Project

General

Profile

Scénario #24326

EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy

Added by Fabrice Barconnière over 4 years ago. Updated about 4 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
-
Category:
-
Start date:
08/27/2018
Due date:
09/14/2018
% Done:

100%

Estimated time:
(Total: 27.00 h)
Spent time:
(Total: 21.50 h)
Story points:
8.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Actuellement, les politiques d'exceptions sont définies par le script (template EOLE) @ip_xfrm_policy).
Il est possible de définir directement certaines exceptions dans la configuration ipsec avec des connexions de type passthrough.

Proposition

Faire un revert de 15ab76df

La suppression des exceptions sur les réseaux identiques entraîne un dysfonctionnement dans ce cas :
  • tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)

Les exceptions qui seront toujours gérées dans le script sont :

  • Celles liées au réseau de l'interface 0 (non connu dans ARV)
  • Celles liées aux routes (paramétré dans gen_config)

Les exceptions générées par ARV dans la configuration ipsec sont les suivantes :

  • Exemple pour Amon :
    • admin : 10.1.1.1/24
    • pedago : 10.1.2.0/24
    • dmz : 10.1.3.0/24
  • Il faudra prendre en compte le cas roadwarrior car par défaut une exception de 10.1.1.0/24 vers 10.1.1.0/24 est générée et empêche la communication
    • Un problème complexe se pose dans le cas suivant :
      • tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
      • tunnel roadwarrior de 10.1.1.0/24 (admin) vers 10.1.1.X/32 (IP roadwarrior)
    • Dans ce cas, il faudra soit :
      • Générer toutes les exceptions combinées sauf 10.1.1.X/32 (ça me paraît très compliqué)
      • Indiquer un conflit en cas de construction de tunnels de ce type

Subtasks

Tâche #24751: Ne plus gérer les exceptions des réseaux internes dans le template ip_xfrm_policyFerméFabrice Barconnière

Tâche #24753: ARV : générer les connexions passthrough entre les réseaux internes pour toutes les combinaisons possiblesFerméFabrice Barconnière

Tâche #24754: ARV : indiquer un conflit en cas de déclaration d'un tunnel roadwarrior si un tunnel vers un réseau incluant l'ip du roadwarrior existe (et inversement)FerméFabrice Barconnière

Tâche #24756: Faire le revert indiqué dans le scénario : gestion de l'exception des roadwarriorFerméFabrice Barconnière

Tâche #24907: Agent RVP HS avec les nouvelles connexions passthroughFerméFabrice Barconnière

History

#1 Updated by Fabrice Barconnière over 4 years ago

  • Description updated (diff)
  • Story points changed from 8.0 to 10.0

#2 Updated by Fabrice Barconnière over 4 years ago

  • Description updated (diff)

#3 Updated by Fabrice Barconnière over 4 years ago

  • Subject changed from EOLE 2.7.0 : Gérer les exceptions des réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy to EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy
  • Story points changed from 10.0 to 8.0

#4 Updated by Luc Bourdot over 4 years ago

  • Due date set to 09/14/2018
  • Target version set to sprint 2018 35-37 Equipe MENSR
  • Start date set to 08/27/2018

#5 Updated by Gérald Schwartzmann about 4 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF