Tâche #13093
Scénario #13068: Permettre au MEDDE d'accéder à squashTM
Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Assigné à mis à Fabrice Barconnière
#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Sujet changé de Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Sphynx. à Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 6.0 à 0.0
- Sphynx correspondant à la passerelle VPN du MEDDE : réseau cible sur carte eth1
- Amon correspondant à la passerelle VPN EOLE : serveur Horus sur eth1 comme serveur cible
La connexion VPN s'établit sans problème et seul le traffic entre le réseau eth1 Sphynx et l'adresse IP Horus passe en chiffré (but recherché).
- Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN
- Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox
On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.
Aucun trafic ne passe.
On pourrait vérifier les règles IPtables sur la passerelle EOLE (au minimum ceci) :
-A INPUT -i eth0 -j eth0-root -A INPUT -i vlan300 -j vlan300-root -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -o vlan300 -j eth0-vlan300 -A FORWARD -i vlan300 -o eth0 -j vlan300-eth0 -A OUTPUT -o lo -j ACCEPT -A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-vlan300 -j DROP -A eth0-root -p udp -m udp --dport 500 -j ACCEPT -A eth0-root -p udp -m udp --dport 4500 -j ACCEPT -A eth0-root -p esp -j ACCEPT -A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-root -j DROP -A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT -A vlan300-eth0 -j DROP -A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-root -j DROP -A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A root-eth0 -m state --state NEW -j ACCEPT -A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPTVérifier également la livebox:
- http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230
- autorisation UPD/500, UDP/4500, ESP
- peut-être NAT des paquets provenant venant d'IP eth0 EOLE UDP/500 et 4500 vers IP eth0 eSSL
#4 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Restant à faire (heures) changé de 0.0 à 1.0
#5 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Restant à faire (heures) changé de 1.0 à 0.0
#6 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#7 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de Résolu à Fermé