Project

General

Profile

Scénario #27353

Permettre d'utiliser une configuration générée avec Sphynx 2.5 ou 2.6 sur Amon 2.7

Added by Laurent HAEFFELE over 1 year ago. Updated 11 months ago.

Status:
Terminé (Sprint)
Priority:
Normal
Category:
-
Start date:
03/21/2019
Due date:
04/12/2019
% Done:

100%

Estimated time:
(Total: 15.00 h)
Spent time:
(Total: 6.00 h)
Story points:
3.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

La suppression du script /etc/ipsec.d/ip_xfrm_policy sur Amon 2.7 a nécessité la modification de la génération du fichier /etc/ipsec.conf dans la génération de configuration VPN d'ARV pour ajouter un include de /etc/ipsec.d/conf/*.

Le problème, c'est que cela devrait être effectué sur toutes les version de Sphynx (et pas seulement Sphynx 2.7) pour permettre l'utilisation de Amon 2.7 avec un concentrateur VPN plus ancien. L'autre problème, c'est que la configuration VPN générée sur Sphynx 2.7 ne fonctionne peut-être pas sur Amon 2.5 ou 2.6 (pas testé) si /etc/ipsec.d/conf/ n'existe pas ...

D'autre part, sur les premiers serveurs Amon 2.7.0 installés, l'accès au serveur amon depuis des machines de la zone admin n'était pas possible lorsque le tunnel VPN était démarré (même en ajoutant à la main le "include /etc/ipsec.d/conf/*" dans /etc/ipsec.conf). Il faut dire que le réseau admin est 172.29.Y.192/26 et qu'on envoie toute la plage 172.16.0.0/12 dans le VPN. Peut-être que la couche ipsec considère que les flux vers le Amon lui-même (172.29.Y.253) doivent aussi passer par le tunnel ?

Bref, pour débloquer la situation, j'ai pour le moment remis en place les règles ip xfrm policy dans le script /etc/ipsec.d/ipsec_updown ... peut-être ne suis-je pas le seul concerné par ce problème et que la solution ip xfrm policy n'était pas une si mauvaise solution.

ipsec_updown.patch View (4.51 KB) Laurent HAEFFELE, 03/21/2019 02:34 PM


Subtasks

Tâche #27376: Gérer les exceptions réseaux locaux quand ils sont inclus dans la plage réseaux de destination d'un tunnel VPNFerméFabrice Barconnière

Tâche #27377: Vérifier la compatibilité Sphynx 2.7 vers Amon 2.5 et 2.6 surtout en ce qui concerne les xfrm policiesFerméFabrice Barconnière

Tâche #27378: Vérifier la compatibilité Sphynx 2.5/6 vers Amon 2.7 surtout en ce qui concerne les xfrm policiesFerméFabrice Barconnière

History

#1 Updated by Luc Bourdot over 1 year ago

  • Tracker changed from Demande to Scénario
  • Due date set to 04/12/2019
  • Target version set to sprint 2019 13-15 Equipe MENSR

A evaluer

#2 Updated by Joël Cuissinat over 1 year ago

  • Story points set to 4.0

#3 Updated by Joël Cuissinat over 1 year ago

  • Story points changed from 4.0 to 3.0

#4 Updated by Fabrice Barconnière over 1 year ago

  • Assigned To set to Fabrice Barconnière

#5 Updated by Fabrice Barconnière over 1 year ago

  • Remaining (hours) changed from 0.7 to 0.7000000029802322

Réponses données dans #27376, #27377 et #27378

#6 Updated by Joël Cuissinat about 1 year ago

  • Status changed from Nouveau to Terminé (Sprint)

#7 Updated by Joël Cuissinat about 1 year ago

  • Release set to EOLE 2.7.0

Also available in: Atom PDF