA established: +\layout Code + +¬ ESP/Tunnel 2001:db8:2:2::2->2001:db8:1:1::1 spi=253935531(0xf22bfab) +\layout Code + +2005-01-01 20:31:10: INFO: IPsec-SA established: +\layout Code + +¬ ESP/Tunnel 2001:db8:1:1::1->2001:db8:2:2::2 spi=175002564(0xa6e53c4) +\layout Standard + +Chaque direction a sa propre IPsec-SA (comme définie dans le standard IPsec). + Avec +\begin_inset Quotes sld +\end_inset + +tcpdump +\begin_inset Quotes srd +\end_inset + + à l'écoute de la bonne interface, vous devriez voir comme résultat d'un + ping IPv6: +\layout Code + +20:35:55.305707 2001:db8:1:1::1 > 2001:db8:2:2::2: ESP(spi=0x0a6e53c4,seq=0x3) +\layout Code + +20:35:55.537522 2001:db8:2:2::2 > 2001:db8:1:1::1: ESP(spi=0x0f22bfab,seq=0x3) +\layout Standard + +Comme prévu, les SPI ( +\emph on +Security Parameter Index +\emph default +) négociés sont utilisés ici. +\layout Standard + +Et en utilisant +\begin_inset Quotes sld +\end_inset + +setkey +\begin_inset Quotes srd +\end_inset + +, les paramètres actifs courants: +\layout Code + +# setkey -D +\layout Code + +2001:db8:1:1::1 2001:db8:2:2::2 +\layout Code + + esp mode=tunnel spi=175002564(0x0a6e53c4) reqid=0(0x00000000) +\layout Code + + E: 3des-cbc bd26bc45 aea0d249 ef9c6b89 7056080f 5d9fa49c 924e2edd +\layout Code + + A: hmac-md5 60c2c505 517dd8b7 c9609128 a5efc2db +\layout Code + + seq=0x00000000 replay=4 flags=0x00000000 state=mature +\layout Code + + created: Jan 1 20:31:10 2005 current: Jan 1 20:40:47 2005 +\layout Code + + diff: 577(s) hard: 3600(s) soft: 2880(s) +\layout Code + + last: Jan 1 20:35:05 2005 hard: 0(s) soft: 0(s) +\layout Code + + current: 540(bytes) hard: 0(bytes) soft: 0(bytes) +\layout Code + + allocated: 3 hard: 0 soft: 0 +\layout Code + + sadb_seq=1 pid=22358 refcnt=0 +\layout Code + +2001:db8:2:2::2 2001:db8:1:1::1 +\layout Code + + esp mode=tunnel spi=253935531(0x0f22bfab) reqid=0(0x00000000) +\layout Code + + E: 3des-cbc c1ddba65 83debd62 3f6683c1 20e747ac 933d203f 4777a7ce +\layout Code + + A: hmac-md5 3f957db9 9adddc8c 44e5739d 3f53ca0e +\layout Code + + seq=0x00000000 replay=4 flags=0x00000000 state=mature +\layout Code + + created: Jan 1 20:31:10 2005 current: Jan 1 20:40:47 2005 +\layout Code + + diff: 577(s) hard: 3600(s) soft: 2880(s) +\layout Code + + last: Jan 1 20:35:05 2005 hard: 0(s) soft: 0(s) +\layout Code + + current: 312(bytes) hard: 0(bytes) soft: 0(bytes) +\layout Code + + allocated: 3 hard: 0 soft: 0 +\layout Code + + sadb_seq=0 pid=22358 refcnt=0 +\layout Subsection + +Le démon IKE +\begin_inset Quotes sld +\end_inset + +pluto +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +Le démon IKE +\begin_inset Quotes sld +\end_inset + +pluto +\begin_inset Quotes srd +\end_inset + + est inclus dans les distributions des projets *S/WAN, qui ont pour origine + +\begin_inset LatexCommand \url[FreeS/WAN]{http://www.freeswan.org/} + +\end_inset + +. + Le développement du projet FreeS/WAN a malheureusement été stoppé en 2004. + A cause de la lenteur du développement dans le passé, deux projets en découlère +nt: +\begin_inset LatexCommand \url[strongSwan]{http://www.strongswan.org/} + +\end_inset + + et +\begin_inset LatexCommand \url[Openswan]{http://www.openswan.org/} + +\end_inset + +. + Aujourd'hui, des paquetages d'installation sont disponibles, au moins pour + Openswan (inclus dans Fedora Core 3). +\layout