Mai 2025 Archives

lun. 05 mai 2025 18:22:48 CEST

Maquettage et autohébergement : le VPN IPSec BEET avec strongSwan

Vous cherchez à mettre en place un VPN performant, sécurisé et économique pour vos projets d'autohébergement ? Découvrez les points forts d'une architecture plutôt originale basée sur strongSwan, IPSec BEET et nftables, présentée dans le guide disponible à l'adresse suivante : IPSec Bound End-to-End Tunnel VPN with strongSwan


IPSec BEET VPN

Le mode BEET (Bound End-to-End Tunnel) combine les avantages des modes tunnel et transport d'IPSec : il réduit la surcharge d'en-tête typique du mode tunnel tout en conservant une structure adaptée à la traduction d'adresses (NAT). Cette approche permet d'optimiser les performances (chiffrement ESP en transport) et de simplifier la gestion des adresses grâce à des associations de sécurité (SA) prédéfinies. Il garantit la résilience face aux changements d'adressage des fournisseurs d'accès internet (FAI).

L'utilisation des interfaces Xfrm Linux permet de découpler la gestion des associations de sécurité (SA) du routage de paquets. L'objectif est de simplifier la gestion des tunnels. Associées au mode BEET, ces interfaces Xfrm associent chaque SA à un identifiant d'interface unique. Cette abstraction facilite également le filtrage via nftables.

Côté sécurité et conformité, le guide privilégie les certificats auto-signés Ed25519/X25519, offrant une sécurité post-quantique (NIST Level 1) tout en restant compatible avec les normes X.509. Le choix de chacha20poly1305 et SHA-384 assure un chiffrement robuste, même sur du matériel limité sans gestion du matériel TPM.

Pour le filtrage, Nftables offre une gestion unifiée du trafic chiffré/déchiffré avec des règles spécifiques (meta ipsec exists) qui permettent de filtrer uniquement les paquets traités par IPSec. Il est toutefois toujours nécessaire de régler manuellement le MSS clamping pour adapter la taille des segments TCP et éviter la fragmentation. L'utilisation des règles de masquerading assure une traduction d’adresses transparente pour les flux sortants des extrémités du VPN.

Cette architecture démontre qu'il est possible de déployer un VPN solide à moindre coût, en s'appuyant sur des outils open source comme strongSwan et nftables. En combinant BEET, Xfrm et des standards cryptographiques modernes, elle offre une alternative aux solutions cloud propriétaires, avec pour objectif la mise en place d'infrastructures de services autonomes. La modularité des configurations permet par ailleurs une adaptation aisée à des cas d’usage variés, allant des objets connectés industriels aux déploiements hybrides.

Si vous recherchez l'autohébergement en dehors de la sphère des fournisseurs d'accès Internet, cette solution de VPN en mode BEET est faite pour vous. N'hésitez pas à me faire part de vos retours sur le document.


Posté par Philippe Latu | permalien | dans : ipsec, système | Read it in english with Google