Projet

Général

Profil

Scénario #24326

EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy

Ajouté par Fabrice Barconnière il y a presque 6 ans. Mis à jour il y a plus de 5 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
Distribution EOLE - sprint 2018 35-37 Equipe MENSR
Début:
27/08/2018
Echéance:
14/09/2018
% réalisé:

100%

Temps estimé:
(Total: 27.00 h)
Temps passé:
(Total: 21.50 h)
Points de scénarios:
8.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.7.0
Liens avec la release:
Auto

Description

Actuellement, les politiques d'exceptions sont définies par le script (template EOLE) @ip_xfrm_policy).
Il est possible de définir directement certaines exceptions dans la configuration ipsec avec des connexions de type passthrough.

Proposition

Faire un revert de 15ab76df

La suppression des exceptions sur les réseaux identiques entraîne un dysfonctionnement dans ce cas :
  • tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)

Les exceptions qui seront toujours gérées dans le script sont :

  • Celles liées au réseau de l'interface 0 (non connu dans ARV)
  • Celles liées aux routes (paramétré dans gen_config)

Les exceptions générées par ARV dans la configuration ipsec sont les suivantes :

  • Exemple pour Amon :
    • admin : 10.1.1.1/24
    • pedago : 10.1.2.0/24
    • dmz : 10.1.3.0/24
  • Il faudra prendre en compte le cas roadwarrior car par défaut une exception de 10.1.1.0/24 vers 10.1.1.0/24 est générée et empêche la communication
    • Un problème complexe se pose dans le cas suivant :
      • tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
      • tunnel roadwarrior de 10.1.1.0/24 (admin) vers 10.1.1.X/32 (IP roadwarrior)
    • Dans ce cas, il faudra soit :
      • Générer toutes les exceptions combinées sauf 10.1.1.X/32 (ça me paraît très compliqué)
      • Indiquer un conflit en cas de construction de tunnels de ce type

Sous-tâches

Tâche #24751: Ne plus gérer les exceptions des réseaux internes dans le template ip_xfrm_policyFerméFabrice Barconnière

Tâche #24753: ARV : générer les connexions passthrough entre les réseaux internes pour toutes les combinaisons possiblesFerméFabrice Barconnière

Tâche #24754: ARV : indiquer un conflit en cas de déclaration d'un tunnel roadwarrior si un tunnel vers un réseau incluant l'ip du roadwarrior existe (et inversement)FerméFabrice Barconnière

Tâche #24756: Faire le revert indiqué dans le scénario : gestion de l'exception des roadwarriorFerméFabrice Barconnière

Tâche #24907: Agent RVP HS avec les nouvelles connexions passthroughFerméFabrice Barconnière

Historique

#1 Mis à jour par Fabrice Barconnière il y a presque 6 ans

  • Description mis à jour (diff)
  • Points de scénarios changé de 8.0 à 10.0

#2 Mis à jour par Fabrice Barconnière il y a presque 6 ans

  • Description mis à jour (diff)

#3 Mis à jour par Fabrice Barconnière il y a presque 6 ans

  • Sujet changé de EOLE 2.7.0 : Gérer les exceptions des réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy à EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy
  • Points de scénarios changé de 10.0 à 8.0

#4 Mis à jour par Luc Bourdot il y a plus de 5 ans

  • Echéance mis à 14/09/2018
  • Version cible mis à sprint 2018 35-37 Equipe MENSR
  • Début mis à 27/08/2018

#5 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

  • Statut changé de Nouveau à Terminé (Sprint)

Formats disponibles : Atom PDF