Standard + +Une différence importante par rapport à +\begin_inset Quotes sld +\end_inset + +racoon +\begin_inset Quotes srd +\end_inset + +, un seul et unique fichier de configuration est requis. + Il y a bien sûr un script d'initialisation qui automatise le lancement + au démarrage de la machine. +\layout Subsubsection + +La configuration du démon IKE +\begin_inset Quotes sld +\end_inset + +pluto +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +La configuration est très similaire à celle nécessaire pour IPv4, à part + une importante et nécessaire option. +\layout Standard + +Fichier: /etc/ipsec.conf +\layout Code + +# /etc/ipsec.conf - Fichier de configuration d'IPsec Openswan +\layout Code + +# +\layout Code + +# Manuel: ipsec.conf.5 +\layout Code + +version 2.0 # conforme à la seconde version de la spécification d'ipsec.conf +\layout Code + +\layout Code + +# configuration de base +\layout Code + +config setup +\layout Code + + # Contrôles du déboguage / journalisation : "none" pour (presque) + rien, "all" pour beaucoup. +\layout Code + + # klipsdebug=none +\layout Code + + # plutodebug="control parsing" +\layout Code + +\layout Code + +#Rendre indisponible l'encryptage opportuniste +\layout Code + +include /etc/ipsec.d/examples/no_oe.conf +\layout Code + +\layout Code + +conn ipv6-p1-p2 +\layout Code + + connaddrfamily=ipv6 # Important pour IPv6! +\layout Code + + left=2001:db8:1:1::1 +\layout Code + + right=2001:db8:2:2::2 +\layout Code + + authby=secret +\layout Code + + esp=aes128-sha1 +\layout Code + + ike=aes128-sha-modp1024 +\layout Code + + type=transport +\layout Code + + #type=tunnel +\layout Code + + compress=no +\layout Code + + #compress=yes +\layout Code + + auto=add +\layout Code + + #auto=start +\layout Code + +\layout Standard + +N'oubliez pas ici également de définir un secret pré-partagé. +\layout Standard + +Fichier: /etc/ipsec.secrets +\layout Code + +2001:db8:1:1::1 2001:db8:2:2::2 : PSK "absolumentsecret" +\layout Subsubsection + +Démarrer IPsec grâce au démon IKE +\begin_inset Quotes sld +\end_inset + +pluto +\begin_inset Quotes srd +\end_inset + + +\layout Standard + +Si l'installation d'Openswan s'est achevée avec succès, un script d'initialisati +on doit exister permettant le démarrage d'IPsec, lancez simplement (sur + chaque machine) par: +\layout Code + +# /etc/rc.d/init.d/ipsec start +\layout Standard + +Ensuite, démarrez une connexion sur l'une des machines. + Si vous pouvez voir la ligne +\begin_inset Quotes sld +\end_inset + +IPsec SA established +\begin_inset Quotes srd +\end_inset + +, c'est que tout fonctionne parfaitement. +\layout Code + +# ipsec auto --up ipv6-peer1-peer2 +\layout Code + +104 "ipv6-p1-p2" #1: STATE_MAIN_I1: initiate +\layout Code + +106 "ipv6-p1-p2" #1: STATE_MAIN_I2: sent MI2, expecting MR2 +\layout Code + +108 "ipv6-p1-p2" #1: STATE_MAIN_I3: sent MI3, expecting MR3 +\layout Code + +004 "ipv6-p1-p2" #1: STATE_MAIN_I4: ISAKMP SA established +\layout Code + +112 "ipv6-p1-p2" #2: STATE_QUICK_I1: initiate +\layout Code + +004 "ipv6-p1-p2" #2: STATE_QUICK_I2: sent QI2, +\layout Code + +¬ IPsec SA established {ESP=>0xa98b7710 <0xa51e1f22} +\layout Standard + +Parce que *S/WAN et setkey/racoon sont basés sur la même implémentation + d'IPsec dans les noyaux 2.6.x, +\begin_inset Quotes sld +\end_inset + +setkey +\begin_inset