[gull] FreeS/WAN et Debian Sarge

[Lederrey Guillaume]

Le dimanche, 1 Août 2004 14.28, Marc SCHAEFER a écrit :
> On Sat, Jul 31, 2004 at 11:16:41PM +0200, Lederrey Guillaume wrote:
> >   J'essaie d'installer un VPN basé sur FreeS/WAN sur des Debian Sarge. Je
>
> Aucune expérience avec sarge à ce sujet.
>
> Réponse générale:
>
>    grep -i klips /boot/System.map-2.4.26
>
> ou, sur une Debian avec le kernel compilé via kernel-package:
>
>    grep IPSEC /boot/config-2.4.26

  Cela ne donne rien. La suite de mes recherches sur google me donne quelque 
chose de pas très claire, comme quoi Debian à fait un backport du code IPSec 
du kernel 2.6 vers le 2.4 ... ce code est-il bien compatible avec FreeS/WAN ? 
Je continue à chercher. Je suis aussi tombé sur un package "ipsec-tools" 
recommandé par le package freeswan (mais pas une dépendance directe). Faut-il 
quand même que je l'installe ?

  Bref, je vais faire les tests et je vous donnerai les résultats.

> Ca dépend peut-être duquel. Sur une stable il y a 16 versions du dernier
> kernel 2.4 stable, dont quelques unes qui sont des versions simplifiées.
> En stable il y a peut-être également plusieurs versions

  Il y a bien plétore de kernel disponibles pour Sarge, mais il s'agit surtout 
de différences d'architecture (ARM, MIPS, ...). Pour mes Pentium, il n'y a 
pas tant de choix. A la limite je peux utiliser le kernel 586tsc au lieu du 
686, mais je doute que cela change quelque chose.

> C'est ce que je ferais. Quant à l'installer manuellement, il suffit de
> le déplacer sur packages.VOTREENTREPRISE.ch et d'avoir par défaut toute
> machine configurée pour utilisée cette source.

  Si j'arrivais à compiler un package Debian, effectivement il n'y aurait pas 
de problème. Mon problème est que si j'utilise "make-kpkg" avec la variable 
"PATCH_THE_KERNEL=YES" mon kernel n'est pas patché ... je me retrouve donc au 
point de départ avec un kernel sans support IPSec. Je peux aussi compiler un 
kernel tout à la main, mais là je perd le package Debian. Comme la mise à 
jour du kernel doit pouvoir être effectuée simplement et de manière 
automatisé (update de sécurité), ce serait dommage ...

  Le déploiement se faisant via cfengine, je vais peut-être me résoudre à 
écrire un script d'installation cfengine et laisser tomber le package 
Debian ...

  Ce qui m'étonne, c'est que je trouve des références de gens pour qui cela 
fonctionne "out of the box" ... Je persiste donc à penser que l'erreur est de 
mon côté ...

  Merci des conseils !

	Guillaume Lederrey