Project

General

Profile

Scénario #15594

Agent RVP : détecter les tunnels asymétriques

Added by équipe eole Academie d'Orléans-Tours over 4 years ago. Updated over 2 years ago.

Status:
Nouveau
Priority:
Normal
Assigned To:
Category:
-
Target version:
-
Start date:
Due date:
% Done:

0%

Story points:
5.0
Velocity based estimate:

Description

Un tunnel peut se retrouver dans un état où seule une moitié est montée.
Par exemple, sur le serveur Amon le tunnel parait monté, mais sur le serveur Sphynx, le tunnel n'existe pas.
L'agent détecte bien la problème du tunnel non monté, mais comme il n'y a aucune action de la part de l'agent sur Sphynx, le tunnel ne sera pas remonté. L'agent sur Amon, voyant ce tunnel monté, ne fera également aucune action.
Côté Amon, cela pourrait être détecter en pinguant depuis toutes les interfaces concernées par un tunnel.

  • strongSwan sait-il gérer ce genre de situation ?
  • traiter cette situation dans l'agent Zéphir
    • l'agent (test-rvp utilise l'agent) devrait tester le ping depuis toutes interfaces concernées par un tunnel
Bonjour,
J'avais évoqué avec Fabrice le fait que l'on a parfois des pbs de vpns de tunnels montés de manière asymétrique (le ping passe dans un sens mais pas dans l'autre). Voici un extrait de ipsec status au moment ou cela se produit.
Coté sphynx :
root@sphynx-adriatic-24:~# ipsec statusall|grep 371418
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic:  195.83.89.137...194.199.244.130  IKEv1/2, dpddelay=120s
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" 
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03] uses public key authentication
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic:   child:  172.16.0.0/13 === 10.37.80.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0371418R_1-pedago1D-adriatic:   child:  172.16.0.0/13 === 10.137.80.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: ESTABLISHED 103 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03]
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: IKEv2 SPIs: 8093b2859d27be74_i 4ae97026d4e7f559_r*, public key reauthentication in 60 minutes
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic[22159]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}:  INSTALLED, TUNNEL, ESP SPIs: c28b5515_i c8dfdb40_o
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}:  AES_GCM_16_128, 226730 bytes_i (1652 pkts, 6s ago), 1165744 bytes_o (1434 pkts, 6s ago), rekeying in 27 minutes
sphynx-adriatic-DSI-amon 0371418R_1-admin-adriatic{36096}:   172.16.0.0/13 === 10.37.80.0/24
root@sphynx-adriatic-24:~#

Coté amon :
root@amon-0371418r:~# ipsec status
Security Associations (2 up, 0 connecting):
amon 0371418R-sphynx-agriates-DSI_1-admin-agr10[2]: ESTABLISHED 101 minutes ago, 194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-02]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06]
amon 0371418R-sphynx-agriates-DSI_1-admin-agr10{2}:  INSTALLED, TUNNEL, ESP SPIs: c0c706f4_i c46d6a64_o
amon 0371418R-sphynx-agriates-DSI_1-admin-agr10{2}:   10.37.80.0/24 === 10.0.0.0/8
amon 0371418R-sphynx-agriates-DSI_1-admin-reseau_ader{4}:  INSTALLED, TUNNEL, ESP SPIs: c747e71b_i c1b588a9_o
amon 0371418R-sphynx-agriates-DSI_1-admin-reseau_ader{4}:   10.37.80.0/24 === 161.48.0.0/19
amon 0371418R-sphynx-agriates-DSI_1-admin-agr172{5}:  INSTALLED, TUNNEL, ESP SPIs: ce678de3_i c73eb2fe_o
amon 0371418R-sphynx-agriates-DSI_1-admin-agr172{5}:   10.37.80.0/24 === 172.24.0.0/13
amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic[1]: ESTABLISHED 101 minutes ago, 194.199.244.130[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0371418R-03]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]
amon 0371418R-sphynx-adriatic-DSI_1-pedago1D-adriatic{3}:  INSTALLED, TUNNEL, ESP SPIs: cd8d3cbd_i cd99ff63_o
amon 0371418R-sphynx-adriatic-DSI_1-pedago1D-adriatic{3}:   10.137.80.0/24 === 172.16.0.0/13
amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic{1}:  INSTALLED, TUNNEL, ESP SPIs: c8dfdb40_i c28b5515_o
amon 0371418R-sphynx-adriatic-DSI_1-admin-adriatic{1}:   10.37.80.0/24 === 172.16.0.0/13
root@amon-0371418r:~#

