Ipsec / Azure

Installation / Configuration VPN IPSEC avec Microsoft Azure
Documentation Microsoft pour les infos pratiques du VPN Azure:
http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx

Documentation expliquant en détails le vpn IPsec:
ftp://ftp.irisa.fr/local/idsa/doc/livrable/L1/1/html/Evaluation_IPsec_L1.1.html

Documentations plus simples mais utile:
http://www.kame.net/newsletter/20001119/
https://wiki.debian.org/IPsec

Réseau de départ:

Machine GNU / Linux qui fera office de serveur IPSEC
Interface LAN:192.168.0.1 sur le réseau 192.168.0.0/24, routeur en 192.168.0.254 qui permet l'accès à d'autres réseaux comme 192.168.1.0/24
Interface WAN: 1.1.0.1 sur le réseau 1.1.0.0/16, routeur en 1.1.1.254

Réseau Azure: 10.0.0.0 /16
IP publique Azure(serveur IPsec) en 2.1.0.254 



Depuis la machine sous GNU / Linux

Installation:

apt-get install racoon ipsec-tools

Configuration:

Etablir le VPN Ipsec: /etc/racoon/racoon.conf
la clé partagé est dans: /etc/racoon/psk.txt
les réseaux accessible via le VPN  (géré par /usr/sbin/setkey): /etc/ipsec-tools.conf

/etc/racoon/racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";

remote 2.1.0.254 {
        exchange_mode main;
        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
                lifetime time 28800 second;
        }
        proposal_check obey;
        passive on;
        generate_policy on;
}
 
sainfo anonymous {
        encryption_algorithm aes, rijndael;
        authentication_algorithm hmac_sha1;
        lifetime time 3600 second;
#       lifetime byte 102400000 KB;
        compression_algorithm deflate;
}

#log debug2;


/etc/racoon/psk.txt: fichier à mettre en lecture ecriture que pour root (ou au moins en lecture pour le compte  lançant le serveur racoon)

# IPv4/v6 addresses
# Passerelle Azure
2.1.0.254   Votre_clé_partagé_copier_depuis_la_plate-forme_Azure

/etc/ipsec-tools.conf: ce fichier va permetre la communication des machines du votre LAN avec celui d'Azure

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
# 

## Flush the SAD and SPD
#
 flush;
 spdflush;

## Some sample SPDs for use racoon
#
 spdadd 192.168.0.0/16 10.0.0.0/16 any -P out ipsec esp/tunnel/1.1.0.1-2.1.0.254/require;
#                      
 spdadd 10.0.0.0/16 192.168.0.0/16 any -P in ipsec esp/tunnel/2.1.0.254-1.1.0.1/require;
#



Logs:  tail -f /var/log/syslog | grep racoon --line-buffered

La configuration de l'interface réseau:

/etc/network/interfaces:

auto lo
iface lo inet loopback

#interface LAN
allow-hotplug eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0

#interface WAN
allow-hotplug eth1
iface eth1 inet static
address 1.1.0.1
netmask 255.255.0.0

gateway 1.1.1.254

#routes statiques
up route add -net 192.168.0.0 gw 192.168.0.254 dev eth0


Permettre le routage:
/etc/sysctl.conf:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1