Tâche #13114
Scénario #13068: Permettre au MEDDE d'accéder à squashTM
Monter une connexion VPN entre eSSL MEDDE et FW-EOLE
Status:
Fermé
Priority:
Normal
Assigned To:
Target version:
Remaining (hours):
0.0
Description
Maintenant que la fonctionnalité tunnel entre une réseau et une adresse IP a été vérifiée, trouver pourquoi on n'arrive pas à le faire entre FW-EOLE et FW-MEDDE.
Quelques pistes :
- Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN
- Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox
On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.
Aucun trafic ne passe.
-A INPUT -i eth0 -j eth0-root -A INPUT -i vlan300 -j vlan300-root -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -o vlan300 -j eth0-vlan300 -A FORWARD -i vlan300 -o eth0 -j vlan300-eth0 -A OUTPUT -o lo -j ACCEPT -A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-vlan300 -j DROP -A eth0-root -p udp -m udp --dport 500 -j ACCEPT -A eth0-root -p udp -m udp --dport 4500 -j ACCEPT -A eth0-root -p esp -j ACCEPT -A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A eth0-root -j DROP -A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT -A vlan300-eth0 -j DROP -A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT -A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT -A vlan300-root -j DROP -A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A root-eth0 -m state --state NEW -j ACCEPT -A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
- Pour info, il n'y a pas besoin de route spécifique à ce tunnel côté FW-EOLE
- http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230
- autorisation UPD/500, UDP/4500, ESP
- peut-être NAT des paquets provenant venant d'IP eth0 EOLE UDP/500 et 4500 vers IP eth0 eSSL
History
#1 Updated by Fabrice Barconnière over 7 years ago
- Status changed from En cours to Nouveau
- % Done changed from 100 to 0
#2 Updated by Fabrice Barconnière over 7 years ago
- Remaining (hours) changed from 0.0 to 6.0
#3 Updated by Fabrice Barconnière over 7 years ago
- Tracker changed from Tâche to Anomalie
- Assigned To deleted (
Fabrice Barconnière) - Target version deleted (
Sprint 2015 39-41 - Équipe MENESR)
#4 Updated by Fabrice Barconnière over 7 years ago
- Tracker changed from Anomalie to Tâche
#5 Updated by Fabrice Barconnière over 7 years ago
- Parent task set to #13068
#6 Updated by Fabrice Barconnière over 7 years ago
- Description updated (diff)
#7 Updated by Fabrice Barconnière over 7 years ago
- Description updated (diff)
#8 Updated by Daniel Dehennin over 7 years ago
- Description updated (diff)
#9 Updated by Fabrice Barconnière over 7 years ago
- Status changed from Nouveau to En cours
#10 Updated by Fabrice Barconnière over 7 years ago
- Assigned To set to Fabrice Barconnière
#11 Updated by Fabrice Barconnière over 7 years ago
- % Done changed from 0 to 50
On avance :
barco> teebee44: je viens de voir Sam, de notre coté, la conf semble correcte. Les ping issues de Squash sortent bien chiffrés de notre FW, mais il n'y a pas de réponse. <barco> la box doit certainement les bloquer. <teebee44> ok <barco> il doit falloir rediriger UDP/500, UDP/4500 et le protocol ESP (protocol 50) vers l'IP eth0 de ton
#12 Updated by Fabrice Barconnière over 7 years ago
Pour le suivi des opérations :
<teebee44> barco, pour info, j'ai baissé le niveau de fw de la box et créé le nat qui va bien, pas mieux <teebee44> faut voir avec Sam
#13 Updated by Fabrice Barconnière over 7 years ago
- % Done changed from 50 to 70
- Remaining (hours) changed from 6.0 to 3.0
Le tunnel fonctionne. On verra à 13h après un reconfigure si c'est ok.
#14 Updated by Fabrice Barconnière over 7 years ago
- % Done changed from 70 to 100
- Remaining (hours) changed from 3.0 to 0.0
Après un dernier réglage sur eSSL du MEDDE + reconfigure, les machines sur leur réseau accèdent bien à la machine "jessie" (ping). Ça passe pas depuis eSSL, mais ça ne pose pas de problème particulier.
#15 Updated by Thierry Bertrand over 7 years ago
- Status changed from En cours to Résolu
#16 Updated by Scrum Master over 7 years ago
- Status changed from Résolu to Fermé