Project

General

Profile

Tâche #13093

Scénario #13068: Permettre au MEDDE d'accéder à squashTM

Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.

Added by Fabrice Barconnière over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Start date:
09/21/2015
Due date:
% Done:

100%

Estimated time:
6.00 h
Spent time:
Remaining (hours):
0.0

History

#1 Updated by Fabrice Barconnière over 5 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Fabrice Barconnière over 5 years ago

  • Assigned To set to Fabrice Barconnière

#3 Updated by Fabrice Barconnière over 5 years ago

  • Subject changed from Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Sphynx. to Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.
  • % Done changed from 0 to 100
  • Remaining (hours) changed from 6.0 to 0.0
  • Sphynx correspondant à la passerelle VPN du MEDDE : réseau cible sur carte eth1
  • Amon correspondant à la passerelle VPN EOLE : serveur Horus sur eth1 comme serveur cible
    La connexion VPN s'établit sans problème et seul le traffic entre le réseau eth1 Sphynx et l'adresse IP Horus passe en chiffré (but recherché).
La situation réelle :
  • Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN
  • Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox

On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.
Aucun trafic ne passe.

On pourrait vérifier les règles IPtables sur la passerelle EOLE (au minimum ceci) :

-A INPUT -i eth0 -j eth0-root
-A INPUT -i vlan300 -j vlan300-root
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o vlan300 -j eth0-vlan300
-A FORWARD -i vlan300 -o eth0 -j vlan300-eth0
-A OUTPUT -o lo -j ACCEPT
-A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-vlan300 -j DROP
-A eth0-root -p udp -m udp --dport 500 -j ACCEPT
-A eth0-root -p udp -m udp --dport 4500 -j ACCEPT
-A eth0-root -p esp -j ACCEPT
-A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-root -j DROP
-A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A vlan300-eth0 -j DROP
-A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-root -j DROP
-A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A root-eth0 -m state --state NEW -j ACCEPT
-A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT

Vérifier également la livebox:

#4 Updated by Fabrice Barconnière over 5 years ago

  • Remaining (hours) changed from 0.0 to 1.0

#5 Updated by Fabrice Barconnière over 5 years ago

  • Remaining (hours) changed from 1.0 to 0.0

#6 Updated by Scrum Master over 5 years ago

  • Status changed from En cours to Résolu

#7 Updated by Scrum Master over 5 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF