Créez un site-à-site avec strongSwan et vérifiez le chiffrement.
objectifs d’apprentissage
- Installer strongSwan.
- Créer secrets et connexions.
- Vérifier SAs.
prérequis
- Deux hôtes publics.
- Accès root.
notions clés
- IKEv2.
- ESP.
- left/right subnets.
démonstration guidée
étape 1
Configuration minimale (concept).
# /etc/ipsec.conf
# conn s2s
# keyexchange=ikev2
# left=%defaultroute
# leftsubnet=10.0.1.0/24
# right=X.X.X.X
# rightsubnet=10.0.2.0/24
# auto=start
# /etc/ipsec.secrets
# : PSK secret-strongétape 2
Démarrer et valider l’état.
sudo systemctl enable --now strongswan || true
sudo swanctl --list-sas || sudo ipsec statusall || trueexercice
Passez en authentification par certificats X.509 avec CA locale.
correction
Fichiers à adapter.
/etc/ipsec.d/cacerts/ca.pem, certs/host.pem, private/host.keyquiz éclair
- Quel protocole négocie les SAs IPsec ?
- a) IKEv2
- b) ESP
- c) AH