Le serveur Extranet Group work est livré avec le support pour VPN IPSEC dans le cadre d'une connexion vers lui-même uniquement. Il n'a pas pour vocation de créer un VPN entre 2 réseaux distants. IPSEC est ici associé à L2TP ce qui permet aux utilisateurs de crééer facilement leur connexion VPN via un assistant Windows de la même manière qu'ils le feraient pour une connexion PPTP.


Lors d'une connexion L2TP/IPSEC, telle que celle-ci a été implémentée par Microsoft, chaque paquet IP est encapsulé en PPP encapsulé à son tour en L2TP, lui même chiffré par la couche IPSEC. L'authentification se fait à deux niveaux : IPSEC (par "secret partagé" ou certificats X509, voir ci-dessous) et PPP (par login/pass comme avec PPTP).

Les deux modes d'authentification utilisables avec IPSEC sont les suivants :

• secret partagé : repose sur le partage d'un mot de passe commun connu des seuls utilisateurs du VPN. Cette solution est considérée comme limitée d'un point de vue sécurité mais simple à mettre en oeuvre. C'est cette solution que nous priviligierons dans ce guide.

• certificats X509 : solution très sécurisée mais très lourde en terme de mise en oeuvre. Elle nécessite en effet la mise en place d'une Autorité de Certification (AC) afin de générer les certificats d'authentification. Cette AC devra ensuite délivrer un certificat pour chaque machine à relier au VPN.

Note: Pour continuer, vous devez posséder les connaissances de base en ligne de commande Linux (connexion SSH, édition d'un fichier...).

• connectez vous en SSH à votre serveur à l'aide de l'utilisateur root
• éditez le fichier /etc/ipsec/ipsec.secrets. Ce fichier contient 2 lignes : une pour l'authentification par certificats et une pour l'authentification par secret partagé (Pre-Shared-Key ou PSK)
• à la ligne : : PSK "xxxxxx", remplacez xxxxxx par un mot de passe que vous aurez choisi. N'hésitez pas à choisir un mot de passe très complexe. Celui-ci ne sera en effet tapé qu'une seule fois par les utliisateurs, au moment du paramétrage de leur connexion (c'est leur mot de passe Easy Group Work qu'il devront ensuite utiliser à chaque fois qu'ils se connecteront)
• Sauvegardez le fichier et relancer le service ipsec (Openswan) : /etc/init.d/ipsec restart
• Testez la connexion en suivant la partie IPSEC du guide suivant : OvpnIpsec