Quotes srd +\end_inset + + peut être utilisé pour afficher les paramètres actifs courants: +\layout Code + +# setkey -D +\layout Code + +2001:db8:1:1::1 2001:db8:2:2::2 +\layout Code + + esp mode=transport spi=2844489488(0xa98b7710) reqid=16385(0x00004001) +\layout Code + + E: aes-cbc 082ee274 2744bae5 7451da37 1162b483 +\layout Code + + A: hmac-sha1 b7803753 757417da 477b1c1a 64070455 ab79082c +\layout Code + + seq=0x00000000 replay=64 flags=0x00000000 state=mature +\layout Code + + created: Jan 1 21:16:32 2005 current: Jan 1 21:22:20 2005 +\layout Code + + diff: 348(s) hard: 0(s) soft: 0(s) +\layout Code + + last: hard: 0(s) soft: 0(s) +\layout Code + + current: 0(bytes) hard: 0(bytes) soft: 0(bytes) +\layout Code + + allocated: 0 hard: 0 soft: 0 +\layout Code + + sadb_seq=1 pid=23825 refcnt=0 +\layout Code + +2001:db8:2:2::2 2001:db8:1:1::1 +\layout Code + + esp mode=transport spi=2770214690(0xa51e1f22) reqid=16385(0x00004001) +\layout Code + + E: aes-cbc 6f59cc30 8d856056 65e07b76 552cac18 +\layout Code + + A: hmac-sha1 c7c7d82b abfca8b1 5440021f e0c3b335 975b508b +\layout Code + + seq=0x00000000 replay=64 flags=0x00000000 state=mature +\layout Code + + created: Jan 1 21:16:31 2005 current: Jan 1 21:22:20 2005 +\layout Code + + diff: 349(s) hard: 0(s) soft: 0(s) +\layout Code + + last: hard: 0(s) soft: 0(s) +\layout Code + + current: 0(bytes) hard: 0(bytes) soft: 0(bytes) +\layout Code + + allocated: 0 hard: 0 soft: 0 +\layout Code + + sadb_seq=0 pid=23825 refcnt=0 +\layout Section + +Informations complémentaires +\layout Standard + +Pour les noyaux Linux 2.6.x, vous pouvez également obtenir la politique et + l'état d'IPsec en utilisant +\begin_inset Quotes sld +\end_inset + +ip +\begin_inset Quotes srd +\end_inset + +: +\layout Code + +# ip xfrm policy +\layout Code + +... +\layout Code + +\layout Code + +# ip xfrm state +\layout Code + +... \layout Chapter @@ -9061,7 +9922,7 @@ iproute ). \layout Standard -Information addditionelle: +Information complémentaire: \layout Itemize @@ -9083,7 +9944,7 @@ A remplir plus avant... Eléments d'installation des démons prêts pour IPv6 \layout Standard -Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés +Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés. \layout Section @@ -9091,16 +9952,7 @@ Ici quelques \end_inset -Le Démon de Nom Internet Berkeley ( -\emph on -Berkeley Internet Name Daemon -\emph default -, ou BIND - -\emph on -i.e. - -\emph default - named) +Le Démon de Nom Internet Berkeley (named) \layout Standard IPv6 est supporté depuis la version 9. @@ -9729,7 +10581,7 @@ sendfile \begin_inset Quotes srd \end_inset -, ou bien en recompilant en utilisant l'option de configure +, ou bien en recompilant par l'utilisation de l'option de configure \begin_inset Quotes sld \end_inset @@ -10301,7 +11153,7 @@ C'est tout. \end_inset -Autres Démons +Autres démons \layout Standard De nos jours c'est généralement simple, cherchez une ligne de commande d'option @@ -12076,7 +12928,7 @@ Autriche \emph on etc. \emph default -) +)é \layout Subsubsection Australie @@ -12641,7 +13493,7 @@ Solaris \layout Subsubsection -Sumitoma +Sumitoma é \layout Itemize @@ -13235,7 +14087,7 @@ Europe \end_inset -, USA & Europe +, USA & Europeé \layout Subsubsection @@ -14798,7 +15650,7 @@ Description: Cette liste de diffusion concerne l \begin_inset Quotes srd \end_inset -implémentation INRIA/IMAG d'IPv6. +implémentation INéRIA/IMAG d'IPv6. Elle est bilingue, Francais/Anglais. Si vous souhaitez contacter les implémenteurs, essayez ipv6-bsd-core@imag.fr \layout Itemize @@ -14937,6 +15789,26 @@ V \end_inset +\layout Itemize + + +\lang english +Outils divers : +\begin_inset LatexCommand \url[IPv6tools]{http://www.ipv6tools.com/} + +\end_inset + + +\layout Itemize + + +\lang english + +\begin_inset LatexCommand \url[Outil d'analyse d'adresse IPv6]{http://doc.tavian.com/ipv6util/index.htm} + +\end_inset + + (assez similaire à l'option d'information d'ipv6calc) \layout Subsection Recherche d'information @@ -15137,7 +16009,10 @@ Un historique des modifications de la version anglo-saxonne originale peut La version francophone \layout Description -0.47.1.fr.1 05-09-2004/MB: Mise à jour au profit de la révision 0.47. +0.48.1.fr.1 20-01-2005/MB: Mise à jour au profit de la révision 0.48.1. +\layout Description + +0.47.fr.1 05-09-2004/MB: Mise à jour au profit de la révision 0.47. \layout Description 0.45.1.fr.1 14-03-2004/MB: Mise à jour au profit de la révision 0.45.1. @@ -15243,6 +16118,9 @@ Michel Boucey : pour la correction orthographique, Michele Ferritto : pour avoir découvert des bogues, et pour sa traduction en langue italienne. +\layout Itemize + +Daniel Roesen : pour ses vérifications orthographiques. \layout Subsection Autres crédits diff --git a/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml b/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml index 72f264c5..ce5abe8f 100644 --- a/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml +++ b/LDP/users/Peter-Bieringer/Linux+IPv6-HOWTO.fr.sgml @@ -29,6 +29,9 @@ Bieringer +0.48.1.fr.120-01-2005 MB Voir l'historique des révisions pour plus de détails + + 0.47.fr.105-09-2004 MB Voir l'historique des révisions pour plus de détails @@ -54,7 +57,7 @@ L'objet de cet HOWTO IPv6 Linux est de r Généralités -CVS-ID: $Id: Linux+IPv6-HOWTO.fr.lyx,v 1.21 2004/09/08 19:48:57 pbldp Exp $ +CVS-ID: $Id: Linux+IPv6-HOWTO.fr.lyx,v 1.23 2005/01/01 21:41:14 pbldp Exp $ Vous trouverez les informations concernant les différentes traductions disponibles dans la section Traductions. @@ -68,7 +71,7 @@ Copyright, licence et autres Copyright -Rédaction et Copyright (C) 2001-2004 Peter Bieringer, traduction francophone et Copyright (C) 2003-2004 Michel Boucey +Rédaction et Copyright (C) 2001-2005 Peter Bieringer, traduction francophone et Copyright (C) 2003-2005 Michel Boucey @@ -339,7 +342,7 @@ Les modifications des lignes de code propres La génération du SGML -Le SGML est généré en utilisant la fonction d'exportation de LyX. +Le code SGML est généré en utilisant la fonction d'exportation de LyX. Des solutions ont été apportées afin de créer un code SGML plus propre (voir aussi ici pour le programme Perl, TLDP-CVS / users / Peter-Bieringer): @@ -918,7 +921,7 @@ Pour en savoir plus sur l'histoire d'IPv6, jetez un oeil aux anciens RFC concern Historique d'IPv6 pour Linux -Les années 1992, 1993 et 1994 de l'histoire d'IPv6 (dans ses généralités) sont couvertes par le document suivant: IPv6 ou IPng (IP nouvelle génération). +Les années 1992, 1993 et 1994 de l'histoire d'IPv6 (dans ses généralités) sont couvertes par le document suivant: IPv6 ou IPng (IP nouvelle génération). A faire: plus de détails