Projet

Général

Profil

Tâche #23001

Scénario #22741: Traitement express MEN (05-07)

L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >

Ajouté par équipe eole Academie d'Orléans-Tours il y a environ 6 ans. Mis à jour il y a environ 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
sprint 2018 05-07 Equipe MENSR
Début:
07/02/2018
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
4.50 h
Restant à faire (heures):
0.0

Description

Description

Demande originale :

Sujet : ressources locales non accessibles du fait de l'absence de règles d'exception (ip xfrm policy)

Bonjour,
Comme évoqué sur le fil de discussion suivant :
https://pcll.ac-dijon.fr/listes/arc/amon-sphynx/2018-02/msg00010.html
Est il possible de faire en sorte que sur sphynx 2.5.2 et supérieur il soit possible depuis le sphynx d'accéder aux ressources locales (reliées sur la carte eth1) ?
Merci d'avance
Olivier

Sur Amon, le script templatisé ip_xfrm_policy est exécuté au lancement du VPN.
  • En 2.5, il est appelé par le script d'init rvp
  • En 2.6, il est appelé par le script ipsec_updown configuré dans ipsec.conf, option leftupdown
Sur Sphynx, ipsec_updown n'est pas et ne doit pas être appelé dans ipsec.conf
  • En 2.5, on n'utilise pas de script d'init spécifique
  • En 2.6, il n'y a plus de différence pour le lancement du VPN

Trouver une solution pour appeler le script ip_xfrm_policy sur Sphynx également.

Propositions

Modifier arv pour appeler ce script lors de la génération du fichier ipsec.conf dans l'option leftupdown pour les serveurs de type Sphynx.

Critère d'acceptation

  • Diffuser à partir de 2.5.2.
  • Si on touche aux templates/dicos
    • Erratas sur les versions 2.5.2, 2.6.0, 2.6.1 et 2.6.2
    • modifications à faire sur 2.7
  • L'accès aux réseaux locaux ne doit pas passer par les tunnels

Demandes liées

Lié à Distribution EOLE - Tâche #23221: Revert des commit liés à l'accès aux réseaux locaux hors des tunnels Fermé 28/11/2017
Lié à Sphynx - Bac à idée #23347: "L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >" ; suite Classée sans suite

Révisions associées

Révision 8e1307ba (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels

ref #23001

Révision 74703632 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux

ref #23001

Révision 8c316831 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels

ref #23001

Révision d65f7fd2 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux

ref #23001

Révision b08b1efd (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx

ref #23001

Révision 898f5588 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Script ipsec_updown spécifique à Sphynx

ref #23001

Révision 92e6a01c (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comportement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Révision dfdc6875 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Révision 2e9b9166 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Script ipsec_updown spécifique à Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 898f5588a6b2cb6622938e634069233443098837.

Révision b0a78a17 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 7470363288bdecbd0d6c6ce5a5e462374524c642.

Révision 4dc87002 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Révision fe04db98 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Script ipsec_updown spécifique à Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 898f5588a6b2cb6622938e634069233443098837.

Révision 8afb615d (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 7470363288bdecbd0d6c6ce5a5e462374524c642.

Révision 9e27513e (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Révision c5418436 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit b08b1efd68f779e60aecfea4eaa7d509a4d00cc5.

Révision d0d53993 (diff)
Ajouté par Fabrice Barconnière il y a environ 6 ans

Revert "Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit b08b1efd68f779e60aecfea4eaa7d509a4d00cc5.

Historique

#1 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Tracker changé de Demande à Scénario
  • Sujet changé de sphynx 2.5.2 : ressources locales non accessibles du fait de l'absence de règles d'exception (ip xfrm policy) à L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2
  • Description mis à jour (diff)
  • Début 06/02/2018 supprimé
  • Release mis à EOLE 2.5.2.2

#2 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Sujet changé de L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 à L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >

#3 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Tracker changé de Scénario à Tâche
  • Projet changé de Sphynx à arv
  • Assigné à mis à Fabrice Barconnière
  • Temps estimé mis à 2.00 h
  • Tâche parente mis à #22741
  • Restant à faire (heures) mis à 2.0

#4 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Projet changé de arv à Distribution EOLE
  • Statut changé de Nouveau à En cours
  • Début mis à 07/02/2018

#5 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Statut changé de En cours à Résolu

#6 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 2.0 à 0.5
Paquets ARV candidats sur test-eole.ac-dijon.fr :
  • 2.5.2-17
  • 2.6.0-23
  • 2.6.1-12
  • 2.6.2-4
Pour tester, il faut :
  • Ajouter une route sur Sphynx dans gen_config en 10.1.1.128/255.255.255.128 via 172.30.101.254 sur l'interface 1
  • Établir un tunnels admin-reseau_eth1 entre aca.sphynx et etb1.amon
  • Depuis Sphynx, lancer un ping 10.1.1.130 et vérifier avec tcpdump que ça ne passe plus par les tunnels (pas de paquet ESP)

#7 Mis à jour par Emmanuel GARETTE il y a environ 6 ans

  • Statut changé de Résolu à En cours

#8 Mis à jour par Emmanuel GARETTE il y a environ 6 ans

  • % réalisé changé de 100 à 50

Le test SP-T02-005 (roadwarrior) ne passe plus.

#9 Mis à jour par Fabrice Barconnière il y a environ 6 ans

Il faut corriger à partir de 2.6.1, version de prise en charge du roadwarrior
Le problème se pose aussi bien sur Amon que sur Sphynx.

#10 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 50 à 100
Paquets candidats pour EOLE 2.6.1 et 2.6.2 sur test-eole.ac-dijon.fr :
  • arv et python-arv en 2.6.1-13 et 2.6.2-5
  • eole-vpn en 2.6.1-8 et 2.6.2-4

#11 Mis à jour par Emmanuel GARETTE il y a environ 6 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.5 à 0.0

Testé en même temps que #22916

#12 Mis à jour par équipe eole Academie d'Orléans-Tours il y a environ 6 ans

Bonjour,

A la faveur des congés, on test la modif dispo en candidate sur notre sphynx 2.5.2 (Query-Auto -C -S test-eole.ac-dijon.fr;apt-eole install arv python-arv)

Le comportement est inquiétant, car après reconf on est encore ok, mais à la génération/maj d'une conf arv, tous nos tunnels tombent.

Sur le sphynx j'ai bien le paquet prévu :


root@sphynx-adriatic-25:~# dpkg -l arv
Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder
| État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements
|/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)
||/ Nom                                                   Version                         Architecture                    Description
+++-=====================================================-===============================-===============================-===================================================
ii  arv                                                   2.5.2-17                        all                             Administration de Réseaux Virtuels privés (ARV)

A 1ere vue, ça génère les policiy relatives au routes statiques déclarées.

Dans les log charon, j'ai plein de messages :

updown: RTNETLINK answers: File exists

Même après reboot.

Dispo pour donner les fichiers que cela a généré sur le sphynx (routes, ipsec.conf, ip_xfrm_policy).

Nicolas

#13 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Lié à Tâche #23221: Revert des commit liés à l'accès aux réseaux locaux hors des tunnels ajouté

#14 Mis à jour par Fabrice Barconnière il y a environ 6 ans

  • Lié à Bac à idée #23347: "L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >" ; suite ajouté

Formats disponibles : Atom PDF