Project

General

Profile

Tâche #23001

Scénario #22741: Traitement express MEN (05-07)

L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >

Added by équipe eole Academie d'Orléans-Tours over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Fabrice Barconnière
Target version:
sprint 2018 05-07 Equipe MENSR
Start date:
02/07/2018
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
4.50 h
Remaining (hours):
0.0

Description

Description

Demande originale :

Sujet : ressources locales non accessibles du fait de l'absence de règles d'exception (ip xfrm policy)

Bonjour,
Comme évoqué sur le fil de discussion suivant :
https://pcll.ac-dijon.fr/listes/arc/amon-sphynx/2018-02/msg00010.html
Est il possible de faire en sorte que sur sphynx 2.5.2 et supérieur il soit possible depuis le sphynx d'accéder aux ressources locales (reliées sur la carte eth1) ?
Merci d'avance
Olivier

Sur Amon, le script templatisé ip_xfrm_policy est exécuté au lancement du VPN.
  • En 2.5, il est appelé par le script d'init rvp
  • En 2.6, il est appelé par le script ipsec_updown configuré dans ipsec.conf, option leftupdown
Sur Sphynx, ipsec_updown n'est pas et ne doit pas être appelé dans ipsec.conf
  • En 2.5, on n'utilise pas de script d'init spécifique
  • En 2.6, il n'y a plus de différence pour le lancement du VPN

Trouver une solution pour appeler le script ip_xfrm_policy sur Sphynx également.

Propositions

Modifier arv pour appeler ce script lors de la génération du fichier ipsec.conf dans l'option leftupdown pour les serveurs de type Sphynx.

Critère d'acceptation

  • Diffuser à partir de 2.5.2.
  • Si on touche aux templates/dicos
    • Erratas sur les versions 2.5.2, 2.6.0, 2.6.1 et 2.6.2
    • modifications à faire sur 2.7
  • L'accès aux réseaux locaux ne doit pas passer par les tunnels

Related issues

Related to Distribution EOLE - Tâche #23221: Revert des commit liés à l'accès aux réseaux locaux hors des tunnels Fermé 11/28/2017
Related to Sphynx - Bac à idée #23347: "L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >" ; suite Classée sans suite

Associated revisions

Revision 8e1307ba (diff)
Added by Fabrice Barconnière over 5 years ago

Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels

ref #23001

Revision 74703632 (diff)
Added by Fabrice Barconnière over 5 years ago

Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux

ref #23001

Revision 8c316831 (diff)
Added by Fabrice Barconnière over 5 years ago

Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels

ref #23001

Revision d65f7fd2 (diff)
Added by Fabrice Barconnière over 5 years ago

Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux

ref #23001

Revision b08b1efd (diff)
Added by Fabrice Barconnière over 5 years ago

Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx

ref #23001

Revision 898f5588 (diff)
Added by Fabrice Barconnière over 5 years ago

Script ipsec_updown spécifique à Sphynx

ref #23001

Revision 92e6a01c (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comportement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Revision dfdc6875 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Revision 2e9b9166 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Script ipsec_updown spécifique à Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 898f5588a6b2cb6622938e634069233443098837.

Revision b0a78a17 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 7470363288bdecbd0d6c6ce5a5e462374524c642.

Revision 4dc87002 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Revision fe04db98 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Script ipsec_updown spécifique à Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 898f5588a6b2cb6622938e634069233443098837.

Revision 8afb615d (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Adaptation de la configuration ipsec de Sphynx cocernant les exceptions sur les réseaux locaux"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 7470363288bdecbd0d6c6ce5a5e462374524c642.

Revision 9e27513e (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Les communications vers les réseaux locaux réseaux locaux passaient par les tunnels"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit 8e1307ba35c0ca724aaee88510b7268735d4da26.

Revision c5418436 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit b08b1efd68f779e60aecfea4eaa7d509a4d00cc5.

Revision d0d53993 (diff)
Added by Fabrice Barconnière over 5 years ago

Revert "Politiques d'exception des réseaux locaux dans les tunnels VPN pour Sphynx"

La modification est beaucoup trop impactante alors que des serveurs sont
déjà en production.
Cela change le comprtement actuel et peut, selon les configurations,
empêcher la communication dans les tunnels.

ref #23221 ref #23001

This reverts commit b08b1efd68f779e60aecfea4eaa7d509a4d00cc5.

History

#1 Updated by Fabrice Barconnière over 5 years ago

  • Tracker changed from Demande to Scénario
  • Subject changed from sphynx 2.5.2 : ressources locales non accessibles du fait de l'absence de règles d'exception (ip xfrm policy) to L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2
  • Description updated (diff)
  • Start date deleted (02/06/2018)
  • Release set to EOLE 2.5.2.2

#2 Updated by Fabrice Barconnière over 5 years ago

  • Subject changed from L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 to L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >

#3 Updated by Fabrice Barconnière over 5 years ago

  • Tracker changed from Scénario to Tâche
  • Project changed from Sphynx to arv
  • Assigned To set to Fabrice Barconnière
  • Estimated time set to 2.00 h
  • Parent task set to #22741
  • Remaining (hours) set to 2.0

#4 Updated by Fabrice Barconnière over 5 years ago

  • Project changed from arv to Distribution EOLE
  • Status changed from Nouveau to En cours
  • Start date set to 02/07/2018

#5 Updated by Fabrice Barconnière over 5 years ago

  • Status changed from En cours to Résolu

#6 Updated by Fabrice Barconnière over 5 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.0 to 0.5
Paquets ARV candidats sur test-eole.ac-dijon.fr :
  • 2.5.2-17
  • 2.6.0-23
  • 2.6.1-12
  • 2.6.2-4
Pour tester, il faut :
  • Ajouter une route sur Sphynx dans gen_config en 10.1.1.128/255.255.255.128 via 172.30.101.254 sur l'interface 1
  • Établir un tunnels admin-reseau_eth1 entre aca.sphynx et etb1.amon
  • Depuis Sphynx, lancer un ping 10.1.1.130 et vérifier avec tcpdump que ça ne passe plus par les tunnels (pas de paquet ESP)

#7 Updated by Emmanuel GARETTE over 5 years ago

  • Status changed from Résolu to En cours

#8 Updated by Emmanuel GARETTE over 5 years ago

  • % Done changed from 100 to 50

Le test SP-T02-005 (roadwarrior) ne passe plus.

#9 Updated by Fabrice Barconnière over 5 years ago

Il faut corriger à partir de 2.6.1, version de prise en charge du roadwarrior
Le problème se pose aussi bien sur Amon que sur Sphynx.

#10 Updated by Fabrice Barconnière over 5 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 50 to 100
Paquets candidats pour EOLE 2.6.1 et 2.6.2 sur test-eole.ac-dijon.fr :
  • arv et python-arv en 2.6.1-13 et 2.6.2-5
  • eole-vpn en 2.6.1-8 et 2.6.2-4

#11 Updated by Emmanuel GARETTE over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Testé en même temps que #22916

#12 Updated by équipe eole Academie d'Orléans-Tours over 5 years ago

Bonjour,

A la faveur des congés, on test la modif dispo en candidate sur notre sphynx 2.5.2 (Query-Auto -C -S test-eole.ac-dijon.fr;apt-eole install arv python-arv)

Le comportement est inquiétant, car après reconf on est encore ok, mais à la génération/maj d'une conf arv, tous nos tunnels tombent.

Sur le sphynx j'ai bien le paquet prévu :


root@sphynx-adriatic-25:~# dpkg -l arv
Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder
| État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements
|/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)
||/ Nom                                                   Version                         Architecture                    Description
+++-=====================================================-===============================-===============================-===================================================
ii  arv                                                   2.5.2-17                        all                             Administration de Réseaux Virtuels privés (ARV)

A 1ere vue, ça génère les policiy relatives au routes statiques déclarées.

Dans les log charon, j'ai plein de messages :

updown: RTNETLINK answers: File exists

Même après reboot.

Dispo pour donner les fichiers que cela a généré sur le sphynx (routes, ipsec.conf, ip_xfrm_policy).

Nicolas

#13 Updated by Fabrice Barconnière over 5 years ago

  • Related to Tâche #23221: Revert des commit liés à l'accès aux réseaux locaux hors des tunnels added

#14 Updated by Fabrice Barconnière over 5 years ago

  • Related to Bac à idée #23347: "L'accès aux réseaux locaux ne doit pas passer par les tunnels sur sphynx 2.5.2 et >" ; suite added

Also available in: Atom PDF