Tâche #8545
Distribution EOLE - Scénario #8772: VPN - ARV
gerer leftsendcert = never
Description
La solution de Fabrice fonctionne
Le 02/07/2014 22:09, Laurent Haeffelé a écrit :
Le 02/07/2014 21:55, cd a écrit :
Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
de gestion de la fragmentation par ces modems empêchent
l’établissement des tunnels. Avez vous aussi constaté cela ?Oui. J'ai constaté cela sur un établissement de l'académie de
Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
moment ...Cordialement,
Bonjour,
IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation1, mais dans
certain cas, cela reste un problème.
Vous pouvez tenter une solution2 qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).
- Configuration de Sphynx :
- Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
- Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
#DEB:amon-sphynx-reseth1_adm conn "amon-sphynx-reseth1_adm" leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" leftcert = "sphynx.pem" - --> leftsendcert = never left = adresse_ip_publique_sphynx leftsubnet = "172.x.y.0/24" leftupdown = rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" - --> rightcert = "amon.pem" right = adresse_ip_publique_amon rightsubnet = "10.d.e.0/24" auto=start #FIN:amon-sphynx-reseth1_adm - Lancer ipsec rereadall puis ipsec update
(ou /etc/init.d/ipsec restart mais ça coupe les autres tunnels)
- Configuration d'Amon :
- Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
- Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
#DEB:amon-sphynx-reseth1_adm conn "amon-sphynx-reseth1_adm" leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" leftcert = "amon.pem" - --> leftsendcert = never left = adresse_ip_publique_amon leftsubnet = "10.d.e.0/24" leftupdown = rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" - --> rightcert = "sphynx.pem" right = adresse_ip_publique_sphynx rightsubnet = "172.x.y.0/24" auto=start #FIN:amon-sphynx-reseth1_adm - Lancer /etc/init.d/rvp restart
Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html
- --
Cordialement,
Fabrice Barconnière
Equipe EOLE
Demandes liées
Révisions associées
Gestion de l'envoi ou non des certificats à l'établissement des tunnels
fixes #8545 @28h
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 10 ans
- Description mis à jour (diff)
#2 Mis à jour par Fabrice Barconnière il y a presque 10 ans
Il serait plus prudent coté Sphynx d'utiliser l'option leftsencert = ifasked. Ça permettra au serveur Sphynx d'envoyer son certificat aux serveurs Amon qui n'ont pas encore cette configuration.
#3 Mis à jour par Laurent HAEFFELE il y a plus de 9 ans
L'idéal serait de pouvoir sélectionner ce mode de configuration par Lien sécurisé ou par Modèle de lien sécurisé dans ERA plutôt que d'avoir une option de configuration globale.
#4 Mis à jour par Emmanuel GARETTE il y a plus de 9 ans
Dans Era ou ARV ?
#5 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 9 ans
Bonjour, je ne sais pas à quoi faisait allusion Laurent HAEFFELE (je pense que c'est ARV), mais du point de vue d'Orléans, ça serait au niveau d'ARV, ou l'on pourrait choisir de créer un modele de serveur rvp avec ce type de conf. (pas d'envoi de certificat)
Peux être mieux, comme l'évoque aussi Laurent, ne pas avoir un modèle de serveur dédié mais seulement le choisir cette option sur le type lien sécurisé.
Nicolas
#6 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
- Echéance mis à 12/09/2014
- Statut changé de Nouveau à Accepté
- Assigné à mis à Fabrice Barconnière
- Version cible mis à sprint 2014 36-37
- Temps estimé mis à 7.00 h
- Est-ce une bonne idée de proposer cette option globalement pour le modèle (tous les serveur en hériterons) ?
- Cela pourrait alonger le temps de génération des archives VPN et alourdir leur taille.
- Si on met la valeur ifasked sur Sphynx, il faut les certificats de tous les serveurs dans /etc/ipsec.d/certs/ car Sphynx ne les demandera pas et cela allongera d'autant plus le temps de gérération des archives VPN mais il ne sera pas nécessaire de repasser sur tous les Amon.
- Si on met la valeur never sur Sphynx, ça veut dire qu'il faut relancer la procédure "active_rvp" sur tous les Amon suite à cette modif (pas viable).
- Sinon, on peut proposer cette option par serveur :
- Ainsi, on oublie la valeur ifasked sur Sphynx pour n'avoir que never ou always
- Pas besoin de repasser sur tous les Amon.
#7 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
- Tâche parente mis à #8765
#8 Mis à jour par Luc Bourdot il y a plus de 9 ans
- Tâche parente changé de #8765 à #8772
#9 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
- Statut changé de Accepté à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 4c3151c8211f4c7559bd2ef3113da566912f725a.
#10 Mis à jour par Bruno Boiget il y a plus de 9 ans
- Distribution changé de Toutes à EOLE 2.3
#11 Mis à jour par Bruno Boiget il y a plus de 9 ans
- Statut changé de Résolu à Fermé
testé sur la candidate 2.3.14