https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2015-09-22T08:29:26ZEnsemble Ouvert Libre ÉvolutifDistribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=541072015-09-22T08:29:26ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=541082015-09-22T08:29:32ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Assigné à</strong> mis à <i>Fabrice Barconnière</i></li></ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=541672015-09-22T12:02:38ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Sujet</strong> changé de <i>Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Sphynx.</i> à <i>Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li><li><strong>Restant à faire (heures)</strong> changé de <i>6.0</i> à <i>0.0</i></li></ul><ul>
<li>Sphynx correspondant à la passerelle VPN du MEDDE : réseau cible sur carte eth1</li>
<li>Amon correspondant à la passerelle VPN EOLE : serveur Horus sur eth1 comme serveur cible<br />La connexion VPN s'établit sans problème et seul le traffic entre le réseau eth1 Sphynx et l'adresse IP Horus passe en chiffré (but recherché).</li>
</ul>
La situation réelle :
<ul>
<li>Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN</li>
<li>Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox</li>
</ul>
<p>On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.<br />Aucun trafic ne passe.</p>
<p>On pourrait vérifier les règles IPtables sur la passerelle EOLE (au minimum ceci) :<br /><pre>
-A INPUT -i eth0 -j eth0-root
-A INPUT -i vlan300 -j vlan300-root
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o vlan300 -j eth0-vlan300
-A FORWARD -i vlan300 -o eth0 -j vlan300-eth0
-A OUTPUT -o lo -j ACCEPT
-A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-vlan300 -j DROP
-A eth0-root -p udp -m udp --dport 500 -j ACCEPT
-A eth0-root -p udp -m udp --dport 4500 -j ACCEPT
-A eth0-root -p esp -j ACCEPT
-A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-root -j DROP
-A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A vlan300-eth0 -j DROP
-A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-root -j DROP
-A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A root-eth0 -m state --state NEW -j ACCEPT
-A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
</pre></p>
Vérifier également la livebox:
<ul>
<li><a class="external" href="http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230">http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230</a></li>
<li>autorisation UPD/500, UDP/4500, ESP</li>
<li>peut-être NAT des paquets provenant venant d'IP eth0 EOLE UDP/500 et 4500 vers IP eth0 eSSL</li>
</ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=541712015-09-22T12:37:40ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Restant à faire (heures)</strong> changé de <i>0.0</i> à <i>1.0</i></li></ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=541742015-09-22T12:42:46ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Restant à faire (heures)</strong> changé de <i>1.0</i> à <i>0.0</i></li></ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=542732015-09-23T07:51:48ZScrum Master
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li></ul> Distribution EOLE - Tâche #13093: Monter une infra VPN Amon-Sphynx avec un tunnels vers une IP coté Amon.https://dev-eole.ac-dijon.fr/issues/13093?journal_id=545102015-09-25T07:45:55ZScrum Master
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li></ul>