historiques, plus de contenu... @@ -2630,7 +2633,7 @@ sit0 a une signification particuli Les interfaces PPP -Les interfaces PPP acquiérent leur capacité IPv6 grâce à un démon PPP disposant d'IPv6. +Les interfaces PPP acquièrent leur capacité IPv6 grâce à un démon PPP disposant d'IPv6. @@ -6209,10 +6212,10 @@ Est support -L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur (<emphasis>Router Advertisement Daemon</emphasis>, ou radvd) +L'auto-configuration avec état utilisant le Démon d'Annonce de Routeur -A compléter. Voir plus bas l'auto-configuration par le démon radvd. +A compléter. Voir plus bas l'auto-configuration par le démon radvd (Router Advertisement Daemon). @@ -7402,40 +7405,36 @@ L'encryptage et l'authentification A la différence d'IPv4, l'encryptage et l'authentification sont des fonctionnalités que ne fournit pas IPv6 lui-même. Elles sont normalement implémentées par l'utilisation d'IPsec (qui peut également être employé par IPv4). - - -Cependant, à cause de l'indépendance de l'encryptage et de l'authentification à l'égard du protocole d'échange de clés, il existe actuellement des problèmes d'inter-opérativité. -Son support dans le noyau +Les modes d'emploi de l'encryptage et de l'authentification + +Deux modes d'encryptage et d'authentification sont possibles: + -Son support dans le noyau Linux vanille 2.4.x +Le mode transport -Il manque actuellement à 2.4 vanille. Le problème est de garder les sources du noyau Linux éloignées des questions de contrôles légaux d'import/export concernant le code d'encryptage en général. C'est une des raisons pour lesquelles le projet FreeS/WAN (IPsec pour IPv4 seulement) n'est pas encore compris dans les sources vanille. +Le mode transport est un mode de connexion réellement de bout-en-bout. Ici, seule la charge utile (généralement ICMP, TCP ou UDP) est encryptée avec son en-tête particulier, tandis que l'en-tête IP n'est pas encrypté (mais couramment inclus dans l'authentification). + + +Utilisant AES-128 pour l'encryptage et SHA1 pour l'authentification, ce mode diminue la MTU de 42 octets. -Son support dans le noyau USAGI +Le mode tunnel -En juillet 2001, le projet USAGI s'est décidé en faveur du code FreeS/WAN IPv6 provenant du projet IABG / IPv6 et à l'inclure dans leurs extensions au noyau. De nos jours, il travaille à l'implémentation d'IPsec à la série 2.5.x. +Le mode tunnel peut être utilisé soit dans un mode de connexion de bout-en-bout soit dans un mode de connexion de passerelle-à-passerelle. Ici, le paquet IP complet est encrypté et prend un nouvel en-tête IP, le tout constituant un nouveau paquet (ce mécanisme étant connu sous le nom d'encapsulation). - - - - - -Son support dans le noyau Linux vanille 2.5.x - -Actuellement, les extensions IPsec au noyau USAGI sont en cours de migration dans les noyaux 2.5.x en développement. +Cependant, à cause de l'indépendance de l'encryptage et de l'authentification à l'égard du protocole d'échange de clés, il existe actuellement des problèmes d'interopérabilité. Ce mode diminue actuellement de 40 octets par rapport au mode transport. Utiliser AES-128 pour l'encryptage et SHA1 pour l'authentification diminue donc au total de 82 octets la MTU courante. @@ -7445,14 +7444,392 @@ Actuellement, les extensions IPsec au noyau USAGI sont en cours de migration dan -Utilisation +Son support dans le noyau (ESP et AH) + + + +Son support dans les noyaux Linux vanille 2.4.x + + +Manquant à ce jour jusqu'au noyau 2.4.28 vanille, le problème était de garder les sources du noyau Linux éloignées des questions de contrôles légaux d'import/export concernant le code d'encryptage en général. C'est une des raisons pour lesquelles le projet FreeS/WAN (IPsec pour IPv4 seulement) n'était pas compris dans les sources vanille. Un rétro-portage à partir de 2.6.x sera peut-être réalisé un jour. + + + + + + +Son support dans les noyaux Linux vanille 2.6.x + + +Les versions actuelles (2.6.9 et supérieures, au moment de la rédaction) supportent nativement IPsec pour IPv4 et IPv6. + + +Le projet USAGI a aidé à l'implémentation. + + + + + + + + + +Echange automatique de clés (IKE) -A la différence de FreeS/WAN, dans IPsec pour 2.5.x le démon IKE "racoon" (pris de KAME) est utilisé à la place de "pluto" qui, lui, provient de FreeS/WAN. +IPsec requière un échange de clés afin de partager un secret. Ceci est essentiellement réalisé de façon automatisée par les démons IKE. Ils prennent également en charge l'authentification des entités en présence, soit par un secret commun (nommé "secret pré-partagé"), soit par clés RSA (qui peuvent provenir de certificats X.509). -Il a une syntaxe de configuration différente de celle de "pluto"; notez aussi que l'installation d'IPsec est divisée en 2 parties (IKE et la topologie de l'installation). En attentant qu'une documentation soit fournie ici même, jetez un oeil à Linux Advanced Routing & Traffic Control HOWTO / IPSEC. +Actuellement, deux démons IKE sont disponibles pour Linux, lesquels différent totalement par la configuration et l'emploi. + +Je préfère "pluto" à l'implémentation *S/WAN à cause de son installation plus simple et à son unique fichier de configuration. + + + +Le démon IKE "racoon" + + +Le démon IKE "racoon" provient du projet KAME et a été porté sur Linux. Les distributions contemporaines de Linux comportent ce démon dans le paquetage "ipsec-tools". Deux exécutables sont requis pour bien installer IPsec. Jetez aussi un oeil à Linux Advanced Routing & Traffic Control HOWTO / IPSEC. + + + +Manipulation de la base de données IPsec SA/SP grâce à l'outil "setkey" + + +Le rôle important de "setkey" est de définir la politique de sécurité (SP, security policy) pour le noyau. + + +Fichier: /etc/racoon/setkey.sh + + + + +Exemple d'une connexion encryptée de boute-en-bout en mode transport + + + + + + + + + + + +Exemple d'une connexion encryptée de boute-en-bout en mode tunnel + + + + + + + + + +Pour l'autre machine, vous avez juste à échanger "in" et "out". + + + + + + +La configuration du démon IKE "racoon" + + +Pour sa bonne exécution, "racoon" requière d'être configuré. Ceci inclus les réglages relatifs à la politique de sécurité, qui doit être précédemment mise en place grâce à "setkey". + + +Fichier: /etc/racoon/racoon.conf + + + + + +Fixez aussi un secret pré-partagé: + + +Fichier: /etc/racoon/psk.txt + + + + + + + + + +Démarrer IPsec grâce au démon IKE "racoon" + + +Il faut pour le moins que le démon soit démarré. Au premier démarrage, utiliser les modes déboguage et premier plan (debug and foreground). L'exemple suivant montre une négociation IKE réussie dans ses phases 1 (ISAKMP-SA, Internet Security Association Key Management Security Association) and 2 (IPsec-SA, IPsec Security Association): + + +2001:db8:2:2::2[500] +]]>2001:db8:2:2::2[0] +]]>2001:db8:1:1::1 spi=253935531(0xf22bfab) +]]>2001:db8:2:2::2 spi=175002564(0xa6e53c4) +]]> + + +Chaque direction a sa propre IPsec-SA (comme définie dans le standard IPsec). Avec "tcpdump" à l'écoute de la bonne interface, vous devriez voir comme résultat d'un ping IPv6: + + + 2001:db8:2:2::2: ESP(spi=0x0a6e53c4,seq=0x3) +]]> 2001:db8:1:1::1: ESP(spi=0x0f22bfab,seq=0x3) +]]> + + +Comme prévu, les SPI (Security Parameter Index) négociés sont utilisés ici. + + +Et en utilisant "setkey", les paramètres actifs courants: + + + + + + + + + + + + +Le démon IKE "pluto" + + +Le démon IKE "pluto" est inclus dans les distributions des projets *S/WAN, qui ont pour origine FreeS/WAN. Le développement du projet FreeS/WAN a malheureusement été stoppé en 2004. A cause de la lenteur du développement dans le passé, deux projets en découlèrent: strongSwan et Openswan. Aujourd'hui, des paquetages d'installation sont disponibles, au moins pour Openswan (inclus dans Fedora Core 3). + + +Une différence importante par rapport à "racoon", un seul et unique fichier de configuration est requis. Il y a bien sûr un script d'initialisation qui automatise le lancement au démarrage de la machine. + + + +La configuration du démon IKE "pluto" + + +La configuration est très similaire à celle nécessaire pour IPv4, à part une importante et nécessaire option. + + +Fichier: /etc/ipsec.conf + + + + + +N'oubliez pas ici également de définir un secret pré-partagé. + + +Fichier: /etc/ipsec.secrets + + + + + + + + + +Démarrer IPsec grâce au démon IKE "pluto" + + +Si l'installation d'Openswan s'est achevée avec succès, un script d'initialisation doit exister permettant le démarrage d'IPsec, lancez simplement (sur chaque machine) par: + + + + + +Ensuite, démarrez une connexion sur l'une des machines. Si vous pouvez voir la ligne "IPsec SA established", c'est que tout fonctionne parfaitement. + + +0xa98b7710 <0xa51e1f22} +]]> + + +Parce que *S/WAN et setkey/racoon sont basés sur la même implémentation d'IPsec dans les noyaux 2.6.x,"setkey" peut être utilisé pour afficher les paramètres actifs courants: + + + + + + + + + + + + + + + +Informations complémentaires + + +Pour les noyaux Linux 2.6.x, vous pouvez également obtenir la politique et l'état d'IPsec en utilisant "ip": + + + + @@ -7467,7 +7844,7 @@ La Qualit IPv6 supporte QoS par l'utilisation des labels de flux et des classes de trafic. Ceci peut être contrôlé en utilisant "tc" (compris dans le paquetage "iproute"). -Information addditionelle: +Information complémentaire: @@ -7489,11 +7866,11 @@ A remplir plus avant... Eléments d'installation des démons prêts pour IPv6 -Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés +Ici quelques éléments d'installation des démons prêts pour IPv6 sont exposés. -Le Démon de Nom Internet Berkeley (<emphasis>Berkeley Internet Name Daemon</emphasis>, ou BIND - <emphasis>i.e.