On voit bien que la connexion est "installed" coté amon mais pas coté sphynx.
Pourtant depuis le amon on arrive à pinger la patte interne du sphynx (172.23.255.234 ; c'est l'IP que l'on pinge dans le test-rvp).
A première vue on a du mal voir comment cela peut-être possible vu que le tunnel n'est monté que d'un coté
En y réfléchissant j'ai compris pourquoi le test-rvp était en quelque sorte "biaisé" :
- dans zephir on a forcé l'IP source "émettrice" des flux émis dans le vpn (via la variable sw_force_ip_src) : en l'occurence eth1 chez nous.
- dans le cas présent on voit que le vpn admin<->adriatic est opérationnel ; lorsque l'on pinge 172.23.255.234, la trame icmp part dans ce tunnel (qui est opérationnel) avec comme IP source celle d'eth1 de l'amon. Le test-rvp ne peut donc pas s'apercevoir que le tunnel est tombé...
Pour confirmer mes hypothèses, j'ai effectué un ping -I eth2 afin de forcer le ping à partir avec la bonne IP et là effectivement celui ci ne répond pas alors qu'un ping -I eth1 répond.
Si l'on cherche à pinger depuis le sphynx adriatic vers une IP du réseau pédagogique de l'amon, le flux ne passe pas car il faudrait emprunter le tunnel qui est tombé...
Ce que je n'arrive pas à comprendre c'est pourquoi dans ipsec status, le amon "voit" le tunnel monté alors que le sphynx ne le "voit" pas ?
Comment se fait il que le dead peer detection n'arrive pas à identifier ce pb et y remédier ?
Même si ce cas reste marginal par rapport au problème signalé précédemment (vpns qui tombent et ne remontent pas d'eux mêmes) il est malgré tout bien réel et pose problème.
Merci d'avance,
Olivier

ipsec.txt View - Commande sur sphynx : ipsec statusall ; echo $? (763 KB) équipe eole Academie d'Orléans-Tours, 10/04/2016 04:06 PM

ipsec.txt View - ipsec statusall sur sphynx (620 KB) équipe eole Academie d'Orléans-Tours, 10/04/2016 04:17 PM


Related issues

Related to Distribution EOLE - Tâche #17256: Vérifier auprès de l'académie d'Orléans-Tours la valeur du code retour de la commande "ipsec statusall" en cas de tunnels "asymétriques" Fermé 09/26/2016

History

#1 Updated by Fabrice Barconnière over 4 years ago

  • Tracker changed from Demande to Proposition Scénario
  • Project changed from Sphynx to zephir-client
  • Subject changed from pbs de vpns asymétriques to Agent RVP : détecter les tunnels asymétriques
  • Description updated (diff)

#2 Updated by équipe eole Academie d'Orléans-Tours about 4 years ago

Bonjour,
Peut on espérer une prise en compte de ce problème ? Les collectivités dans lesquelles nous avons déployé des sphynx nous interpellent régulièrement à ce sujet et nous sommes mis en difficultés.
Merci d'avance,
Olivier

#3 Updated by Joël Cuissinat almost 4 years ago

Nécessite un peu trop de développement pour être diffusé en 2.6.0 (3 jours selon Fabrice).
Cependant ce scénario présente un réel intérêt.

#4 Updated by Scrum Master almost 4 years ago

  • Assigned To set to Fabrice Barconnière

Verifer le comportement en 2.5 et 2.6

#5 Updated by Fabrice Barconnière almost 4 years ago

Besoin de renseignement :
j'aimerai connaître la valeur du code retour de la commande ipsec statusall dans cette situation côté Sphynx ET côté Amon.
Merci de renseigner cette demande si vous arrivez à fournir ces renseignements.

