Projet

Général

Profil

Tâche #16710

Distribution EOLE - Scénario #16962: Traitement express MEN (36-38)

Sphynx 2.5.2 - problème VPN dû à ARV après une mise à jour

Ajouté par Valery CERETUS il y a presque 8 ans. Mis à jour il y a plus de 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
Distribution EOLE - sprint 2016 36-38 - Équipe MENSR
Début:
05/07/2016
Echéance:
% réalisé:

100%

Temps estimé:
0.25 h
Temps passé:
1.00 h
Restant à faire (heures):
0.0

Description

Bonjour,

Suite à la dernière mise à jour sur un sphynx 2.5.2, j'ai eu des problèmes VPN (les tunnels ne montent plus) dus à l'introduction d'une erreur dans les fichiers créés par ARV.
Mon serveur Sphynx est en mode fichier plat et dans le modèle, je n'envoie pas les certificats.
Sur le serveur Sphynx, un extrait de /etc/ipsec.conf :

#DEB:sphynx-2016-amon0469C-252_1-management-reseau192
conn "sphynx-2016-amon0469C-252_1-management-reseau192" 
    leftid = "C=FR, L=Schoelcher, O=Education Nationale, OU=Academie de la Martinique, OU=0002 110043015, CN=sphynx.ac-martinique.fr" 
    leftcert = "sphynx.ac-martinique.fr.pem" 
    leftsendcert = never
    left = 192.168.225.235
    leftsubnet = "192.168.0.0/16" 
    leftupdown =
    rightid = "C=FR, L=Schoelcher, O=Education Nationale, OU=Academie de la Martinique, OU=0002 110043015, CN=9720469C-01.ac-martinique.fr" 
    rightcert = "/var/lib/arv/nodeconf/ipsec.d/certs/9720469C-01.ac-martinique.fr.pem" 
    right = 195.83.255.65
    rightsubnet = "172.18.0.128/26" 
    auto=start
#FIN:sphynx-2016-amon0469C-252_1-management-reseau192

Sur le serveur Amon 2.5.2

#DEB:amon0469C-252-sphynx-2016_1-management-reseau192
conn "amon0469C-252-sphynx-2016_1-management-reseau192" 
    leftid = "C=FR, L=Schoelcher, O=Education Nationale, OU=Academie de la Martinique, OU=0002 110043015, CN=9720469C-01.ac-martinique.fr" 
    leftcert = "9720469C-01.ac-martinique.fr.pem" 
    leftsendcert = never
    left = None
    leftsubnet = "172.18.0.128/26" 
    leftupdown = /etc/ipsec.d/ipsec_updown
    rightid = "C=FR, L=Schoelcher, O=Education Nationale, OU=Academie de la Martinique, OU=0002 110043015, CN=sphynx.ac-martinique.fr" 
    rightcert = "/var/lib/arv/nodeconf/ipsec.d/certs/sphynx.ac-martinique.fr.pem" 
    right = 195.83.254.166
    rightsubnet = "192.168.0.0/16" 
    auto=start
#FIN:amon0469C-252-sphynx-2016_1-management-reseau192

Le problème survient toujours du côté 'remote' de la conf. Il n'y a pas de dossier /var/lib/arv sur Amon et sur Sphynx, ce dossier est utilisé de manière temporaire pour la génération du tar.gz de la conf VPN.

Après avoir remplacé le code ci-dessous dans /usr/lib/python2.7/dist-packages/arv/lib/sw_config_apply.py :

               if connect.leftsendcert == 'never':
                    remote_cred_filename = re.sub('(.*)/(.*)', r'\1_\2', remote_cred.name) + ".pem" 
                    remote_cred_filename = join(tmpconfigs_directory_certs, remote_cred_filename)
                    cred_handler = open(remote_cred_filename, 'w')
                    cred_handler.write(remote_cred.credential)
                    cred_handler.close()
                    config_md5sum.append(md5(remote_cred_filename, sw_database_mode='False'))

par
                if connect.leftsendcert == 'never':
                    remote_cred_filename = re.sub('(.*)/(.*)', r'\1_\2', remote_cred.name) + ".pem" 
                    cred_filename = join(tmpconfigs_directory_certs, remote_cred_filename)
                    cred_handler = open(cred_filename, 'w')
                    cred_handler.write(remote_cred.credential)
                    cred_handler.close()
                    config_md5sum.append(md5(cred_filename, sw_database_mode='False'))

Et régénéré les configs VPN, tous les tunnels sont de nouveau UP.

Dans la révision 7074c174 arv/lib/sw_config_apply.py, j'ai gardé les modifications concernant le local mais rétabli ceux concernant le remote.

Peut-être ai-je raté quelque chose...

Cordialement

Révisions associées

Révision ec8331fd (diff)
Ajouté par Fabrice Barconnière il y a plus de 7 ans

Le chemin du certificat ne pointait pas sur le bon fichier

ref #16710 @1h

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 7 ans

  • Assigné à mis à Fabrice Barconnière

Je vérifie, mais il est fort probable qu'il s'agisse d'un bug.

#2 Mis à jour par Fabrice Barconnière il y a plus de 7 ans

  • Tracker changé de Demande à Tâche
  • Description mis à jour (diff)
  • Temps estimé mis à 1.00 h
  • Tâche parente mis à #16962
  • Restant à faire (heures) mis à 1.0

La correction proposée est correcte

#3 Mis à jour par Fabrice Barconnière il y a plus de 7 ans

  • Statut changé de Nouveau à Résolu

#4 Mis à jour par Fabrice Barconnière il y a plus de 7 ans

  • % réalisé changé de 0 à 100

#5 Mis à jour par Fabrice Barconnière il y a plus de 7 ans

  • Sujet changé de Sphynx 2.5.2 - problème VPN dû à ARV après une mise à jour à Sphynx 2.5.2 - problème VPN dû à ARV après une mise à jour
  • Description mis à jour (diff)
  • Restant à faire (heures) changé de 1.0 à 0.25
  • Temps estimé changé de 1.00 h à 0.25 h

#6 Mis à jour par Laurent Flori il y a plus de 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

Formats disponibles : Atom PDF