</emphasis> named) +Le Démon de Nom Internet Berkeley (named) IPv6 est supporté depuis la version 9. Utilisez toujours la dernière version disponible. Il faut au moins utiliser la version 9, les versions plus anciennes peuvent contenir des trous de sécurité exploitables à distance. @@ -7935,7 +8312,7 @@ Note additionnelle -D'une part, Apache2 supporte une méthode appelée "sendfile", accélérant la fourniture des données. D'autre part, certains pilotes de NIC supportent la vérification différée des sommes de contrôle (offline checksumming). Dans certains cas, cela peut conduire à des problèmes de connexion et invalider les sommes de contrôle TCP. Il faut alors rendre indisponible "sendfile", ou bien en recompilant en utilisant l'option de configure "--without-sendfile", ou bien en utilisant la directive du fichier de configuration "EnableSendfile off". +D'une part, Apache2 supporte une méthode appelée "sendfile", accélérant la fourniture des données. D'autre part, certains pilotes de NIC supportent la vérification différée des sommes de contrôle (offline checksumming). Dans certains cas, cela peut conduire à des problèmes de connexion et invalider les sommes de contrôle TCP. Il faut alors rendre indisponible "sendfile", ou bien en recompilant par l'utilisation de l'option de configure "--without-sendfile", ou bien en utilisant la directive du fichier de configuration "EnableSendfile off". @@ -8354,7 +8731,7 @@ C'est tout. -Autres Démons +Autres démons De nos jours c'est généralement simple, cherchez une ligne de commande d'option ou bien une valeur de configuration pour rendre disponible l'écoute IPv6. Cherchez dans la page du manuel du démon ou dans les FAQ concernées. Il peut arriver que vous ne puissiez lier le démon qu'à une adresse IPv6 "any" (::) et pas à une adresse IPv6 précise, par manque de support (ça dépend de la façon dont le développeur à implémenter...). @@ -9552,7 +9929,7 @@ Autriche -IPv6@IKNnet et le groupe de recherche MIPv6: Vienne , Autriche (IPv6: projets, publications, diplômes / thèses de doctorat, actes de conférence, etc.) +IPv6@IKNnet et le groupe de recherche MIPv6: Vienne , Autriche (IPv6: projets, publications, diplômes / thèses de doctorat, actes de conférence, etc. @@ -10168,7 +10545,7 @@ Solaris -Sumitoma +Sumitoma é @@ -10689,7 +11066,7 @@ Europe -Fournisseur de tunnel distribué XS26, USA & Europe +Fournisseur de tunnel distribué XS26, USA & Europeé @@ -11342,7 +11719,7 @@ Description: L'intention est de discuter du plan g ipv6-bsd-user -Description: Cette liste de diffusion concerne l"implémentation INRIA/IMAG d'IPv6. Elle est bilingue, Francais/Anglais. Si vous souhaitez contacter les implémenteurs, essayez ipv6-bsd-core@imag.fr +Description: Cette liste de diffusion concerne l"implémentation INéRIA/IMAG d'IPv6. Elle est bilingue, Francais/Anglais. Si vous souhaitez contacter les implémenteurs, essayez ipv6-bsd-core@imag.fr @@ -11441,6 +11818,18 @@ traceroute6, whois: IPng.nl Vérificateur de résolution AAAA http://www.cnri.dit.ie/cgi-bin/check_aaaa.pl + + + +Outils divers : IPv6tools + + + + + +Outil d'analyse d'adresse IPv6 (assez similaire à l'option d'information d'ipv6calc) + + @@ -11618,7 +12007,16 @@ La version francophone -0.47.1.fr.1 +0.48.1.fr.1 +20-01-2005/MB: Mise à jour au profit de la révision 0.48.1. + + + + + + + +0.47.fr.1 05-09-2004/MB: Mise à jour au profit de la révision 0.47. @@ -11746,6 +12144,12 @@ Michel Boucey <mboucey chez free point fr>: pour la correction orthographi Michele Ferritto <m dot ferritto at virgilio dot it>: pour avoir découvert des bogues, et pour sa traduction en langue italienne. + + + +Daniel Roesen <dr at cluenet dot de>: pour ses vérifications orthographiques. + +