Salut, ca fait deja deux semaines que je travail sur la mise en place d'un ipcop au sein d'un petit réseau d'entreprise.
Après cela plusieurs réponses :
- Je n'ai jamais réussi a négocier un tunnel ipsec entre un win2k et ipcop en roadwarrior avec les outils ipsec.
-
ssh sentinel 1.3.2 (client ipsec) s'est révélé bien plus facile à utiliser (j'ai eu du mal à le trouver alors bonne chance), on peut y configurer directement une configuration ipsec et c'est lui qui va gérer la stratégie ipsec. J'ai pu ainsi créer une stratégie reposant sur une clée partagée.
- la gestion des certificats est assez chaude à mettre en place puisque (en dehors de l'interface graphique, pas tres performante pour ca), on ne dispose d'aucun outils de openssl alors il faut se taper la config à la main.
Petits inconvénients en cours de résolution (si j'y arrive enfin) :
- le vpn ipcop ne crée en fait qu'un tunnel ipsec, je veux dire par là que la machine qui négocie une stratégie ipsec avec ipcop peut accéder au LAN (ca sert à ca un vpn) mais le probleme c'est que cette machine n'acquière pas un IP du LAN.
- J'ai trouvé ce document
http://www.strongsec.com/freeswan/dhcprelay/ipsec-dhcp-howto.html#toc2 qui permet de créer une connexion vpn et d'acquerir une ip à partir du dhcp. Cependant ce HOW-TO passe par la configuration d'un relais DHCP pour identifier si la demande de bail provient d'un client vpn ou bien d'une machine du LAN.
- pour la mise en place de certificats je vous conseille ce document :
http://www.docmirror.net/fr/linux/howtos/networking/SSL-Certificates/index.html
=> vous allez apprécier le fait qu'il soit en francais et que toutes les commandes sont écrites sans les outils de openssl mais avec les commandes natives de openssl
BON, voilà je vous ai fait part de toutes mes recherches, j'espère que cela vous fera avancer et je suis ouvert à toute proposition pour la résolution du probleme d'acquisition d'IP du LAN après la négociation IPSEC