Commandes IPsec

Attention

Ne pas utiliser la commande ipsec pour relancer le service. C'est un problème connu quand le service strongswan est géré par upstart ou systemd.

Utiliser plutôt :

  • service strongswan restart

ou

  • systemctl restart strongswan

Liste des principales commandes IPsec[1] sur les modules Sphynx ou Amon :

  • ipsec statusall renvoie la configuration d'IPsec et l'état des connexions ;
  • ipsec status renvoie uniquement l'état des connexions.

Exemple

Monitorer l'utilisation des threads :

worker threads: 2 of 32 idle, 5/1/2/22 working, job queue: 0/0/1/149, scheduled: 198

Sur 32 threads disponibles,

  • 2 sont en état idle ;

  • 5 lancent des tâches CRITICAL priority ;

  • 1 lance une tâche HIGH priority (process stroke par exemple) ;

  • 2 lancent des tâches MEDIUM priority (messages IKE_SA_INIT ou CREATE_CHILD_SA) ;

  • 22 lancent des tâches LOW priority .

job queue indique combien de tâches sont en file d'attente pour chaque priorité.

Security Associations:

amon test ARV-Sphynx[3]: ESTABLISHED 18 minutes ago, 192.168.10.5[C=fr, O=gouv, OU=education, OU=ac-dijon, CN=AGRIATES-DIJON-10]...192.168.10.10[C=fr, O=gouv, OU=education, OU=ac-dijon, CN=0210066H-15]

amon test ARV-Sphynx[3]: IKE SPIs: b7db486b205cfb94_i 283a11782b375b7e_r*, public key reauthentication in 39 minutes

amon test ARV-Sphynx[3]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048

pedago-reseau172{27}: INSTALLED, TUNNEL, ESP SPIs: cbcb0242_i cd686778_o

pedago-reseau172{27}: AES_GCM_16_128, 0 bytes_i, 0 bytes_o, rekeying in 10 minutes

pedago-reseau172{27}: 172.16.0.0/12 === 172.16.0.0/24

admin-reseau172{26}: INSTALLED, TUNNEL, ESP SPIs: c058f927_i c1f643f6_o

admin-reseau172{26}: AES_GCM_16_128, 0 bytes_i, 0 bytes_o, rekeying in 11 minutes

admin-reseau172{26}: 172.16.0.0/12 === 10.21.11.0/24

  • ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces)

Exemple

  • ipsec down "amon test ARV-Sphynx[3]" arrête tous les tunnels liés à amon test ARV-Sphynx[3] et ferme la connexion amon test ARV-Sphynx[3];

  • ipsec down pedago-reseau172{27} arrête la 27ème instance du tunnel pedago-reseau172.

  • ipsec up "Security Association" ou "tunnel" établit une connexion et tous les tunnels associés ou monte un seul tunnel

Exemple

  • ipsec up "amon test ARV-Sphynx" établit la connexion amon test ARV-Sphynx et monte tous les tunnels associés ;

  • ipsec up admin-reseau172 établit la connexion amon test ARV-Sphynx (car liée au tunnel) et monte le tunnel admin-reseau172.