#6 Updated by équipe eole Academie d'Orléans-Tours over 3 years ago

Bonjour,

Voila un exemple de ce début d'après midi :

Ici un site "coupé" depuis 40mn :

coté sphynx

root@sphynx-adriatic-24:~# ipsec statusall | grep 0451483
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic:  195.83.89.137...194.214.167.243  IKEv1/2, dpddelay=120s
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" 
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02] uses public key authentication
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic:   child:  172.16.0.0/13 === 10.45.74.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_pedago1D-adriatic:   child:  172.16.0.0/13 === 10.145.74.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: ESTABLISHED 91 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02]
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: IKEv2 SPIs: 741df4e27a1a8f19_i b702b4c8606c3616_r*, public key reauthentication in 78 minutes
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic[2299]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}:  INSTALLED, TUNNEL, ESP SPIs: caa741f7_i c8c62506_o
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}:  AES_GCM_16_128, 34531 bytes_i (256 pkts, 15s ago), 121906 bytes_o (206 pkts, 6s ago), rekeying in 43 minutes
sphynx-adriatic-DSI-amon 0451483T_1-OLD_PKI_admin-adriatic{4548}:   172.16.0.0/13 === 10.45.74.0/24 

Coté AMON

root@amon-0451483t:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.0.4, Linux 3.13.0-86-generic, x86_64):
  uptime: 4 hours, since Oct 03 10:30:13 2016
  malloc: sbrk 528384, mmap 0, used 407440, free 120944
  worker threads: 24 of 32 idle, 7/1/0/0 working, job queue: 0/0/0/0, scheduled: 9
  loaded plugins: charon test-vectors curl ldap sqlite pkcs11 aes sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap tnc-tnccs led addrblock
Listening IP addresses:
  194.214.167.243
  10.45.74.254
  10.145.74.189
  10.145.74.173
Connections:
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:  194.214.167.243...195.83.89.137  IKEv1/2, dpddelay=120s
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02] uses public key authentication
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02" 
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   child:  10.45.74.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic:   child:  10.145.74.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:  194.214.167.243...195.83.89.136  IKEv1/2, dpddelay=120s
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01] uses public key authentication
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01" 
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] uses public key authentication
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   child:  10.45.74.0/24 === 10.0.0.0/8 TUNNEL, dpdaction=restart
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader:   child:  10.45.74.0/24 === 161.48.0.0/19 TUNNEL, dpdaction=restart
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172:   child:  10.45.74.0/24 === 172.24.0.0/13 TUNNEL, dpdaction=restart
Security Associations (2 up, 0 connecting):
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: ESTABLISHED 91 minutes ago, 194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-02]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: IKEv2 SPIs: 741df4e27a1a8f19_i* b702b4c8606c3616_r, public key reauthentication in 69 minutes
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[4]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}:  INSTALLED, TUNNEL, ESP SPIs: c2ec94aa_i c1cf0517_o
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}:  AES_GCM_16_128, 0 bytes_i, 297166 bytes_o (2220 pkts, 0s ago), rekeying active
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{10}:   10.145.74.0/24 === 172.16.0.0/13 
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}:  INSTALLED, TUNNEL, ESP SPIs: c8c62506_i caa741f7_o
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}:  AES_GCM_16_128, 121826 bytes_i (204 pkts, 32s ago), 34451 bytes_o (254 pkts, 32s ago), rekeying in 42 minutes
amon 0451483T-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{9}:   10.45.74.0/24 === 172.16.0.0/13 
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: ESTABLISHED 95 minutes ago, 194.214.167.243[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0451483T-01]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06]
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: IKEv2 SPIs: 90e863087c7165af_i* 3e51b8942ef9431d_r, public key reauthentication in 63 minutes
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[3]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}:  INSTALLED, TUNNEL, ESP SPIs: c46c6b46_i cf66a741_o
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}:  AES_GCM_16_128, 480 bytes_i (5 pkts, 37s ago), 480 bytes_o (5 pkts, 37s ago), rekeying in 34 minutes
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{7}:   10.45.74.0/24 === 10.0.0.0/8 
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}:  INSTALLED, TUNNEL, ESP SPIs: c411ba82_i c974c988_o
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}:  AES_GCM_16_128, 480 bytes_i (5 pkts, 37s ago), 480 bytes_o (5 pkts, 37s ago), rekeying in 40 minutes
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{6}:   10.45.74.0/24 === 172.24.0.0/13 
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}:  INSTALLED, TUNNEL, ESP SPIs: c95564e5_i c46434c7_o
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}:  AES_GCM_16_128, 288 bytes_i (3 pkts, 37s ago), 288 bytes_o (3 pkts, 37s ago), rekeying in 40 minutes
amon 0451483T-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{8}:   10.45.74.0/24 === 161.48.0.0/19

ou l'on voit que la connexion pedago1D-adriatic est absente coté sphynx alors qu'elle est "INSTALLED" coté AMON, ce qui fait que le AMON ne saura pas corriger le problème de lui même.

#7 Updated by Fabrice Barconnière over 3 years ago

J'aurais aimé connaître le code retour de ces commandes sur chacun des serveurs Sphynx et Amon (echo $?).

#8 Updated by Fabrice Barconnière over 3 years ago

coté Sphynx, sans le grep, juste la commande ipsec statusall suivi de echo $?

#9 Updated by équipe eole Academie d'Orléans-Tours over 3 years ago

Voici la sortie demandée coté sphynx en PJ.
Le retour est à zéro, ce qui me semble logique, vu que si coté amon on fait un rpv restart, ça remonte : ipsec coté sphynx n'est pas planté, sinon cette action ne serait pas suffisante à mon sens.

La commande coté AMON :

root@amon-0450064a:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.0.4, Linux 3.13.0-86-generic, x86_64):
  uptime: 95 minutes, since Oct 04 14:33:08 2016
  malloc: sbrk 528384, mmap 0, used 396144, free 132240
  worker threads: 24 of 32 idle, 7/1/0/0 working, job queue: 0/0/0/0, scheduled: 10
  loaded plugins: charon test-vectors curl ldap sqlite pkcs11 aes sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap tnc-tnccs led addrblock
Listening IP addresses:
  194.214.168.27
  10.45.30.254
  10.145.30.189
  10.145.30.173
Connections:
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:  194.214.168.27...195.83.89.136  IKEv1/2, dpddelay=120s
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01] uses public key authentication
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01" 
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06] uses public key authentication
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10:   child:  10.45.30.0/24 === 10.0.0.0/8 TUNNEL, dpdaction=restart
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader:   child:  10.45.30.0/24 === 161.48.0.0/19 TUNNEL, dpdaction=restart
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172:   child:  10.45.30.0/24 === 172.24.0.0/13 TUNNEL, dpdaction=restart
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:  194.214.168.27...195.83.89.137  IKEv1/2, dpddelay=120s
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02] uses public key authentication
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02" 
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic:   child:  10.45.30.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic:   child:  10.145.30.0/24 === 172.16.0.0/13 TUNNEL, dpdaction=restart
Security Associations (2 up, 0 connecting):
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: ESTABLISHED 95 minutes ago, 194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02]...195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: IKEv2 SPIs: ad265bf99f8bee22_i* 1ba2b83232c11033_r, public key reauthentication in 64 minutes
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic[2]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}:  INSTALLED, TUNNEL, ESP SPIs: c61c831b_i c187f3e7_o
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}:  AES_GCM_16_128, 0 bytes_i, 137035 bytes_o (1331 pkts, 2s ago), rekeying active
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_pedago1D-adriatic{3}:   10.145.30.0/24 === 172.16.0.0/13 
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}:  INSTALLED, TUNNEL, ESP SPIs: c6715ae9_i c1d0f6e1_o
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}:  AES_GCM_16_128, 12547 bytes_i (89 pkts, 119s ago), 15758 bytes_o (91 pkts, 119s ago), rekeying in 35 minutes
amon 0450064A-sphynx-adriatic-DSI_1-OLD_PKI_admin-adriatic{1}:   10.45.30.0/24 === 172.16.0.0/13 
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: ESTABLISHED 95 minutes ago, 194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-01]...195.83.89.136[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-06]
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: IKEv2 SPIs: 6baf42390310ff1e_i* 0c11a8d5e86ab2b7_r, public key reauthentication in 61 minutes
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10[1]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}:  INSTALLED, TUNNEL, ESP SPIs: c8b3f358_i cbcce84d_o
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}:  AES_GCM_16_128, 480 bytes_i (5 pkts, 119s ago), 480 bytes_o (5 pkts, 119s ago), rekeying in 35 minutes
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr10{2}:   10.45.30.0/24 === 10.0.0.0/8 
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}:  INSTALLED, TUNNEL, ESP SPIs: ce9c8b4d_i c22bf699_o
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}:  AES_GCM_16_128, 384 bytes_i (4 pkts, 119s ago), 384 bytes_o (4 pkts, 119s ago), rekeying in 36 minutes
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-reseau_ader{4}:   10.45.30.0/24 === 161.48.0.0/19 
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}:  INSTALLED, TUNNEL, ESP SPIs: cee4d56c_i c7b06cb9_o
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}:  AES_GCM_16_128, 192 bytes_i (2 pkts, 119s ago), 288 bytes_o (3 pkts, 119s ago), rekeying in 44 minutes
amon 0450064A-sphynx-agriates-DSI_1-OLD_PKI_admin-agr172{5}:   10.45.30.0/24 === 172.24.0.0/13

et quand même en bonus coté sphynx avec grep :


root@sphynx-adriatic-24:~# ipsec statusall | grep 0450064
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic:  195.83.89.137...194.214.168.27  IKEv1/2, dpddelay=120s
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic:   local:  [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07] uses public key authentication
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic:    cert:  "C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07" 
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic:   remote: [C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02] uses public key authentication
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic:   child:  172.16.0.0/13 === 10.45.30.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_pedago1D-adriatic:   child:  172.16.0.0/13 === 10.145.30.0/24 TUNNEL, dpdaction=clear
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: ESTABLISHED 98 minutes ago, 195.83.89.137[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=AGRIATES-ORLEANS-07]...194.214.168.27[C=fr, O=gouv, OU=education, OU=ac-orleans-tours, CN=0450064A-02]
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: IKEv2 SPIs: ad265bf99f8bee22_i 1ba2b83232c11033_r*, public key reauthentication in 70 minutes
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic[5498]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}:  INSTALLED, TUNNEL, ESP SPIs: c1d0f6e1_i c6715ae9_o
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}:  AES_GCM_16_128, 25958 bytes_i (154 pkts, 15s ago), 23190 bytes_o (167 pkts, 15s ago), rekeying in 31 minutes
sphynx-adriatic-DSI-amon 0450064A_1-OLD_PKI_admin-adriatic{13180}:   172.16.0.0/13 === 10.45.30.0/24

Nicolas

#10 Updated by équipe eole Academie d'Orléans-Tours over 3 years ago

Je remet un fichier plus propre, l'autre qui contenait le retour de plusieurs commandes.

#11 Updated by Fabrice Barconnière over 3 years ago

OK, merci.
Donc le test du code retour (déjà implémenté sur EOLE 2.6) ne suffira pas :-(
Il faudra bien coder cette fonctionnalité.

#12 Updated by Scrum Master over 3 years ago

  • Tracker changed from Proposition Scénario to Scénario
  • Assigned To deleted (Fabrice Barconnière)
  • Start date deleted (03/24/2016)
  • Release set to EOLE 2.6.1

#13 Updated by Fabrice Barconnière over 3 years ago

  • Story points set to 5.0

#14 Updated by Joël Cuissinat over 3 years ago

  • Release changed from EOLE 2.6.1 to EOLE 2.6.1.1

#15 Updated by Joël Cuissinat over 2 years ago

  • Release deleted (EOLE 2.6.1.1)

#16 Updated by Joël Cuissinat over 2 years ago

  • Assigned To set to force verte

Also available in: Atom PDF