Scénario #15594
Agent RVP : détecter les tunnels asymétriques
0%
Description
Un tunnel peut se retrouver dans un état où seule une moitié est montée.
Par exemple, sur le serveur Amon le tunnel parait monté, mais sur le serveur Sphynx, le tunnel n'existe pas.
L'agent détecte bien la problème du tunnel non monté, mais comme il n'y a aucune action de la part de l'agent sur Sphynx, le tunnel ne sera pas remonté. L'agent sur Amon, voyant ce tunnel monté, ne fera également aucune action.
Côté Amon, cela pourrait être détecter en pinguant depuis toutes les interfaces concernées par un tunnel.
- strongSwan sait-il gérer ce genre de situation ?
- traiter cette situation dans l'agent Zéphir
- l'agent (test-rvp utilise l'agent) devrait tester le ping depuis toutes interfaces concernées par un tunnel
Bonjour, J'avais évoqué avec Fabrice le fait que l'on a parfois des pbs de vpns de tunnels montés de manière asymétrique (le ping passe dans un sens mais pas dans l'autre). Voici un extrait de ipsec status au moment ou cela se produit. Coté sphynx : root@sphynx-adriatic-24:~# ipsec statusall|grep 371418 sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic: 195.83.89.137...194.199.244.130 IKEv1/2, dpddelay=120s sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03] uses public key authentication sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic: child: 172.16.0.0/13 === 10.37.80.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0371418R_1-pedago1D-adriatic: child: 172.16.0.0/13 === 10.137.80.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: ESTABLISHED 103 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03] sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: IKEv2 SPIs: 8093b2859d27be74_i 4ae97026d4e7f559_r*, public key reauthentication in 60 minutes sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}: INSTALLED, TUNNEL, ESP SPIs: c28b5515_i c8dfdb40_o sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}: AES_GCM_16_128, 226730 bytes_i (1652 pkts, 6s ago), 1165744 bytes_o (1434 pkts, 6s ago), rekeying in 27 minutes sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}: 172.16.0.0/13 === 10.37.80.0/24 root@sphynx-adriatic-24:~# Coté amon : root@amon-0371418r:~# ipsec status Security Associations (2 up, 0 connecting): amon 0371418R-sphynx-agriates-DSI_1-admin-agr10[2]: ESTABLISHED 101 minutes ago, 194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-02]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] amon 0371418R-sphynx-agriates-DSI_1-admin-agr10{2}: INSTALLED, TUNNEL, ESP SPIs: c0c706f4_i c46d6a64_o amon 0371418R-sphynx-agriates-DSI_1-admin-agr10{2}: 10.37.80.0/24 === 10.0.0.0/8 amon 0371418R-sphynx-agriates-DSI_1-admin-reseau_ader{4}: INSTALLED, TUNNEL, ESP SPIs: c747e71b_i c1b588a9_o amon 0371418R-sphynx-agriates-DSI_1-admin-reseau_ader{4}: 10.37.80.0/24 === 161.48.0.0/19 amon 0371418R-sphynx-agriates-DSI_1-admin-agr172{5}: INSTALLED, TUNNEL, ESP SPIs: ce678de3_i c73eb2fe_o amon 0371418R-sphynx-agriates-DSI_1-admin-agr172{5}: 10.37.80.0/24 === 172.24.0.0/13 amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic[1]: ESTABLISHED 101 minutes ago, 194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] amon 0371418R-sphynx-adriatic-DSI_1-pedago1D-adriatic{3}: INSTALLED, TUNNEL, ESP SPIs: cd8d3cbd_i cd99ff63_o amon 0371418R-sphynx-adriatic-DSI_1-pedago1D-adriatic{3}: 10.137.80.0/24 === 172.16.0.0/13 amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic{1}: INSTALLED, TUNNEL, ESP SPIs: c8dfdb40_i c28b5515_o amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic{1}: 10.37.80.0/24 === 172.16.0.0/13 root@amon-0371418r:~# On voit bien que la connexion est "installed" coté amon mais pas coté sphynx. Pourtant depuis le amon on arrive à pinger la patte interne du sphynx (172.23.255.234 ; c'est l'IP que l'on pinge dans le test-rvp). A première vue on a du mal voir comment cela peut-être possible vu que le tunnel n'est monté que d'un coté En y réfléchissant j'ai compris pourquoi le test-rvp était en quelque sorte "biaisé" : - dans zephir on a forcé l'IP source "émettrice" des flux émis dans le vpn (via la variable sw_force_ip_src) : en l'occurence eth1 chez nous. - dans le cas présent on voit que le vpn admin<->adriatic est opérationnel ; lorsque l'on pinge 172.23.255.234, la trame icmp part dans ce tunnel (qui est opérationnel) avec comme IP source celle d'eth1 de l'amon. Le test-rvp ne peut donc pas s'apercevoir que le tunnel est tombé... Pour confirmer mes hypothèses, j'ai effectué un ping -I eth2 afin de forcer le ping à partir avec la bonne IP et là effectivement celui ci ne répond pas alors qu'un ping -I eth1 répond. Si l'on cherche à pinger depuis le sphynx adriatic vers une IP du réseau pédagogique de l'amon, le flux ne passe pas car il faudrait emprunter le tunnel qui est tombé... Ce que je n'arrive pas à comprendre c'est pourquoi dans ipsec status, le amon "voit" le tunnel monté alors que le sphynx ne le "voit" pas ? Comment se fait il que le dead peer detection n'arrive pas à identifier ce pb et y remédier ? Même si ce cas reste marginal par rapport au problème signalé précédemment (vpns qui tombent et ne remontent pas d'eux mêmes) il est malgré tout bien réel et pose problème. Merci d'avance, Olivier
Demandes liées
Historique
#1 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Tracker changé de Demande à Proposition Scénario
- Projet changé de Sphynx à zephir-client
- Sujet changé de pbs de vpns asymétriques à Agent RVP : détecter les tunnels asymétriques
- Description mis à jour (diff)
#2 Mis à jour par équipe eole Academie d'Orléans-Tours il y a presque 8 ans
Bonjour,
Peut on espérer une prise en compte de ce problème ? Les collectivités dans lesquelles nous avons déployé des sphynx nous interpellent régulièrement à ce sujet et nous sommes mis en difficultés.
Merci d'avance,
Olivier
#3 Mis à jour par Joël Cuissinat il y a plus de 7 ans
Nécessite un peu trop de développement pour être diffusé en 2.6.0 (3 jours selon Fabrice).
Cependant ce scénario présente un réel intérêt.
#4 Mis à jour par Scrum Master il y a plus de 7 ans
- Assigné à mis à Fabrice Barconnière
Verifer le comportement en 2.5 et 2.6
#5 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Besoin de renseignement :
j'aimerai connaître la valeur du code retour de la commande ipsec statusall dans cette situation côté Sphynx ET côté Amon.
Merci de renseigner cette demande si vous arrivez à fournir ces renseignements.
#6 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 7 ans
Bonjour,
Voila un exemple de ce début d'après midi :
Ici un site "coupé" depuis 40mn :
coté sphynx
root@sphynx-adriatic-24:~# ipsec statusall | grep 0451483 sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic: 195.83.89.137...194.214.167.243 IKEv1/2, dpddelay=120s sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02] uses public key authentication sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic: child: 172.16.0.0/13 === 10.45.74.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_pedago1D-adriatic: child: 172.16.0.0/13 === 10.145.74.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: ESTABLISHED 91 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02] sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: IKEv2 SPIs: 741df4e27a1a8f19_i b702b4c8606c3616_r*, public key reauthentication in 78 minutes sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}: INSTALLED, TUNNEL, ESP SPIs: caa741f7_i c8c62506_o sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}: AES_GCM_16_128, 34531 bytes_i (256 pkts, 15s ago), 121906 bytes_o (206 pkts, 6s ago), rekeying in 43 minutes sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}: 172.16.0.0/13 === 10.45.74.0/24
Coté AMON
