Tâche #13114: Monter une connexion VPN entre eSSL MEDDE et FW-EOLE - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #13114

Scénario #13068: Permettre au MEDDE d'accéder à squashTM

Monter une connexion VPN entre eSSL MEDDE et FW-EOLE

Ajouté par Fabrice Barconnière il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Fabrice Barconnière

Version cible:

Sprint 2015 39-41 - Équipe MENESR

Début:

21/09/2015

Echéance:

% réalisé:

100%

Temps estimé:

6.00 h

Temps passé:

5.00 h

Restant à faire (heures):

0.0

Description

Maintenant que la fonctionnalité tunnel entre une réseau et une adresse IP a été vérifiée, trouver pourquoi on n'arrive pas à le faire entre FW-EOLE et FW-MEDDE.
Quelques pistes :

Passerelle VPN EOLE : serveur Debian Wheezy avec le serveur cible sur une interface VLAN
Passerelle VPN MEDDE : serveur eSBL NATTÉ derrière une livebox

On constate que la connexion ne s'établit qu'à l'initiative de la passerelle du MEDDE.
Aucun trafic ne passe.

On pourrait vérifier les règles IPtables sur la passerelle EOLE (au minimum ceci) :

-A INPUT -i eth0 -j eth0-root
-A INPUT -i vlan300 -j vlan300-root
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o vlan300 -j eth0-vlan300
-A FORWARD -i vlan300 -o eth0 -j vlan300-eth0
-A OUTPUT -o lo -j ACCEPT
-A eth0-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-vlan300 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-vlan300 -j DROP
-A eth0-root -p udp -m udp --dport 500 -j ACCEPT
-A eth0-root -p udp -m udp --dport 4500 -j ACCEPT
-A eth0-root -p esp -j ACCEPT
-A eth0-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A eth0-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A eth0-root -j DROP
-A vlan300-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A vlan300-eth0 -j DROP
-A vlan300-root -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A vlan300-root -m state --state RELATED,ESTABLISHED -j ACCEPT
-A vlan300-root -j DROP
-A root-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A root-eth0 -m state --state NEW -j ACCEPT
-A root-eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT

Pour info, il n'y a pas besoin de route spécifique à ce tunnel côté FW-EOLE

Vérifier également la livebox:

http://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/la-creation-d-un-reseau/creer-un-reseau-vpn/livebox-pro-v2-configurer-le-pare-feu-pour-l-utilisation-du-vpn_26590-27230
autorisation UPD/500, UDP/4500, ESP
peut-être NAT des paquets provenant venant d'IP eth0 EOLE UDP/500 et 4500 vers IP eth0 eSSL

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Statut changé de En cours à Nouveau
% réalisé changé de 100 à 0

#2 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Restant à faire (heures) changé de 0.0 à 6.0

#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Tracker changé de Tâche à Anomalie
Assigné à ~~Fabrice Barconnière~~ supprimé
Version cible ~~Sprint 2015 39-41 - Équipe MENESR~~ supprimé

#4 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Tracker changé de Anomalie à Tâche

#5 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Tâche parente mis à #13068

#6 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Description mis à jour (diff)

#7 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Description mis à jour (diff)

#8 Mis à jour par Daniel Dehennin il y a plus de 8 ans

Description mis à jour (diff)

#9 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Statut changé de Nouveau à En cours

#10 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Assigné à mis à Fabrice Barconnière

#11 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

% réalisé changé de 0 à 50

On avance :

barco> teebee44: je viens de voir Sam, de notre coté, la conf semble correcte. Les ping issues de Squash sortent bien chiffrés de notre FW, mais il n'y a pas de réponse.
<barco> la box doit certainement les bloquer.
<teebee44> ok
<barco> il doit falloir rediriger UDP/500, UDP/4500 et le protocol ESP (protocol 50) vers l'IP eth0 de ton

#12 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

Pour le suivi des opérations :

<teebee44> barco, pour info, j'ai baissé le niveau de fw de la box et créé le nat qui va bien, pas mieux
<teebee44> faut voir avec Sam

#13 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

% réalisé changé de 50 à 70
Restant à faire (heures) changé de 6.0 à 3.0

Le tunnel fonctionne. On verra à 13h après un reconfigure si c'est ok.

#14 Mis à jour par Fabrice Barconnière il y a plus de 8 ans

% réalisé changé de 70 à 100
Restant à faire (heures) changé de 3.0 à 0.0

Après un dernier réglage sur eSSL du MEDDE + reconfigure, les machines sur leur réseau accèdent bien à la machine "jessie" (ping). Ça passe pas depuis eSSL, mais ça ne pose pas de problème particulier.

#15 Mis à jour par Thierry Bertrand il y a plus de 8 ans

Statut changé de En cours à Résolu

#16 Mis à jour par Scrum Master il y a plus de 8 ans

Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE

Demandes

Rapports personnalisés