Distribution EOLE » Modules » Sphynx

Demande d'origine¶

Bonjour,
Comme vu par irc, serait il possible d'implémenter la fonctionnalité demandée dans https://dev-eole.ac-dijon.fr/issues/23001 de manière optionnelle par le biais d'une variable experte par défaut à non et qui permettrait de n'activer les scripts d'updown qu'en connaissance de cause (c'est à dire ne pas avoir de routes statiques recouvrant les réseaux déclarés dans les connexions vpn car cela provoque un plantage des vpns).
Merci d'avance,
Olivier

Problème¶

Si des routes statiques sont déclarées, et que les réseaux de destination des tunnels font référence aux réseaux de destination des routes, le traffic passe par les tunnels VPN.

Proposition¶

• En 2.5.2 et 2.6 dans le dépôt conf-sphynx, ajouter une variable experte "Exclure les routes statiques des tunnels VPN" à "non" par défaut pour ne pas changer le comportement actuel.
• Ajouter des templates pour Sphynx du même style que ipsec_updown et ip_xfrm_policy
• Ajouter ce paramètre dans le fichier de configuration ARV arv.conf
• Modifier le code arv pour renseigner ou non l'option leftupdown de ipsec.conf d'un Sphynx
• Mettre à jour les dictionnaires pour Zéphir 2.5.2, 2.6.0, 2.6.1, 2.6.2
• Documenter en 2.5 et 2.6
• Gérer la migration en 2.7 (Ne pas merger ces modification en 2.7, une nouvelle variable route_in_vpn permet la même chose plus finement.

Critère d'acceptation¶

Si la variable est à "non", la configuration ipsec.conf de Sphynx contient la ligne leftupdown = (option non renseignée)
Si la variable est à "oui", la configuration ipsec.conf de Sphynx contient la ligne leftupdown = ipsec_updown_sphynx (option renseignée)