Distribution EOLE » Modules » Amon

La suppression du script /etc/ipsec.d/ip_xfrm_policy sur Amon 2.7 a nécessité la modification de la génération du fichier /etc/ipsec.conf dans la génération de configuration VPN d'ARV pour ajouter un include de /etc/ipsec.d/conf/*.

Le problème, c'est que cela devrait être effectué sur toutes les version de Sphynx (et pas seulement Sphynx 2.7) pour permettre l'utilisation de Amon 2.7 avec un concentrateur VPN plus ancien. L'autre problème, c'est que la configuration VPN générée sur Sphynx 2.7 ne fonctionne peut-être pas sur Amon 2.5 ou 2.6 (pas testé) si /etc/ipsec.d/conf/ n'existe pas ...

D'autre part, sur les premiers serveurs Amon 2.7.0 installés, l'accès au serveur amon depuis des machines de la zone admin n'était pas possible lorsque le tunnel VPN était démarré (même en ajoutant à la main le "include /etc/ipsec.d/conf/*" dans /etc/ipsec.conf). Il faut dire que le réseau admin est 172.29.Y.192/26 et qu'on envoie toute la plage 172.16.0.0/12 dans le VPN. Peut-être que la couche ipsec considère que les flux vers le Amon lui-même (172.29.Y.253) doivent aussi passer par le tunnel ?

Bref, pour débloquer la situation, j'ai pour le moment remis en place les règles ip xfrm policy dans le script /etc/ipsec.d/ipsec_updown ... peut-être ne suis-je pas le seul concerné par ce problème et que la solution ip xfrm policy n'était pas une si mauvaise solution.