Project

General

Profile

Tâche #24753

Scénario #24326: EOLE 2.7.0 : Gérer certaines exceptions de réseaux dans les tunnels directement dans la configuration ipsec et plus par le script ip_xfrm_policy

ARV : générer les connexions passthrough entre les réseaux internes pour toutes les combinaisons possibles

Added by Fabrice Barconnière over 4 years ago. Updated over 4 years ago.

Status:
Fermé
Priority:
Normal
Start date:
08/27/2018
Due date:
% Done:

100%

Estimated time:
6.00 h
Spent time:
Remaining (hours):
0.0

Description

ça devrait ressembler à ceci :

conn reso_admin-reso_pedago
    leftsubnet=10.1.1.0/24
    rightsubnet=10.1.2.0/24
    type=passthrough
    auto=route

conn reso_admin-reso_dmz
    leftsubnet=10.1.1.0/24
    rightsubnet=10.1.3.0/24
    type=passthrough
    auto=route

...
...

Avec le revert de 15ab76df , les modifications de #24751 et de cette tâche, on devrait avoir le même comportement qu'avant :
  • Les communications entre les réseaux locaux ne passent pas par les tunnels.

Associated revisions

Revision 9b3b7f35 (diff)
Added by Fabrice Barconnière over 4 years ago

IP XFRM POLICIES are now into an include ipsec configuration file

No more needed ip_xfrm_policy template
Policies are in /etc/ipsec.d/conf/passthrough file
active_rvp generate_passthrough command can generate the included file
It is autommatically called when installing VPN with the documented procedure

ref #24753
ref #24751

Revision 63a98690 (diff)
Added by Fabrice Barconnière over 4 years ago

ARV generate now ipsec.conf with an include section

ref #24753

Revision a0dd6416 (diff)
Added by Fabrice Barconnière over 4 years ago

Generate passthrough connections on Sphynx-ARV

ref #24753

Revision 855eff89 (diff)
Added by Fabrice Barconnière over 4 years ago

Le template ip_xfrm_policy n'existe plus, il faut générer les exceptions au reconfigure

ref #24753

Revision c5266333 (diff)
Added by Fabrice Barconnière over 4 years ago

Some bugs in scripts

ref #24753

Revision 1e96133c (diff)
Added by Fabrice Barconnière over 4 years ago

reconfigure failed on eolebase with only one network interface

ref #24753

Revision 7cb0cb2b (diff)
Added by Fabrice Barconnière over 4 years ago

No more ip_xfrm_policy script.

ref #24753

Revision e39e4867 (diff)
Added by Fabrice Barconnière over 4 years ago

ipsec_updown : there was a bug when alias on the source ip interface

ref #24753

History

#1 Updated by Fabrice Barconnière over 4 years ago

  • Description updated (diff)

#2 Updated by Fabrice Barconnière over 4 years ago

  • Status changed from Nouveau to En cours

#3 Updated by Fabrice Barconnière over 4 years ago

  • Assigned To set to Fabrice Barconnière

#4 Updated by Fabrice Barconnière over 4 years ago

  • % Done changed from 0 to 20

Il n'est pas possible de traiter ceci dans ARV.
En effet, on ne connaît pas forcément tous les réseaux internes du serveur dans ARV. Certains réseaux ne sont pas concernés pas les tunnels et manqueront dans les exceptions.
Il devrait être possible de traiter ça dans le script active_rvp. Quand la configuration IPsec sera en place sur le serveur, on devrait avoir toutes les infos pour générer ces exceptions.
Il faudrait ajouter un include dans ipsec.conf (généré par ARV) pour prendre en compte un complément de configuration généré par active_rvp.

#5 Updated by Fabrice Barconnière over 4 years ago

  • Description updated (diff)

#6 Updated by Fabrice Barconnière over 4 years ago

  • % Done changed from 20 to 80
  • Remaining (hours) changed from 6.0 to 1.0

Reste à faire qq modifs dans ARV pour prendre en compte les policies sur Sphynx hébergeant ARV.

#7 Updated by Fabrice Barconnière over 4 years ago

  • % Done changed from 80 to 100
  • Remaining (hours) changed from 1.0 to 0.1

#8 Updated by Scrum Master over 4 years ago

  • Status changed from En cours to Résolu

#9 Updated by Gérald Schwartzmann over 4 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.1 to 0.0

Also available in: Atom PDF