root@amon-0451483t:~# ipsec statusall Status of IKE charon daemon (strongSwan 5.0.4, Linux 3.13.0-86-generic, x86_64): uptime: 4 hours, since Oct 03 10:30:13 2016 malloc: sbrk 528384, mmap 0, used 407440, free 120944 worker threads: 24 of 32 idle, 7/1/0/0 working, job queue: 0/0/0/0, scheduled: 9 loaded plugins: charon test-vectors curl ldap sqlite pkcs11 aes sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap tnc-tnccs led addrblock Listening IP addresses: 194.214.167.243 10.45.74.254 10.145.74.189 10.145.74.173 Connections: amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: 194.214.167.243...195.83.89.137 IKEv1/2, dpddelay=120s amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02] uses public key authentication amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02" amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: child: 10.45.74.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic: child: 10.145.74.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: 194.214.167.243...195.83.89.136 IKEv1/2, dpddelay=120s amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01] uses public key authentication amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01" amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] uses public key authentication amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: child: 10.45.74.0/24 === 10.0.0.0/8 TUNNEL, dpdaction=restart amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader: child: 10.45.74.0/24 === 161.48.0.0/19 TUNNEL, dpdaction=restart amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172: child: 10.45.74.0/24 === 172.24.0.0/13 TUNNEL, dpdaction=restart Security Associations (2 up, 0 connecting): amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: ESTABLISHED 91 minutes ago, 194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: IKEv2 SPIs: 741df4e27a1a8f19_i* b702b4c8606c3616_r, public key reauthentication in 69 minutes amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}: INSTALLED, TUNNEL, ESP SPIs: c2ec94aa_i c1cf0517_o amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}: AES_GCM_16_128, 0 bytes_i, 297166 bytes_o (2220 pkts, 0s ago), rekeying active amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}: 10.145.74.0/24 === 172.16.0.0/13 amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}: INSTALLED, TUNNEL, ESP SPIs: c8c62506_i caa741f7_o amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}: AES_GCM_16_128, 121826 bytes_i (204 pkts, 32s ago), 34451 bytes_o (254 pkts, 32s ago), rekeying in 42 minutes amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}: 10.45.74.0/24 === 172.16.0.0/13 amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: ESTABLISHED 95 minutes ago, 194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: IKEv2 SPIs: 90e863087c7165af_i* 3e51b8942ef9431d_r, public key reauthentication in 63 minutes amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}: INSTALLED, TUNNEL, ESP SPIs: c46c6b46_i cf66a741_o amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}: AES_GCM_16_128, 480 bytes_i (5 pkts, 37s ago), 480 bytes_o (5 pkts, 37s ago), rekeying in 34 minutes amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}: 10.45.74.0/24 === 10.0.0.0/8 amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}: INSTALLED, TUNNEL, ESP SPIs: c411ba82_i c974c988_o amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}: AES_GCM_16_128, 480 bytes_i (5 pkts, 37s ago), 480 bytes_o (5 pkts, 37s ago), rekeying in 40 minutes amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}: 10.45.74.0/24 === 172.24.0.0/13 amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}: INSTALLED, TUNNEL, ESP SPIs: c95564e5_i c46434c7_o amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}: AES_GCM_16_128, 288 bytes_i (3 pkts, 37s ago), 288 bytes_o (3 pkts, 37s ago), rekeying in 40 minutes amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}: 10.45.74.0/24 === 161.48.0.0/19
ou l'on voit que la connexion pedago1D-adriatic est absente coté sphynx alors qu'elle est "INSTALLED" coté AMON, ce qui fait que le AMON ne saura pas corriger le problème de lui même.
#7 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
J'aurais aimé connaître le code retour de ces commandes sur chacun des serveurs Sphynx et Amon (echo $?).
#8 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
coté Sphynx, sans le grep, juste la commande ipsec statusall suivi de echo $?
#9 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 7 ans
Voici la sortie demandée coté sphynx en PJ.
Le retour est à zéro, ce qui me semble logique, vu que si coté amon on fait un rpv restart, ça remonte : ipsec coté sphynx n'est pas planté, sinon cette action ne serait pas suffisante à mon sens.
