Scénario #24326
EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
Début:
27/08/2018
Echéance:
14/09/2018
% réalisé:
100%
Temps estimé:
(Total: 27.00 h)
Temps passé:
(Total: 21.50 h)
Points de scénarios:
8.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Actuellement, les politiques d'exceptions sont définies par le script (template EOLE) @ip_xfrm_policy).
Il est possible de définir directement certaines exceptions dans la configuration ipsec avec des connexions de type passthrough.
Proposition¶
Faire un revert de 15ab76df¶
La suppression des exceptions sur les réseaux identiques entraîne un dysfonctionnement dans ce cas :- tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
Les exceptions qui seront toujours gérées dans le script sont :¶
- Celles liées au réseau de l'interface 0 (non connu dans ARV)
- Celles liées aux routes (paramétré dans gen_config)
Les exceptions générées par ARV dans la configuration ipsec sont les suivantes :¶
- Exemple pour Amon :
- admin : 10.1.1.1/24
- pedago : 10.1.2.0/24
- dmz : 10.1.3.0/24
- Il faudra prendre en compte le cas roadwarrior car par défaut une exception de 10.1.1.0/24 vers 10.1.1.0/24 est générée et empêche la communication
- Un problème complexe se pose dans le cas suivant :
- tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
- tunnel roadwarrior de 10.1.1.0/24 (admin) vers 10.1.1.X/32 (IP roadwarrior)
- Dans ce cas, il faudra soit :
- Générer toutes les exceptions combinées sauf 10.1.1.X/32 (ça me paraît très compliqué)
- Indiquer un conflit en cas de construction de tunnels de ce type
- Un problème complexe se pose dans le cas suivant :
Sous-tâches
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 6 ans
- Description mis à jour (diff)
- Points de scénarios changé de 8.0 à 10.0
#2 Mis à jour par Fabrice Barconnière il y a presque 6 ans
- Description mis à jour (diff)
#3 Mis à jour par Fabrice Barconnière il y a presque 6 ans
- Sujet changé de EOLE 2.7.0 : Gérer les exceptions des réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy à EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy
- Points de scénarios changé de 10.0 à 8.0
#4 Mis à jour par Luc Bourdot il y a plus de 5 ans
- Echéance mis à 14/09/2018
- Version cible mis à sprint 2018 35-37 Equipe MENSR
- Début mis à 27/08/2018
#5 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
- Statut changé de Nouveau à Terminé (Sprint)