Tâche #13114
Scénario #13068: Permettre au MEDDE d'accéder à squashTM
Monter une connexion VPN entre eSSL MEDDE et FW-EOLE
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Description
Maintenant que la fonctionnalité tunnel entre une réseau et une adresse IP a été vérifiée, trouver pourquoi on n'arrive pas à le faire entre FW-EOLE et FW-MEDDE.
Quelques pistes :
- Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN
- Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox
On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.
Aucun trafic ne passe.
-A INPUT -i eth0 -j eth0-root -A INPUT -i vlan300 -j vlan300-root -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -o vlan300 -j eth0-vlan300 -A FORWARD -i vlan300 -o eth0 -j vlan300-eth0 -A OUTPUT -o lo -j ACCEPT -A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-vlan300 -j DROP -A eth0-root -p udp -m udp --dport 500 -j ACCEPT -A eth0-root -p udp -m udp --dport 4500 -j ACCEPT -A eth0-root -p esp -j ACCEPT -A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-root -j DROP -A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT -A vlan300-eth0 -j DROP -A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-root -j DROP -A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A root-eth0 -m state --state NEW -j ACCEPT -A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
- Pour info, il n'y a pas besoin de route spécifique à ce tunnel côté FW-EOLE
- http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230
- autorisation UPD/500, UDP/4500, ESP
- peut-être NAT des paquets provenant venant d'IP eth0 EOLE UDP/500 et 4500 vers IP eth0 eSSL
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de En cours à Nouveau
- % réalisé changé de 100 à 0
#2 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Restant à faire (heures) changé de 0.0 à 6.0
#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Tracker changé de Tâche à Anomalie
- Assigné à
Fabrice Barconnièresupprimé - Version cible
Sprint 2015 39-41 - Équipe MENESRsupprimé
#4 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Tracker changé de Anomalie à Tâche
#5 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Tâche parente mis à #13068
#6 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Description mis à jour (diff)
#7 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Description mis à jour (diff)
#8 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Description mis à jour (diff)
#9 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Statut changé de Nouveau à En cours
#10 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Assigné à mis à Fabrice Barconnière
#11 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 0 à 50
On avance :
barco> teebee44: je viens de voir Sam, de notre coté, la conf semble correcte. Les ping issues de Squash sortent bien chiffrés de notre FW, mais il n'y a pas de réponse. <barco> la box doit certainement les bloquer. <teebee44> ok <barco> il doit falloir rediriger UDP/500, UDP/4500 et le protocol ESP (protocol 50) vers l'IP eth0 de ton
#12 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
Pour le suivi des opérations :
<teebee44> barco, pour info, j'ai baissé le niveau de fw de la box et créé le nat qui va bien, pas mieux <teebee44> faut voir avec Sam
#13 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 50 à 70
- Restant à faire (heures) changé de 6.0 à 3.0
Le tunnel fonctionne. On verra à 13h après un reconfigure si c'est ok.
#14 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- % réalisé changé de 70 à 100
- Restant à faire (heures) changé de 3.0 à 0.0
Après un dernier réglage sur eSSL du MEDDE + reconfigure, les machines sur leur réseau accèdent bien à la machine "jessie" (ping). Ça passe pas depuis eSSL, mais ça ne pose pas de problème particulier.
#15 Mis à jour par Thierry Bertrand il y a plus de 8 ans
- Statut changé de En cours à Résolu
#16 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de Résolu à Fermé