La commande coté AMON :
root@amon-0450064a:~# ipsec statusall Status of IKE charon daemon (strongSwan 5.0.4, Linux 3.13.0-86-generic, x86_64): uptime: 95 minutes, since Oct 04 14:33:08 2016 malloc: sbrk 528384, mmap 0, used 396144, free 132240 worker threads: 24 of 32 idle, 7/1/0/0 working, job queue: 0/0/0/0, scheduled: 10 loaded plugins: charon test-vectors curl ldap sqlite pkcs11 aes sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap tnc-tnccs led addrblock Listening IP addresses: 194.214.168.27 10.45.30.254 10.145.30.189 10.145.30.173 Connections: amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: 194.214.168.27...195.83.89.136 IKEv1/2, dpddelay=120s amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01] uses public key authentication amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01" amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] uses public key authentication amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10: child: 10.45.30.0/24 === 10.0.0.0/8 TUNNEL, dpdaction=restart amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader: child: 10.45.30.0/24 === 161.48.0.0/19 TUNNEL, dpdaction=restart amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172: child: 10.45.30.0/24 === 172.24.0.0/13 TUNNEL, dpdaction=restart amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: 194.214.168.27...195.83.89.137 IKEv1/2, dpddelay=120s amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02] uses public key authentication amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02" amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic: child: 10.45.30.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic: child: 10.145.30.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart Security Associations (2 up, 0 connecting): amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: ESTABLISHED 95 minutes ago, 194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: IKEv2 SPIs: ad265bf99f8bee22_i* 1ba2b83232c11033_r, public key reauthentication in 64 minutes amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}: INSTALLED, TUNNEL, ESP SPIs: c61c831b_i c187f3e7_o amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}: AES_GCM_16_128, 0 bytes_i, 137035 bytes_o (1331 pkts, 2s ago), rekeying active amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}: 10.145.30.0/24 === 172.16.0.0/13 amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}: INSTALLED, TUNNEL, ESP SPIs: c6715ae9_i c1d0f6e1_o amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}: AES_GCM_16_128, 12547 bytes_i (89 pkts, 119s ago), 15758 bytes_o (91 pkts, 119s ago), rekeying in 35 minutes amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}: 10.45.30.0/24 === 172.16.0.0/13 amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: ESTABLISHED 95 minutes ago, 194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: IKEv2 SPIs: 6baf42390310ff1e_i* 0c11a8d5e86ab2b7_r, public key reauthentication in 61 minutes amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}: INSTALLED, TUNNEL, ESP SPIs: c8b3f358_i cbcce84d_o amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}: AES_GCM_16_128, 480 bytes_i (5 pkts, 119s ago), 480 bytes_o (5 pkts, 119s ago), rekeying in 35 minutes amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}: 10.45.30.0/24 === 10.0.0.0/8 amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}: INSTALLED, TUNNEL, ESP SPIs: ce9c8b4d_i c22bf699_o amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}: AES_GCM_16_128, 384 bytes_i (4 pkts, 119s ago), 384 bytes_o (4 pkts, 119s ago), rekeying in 36 minutes amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}: 10.45.30.0/24 === 161.48.0.0/19 amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}: INSTALLED, TUNNEL, ESP SPIs: cee4d56c_i c7b06cb9_o amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}: AES_GCM_16_128, 192 bytes_i (2 pkts, 119s ago), 288 bytes_o (3 pkts, 119s ago), rekeying in 44 minutes amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}: 10.45.30.0/24 === 172.24.0.0/13
et quand même en bonus coté sphynx avec grep :
root@sphynx-adriatic-24:~# ipsec statusall | grep 0450064 sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic: 195.83.89.137...194.214.168.27 IKEv1/2, dpddelay=120s sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic: local: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic: cert: "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic: remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02] uses public key authentication sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic: child: 172.16.0.0/13 === 10.45.30.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_pedago1D-adriatic: child: 172.16.0.0/13 === 10.145.30.0/24 TUNNEL, dpdaction=clear sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: ESTABLISHED 98 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02] sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: IKEv2 SPIs: ad265bf99f8bee22_i 1ba2b83232c11033_r*, public key reauthentication in 70 minutes sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}: INSTALLED, TUNNEL, ESP SPIs: c1d0f6e1_i c6715ae9_o sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}: AES_GCM_16_128, 25958 bytes_i (154 pkts, 15s ago), 23190 bytes_o (167 pkts, 15s ago), rekeying in 31 minutes sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}: 172.16.0.0/13 === 10.45.30.0/24
Nicolas
#10 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 7 ans
Je remet un fichier plus propre, l'autre qui contenait le retour de plusieurs commandes.
#11 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
OK, merci.
Donc le test du code retour (déjà implémenté sur EOLE 2.6) ne suffira pas :-(
Il faudra bien coder cette fonctionnalité.
#12 Mis à jour par Scrum Master il y a plus de 7 ans
- Tracker changé de Proposition Scénario à Scénario
- Assigné à
Fabrice Barconnièresupprimé - Début
24/03/2016supprimé - Release mis à EOLE 2.6.1
#13 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- Points de scénarios mis à 5.0
#14 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Release changé de EOLE 2.6.1 à EOLE 2.6.1.1
#15 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Release
EOLE 2.6.1.1supprimé
#16 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Assigné à mis à force verte