Projet

Général

Profil

Tâche #28769

Scénario #28807: Traitement express MEN (36-38)

Amon 2.7.1 - passthrough ipsec - ajouter la gestion des decoupages des sous réseau faisant partit d'un VPN

Ajouté par équipe eole Academie d'Orléans-Tours il y a presque 5 ans. Mis à jour il y a plus de 4 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
sprint 2019 36-38 Equipe MENSR
Début:
18/07/2019
Echéance:
% réalisé:

100%

Temps estimé:
6.00 h
Temps passé:
5.00 h
Restant à faire (heures):
0.0

Description

Bonjour,

Nous avons passé un département complet en de AMON 2.5.2 en 2.7.1 et nous avons le soucis suivant :

Nous déclarons un tunnel qui est un classe C, qui est en réalité présent en plusieurs morceaux coté EPLE.
Il s'avère qu'en 2.7.1, les règles de passthrough ne sont pas appliquées pour ces différents "morceaux", car il n'y a pas correspondance entre le réseau du VPN et les réseaux locaux.

La fonctionnalité a été récrite ici : https://dev-eole.ac-dijon.fr/projects/eole-vpn/repository/revisions/9b3b7f35bcc9b9df0645283a0477f912043da93b/diff

Tout me semble ok de ce que j'ai compris du script, la ou il faudrait ajouter du test c'est sur le bloc ligne 320 et après, car en l'état, il est recherché un match réseau complet. Il n'y a pas de test pour voir si le subnet est un sous ensemble d'un réseau monté coté VPN.

Exemple :

Je monte en VPN :

amon-CD41-maquette-sphynx-adriatic-DSI_1-pedago1D-adriatic{49}:   10.141.41.0/24 === 172.16.0.0/13

Mon AMON a les subnets suivants :

 IP('10.141.41.200/29'), int eth0
 IP('10.41.41.0/24'), adm
 IP('172.23.52.0/22'), ped
 IP('10.141.41.0/25'), vlan5
 IP('10.141.41.128/27'), vlan35
 IP('172.23.55.128/27'), vlan21
 IP('192.168.227.0/25'), vlan wifi
 IP('192.168.228.0/22'), vlan wifi
 IP('192.168.227.128/25'), vlan wifi
 IP('192.168.226.0/25'), vlan wifi
 IP('192.168.226.128/25'), vlan wifi
 IP('10.141.41.224/28'),  vlan4
 IP('10.141.41.160/28'), int dmz pub
 IP('192.168.207.66'), vpn
 IP('192.168.203.0/24')] vpn

La conf des tunnels tel que le test la fonction "generate_passthrough" dans active_rvp est :

{IP('172.23.52.0/22'): [IP('192.168.207.128/25'), IP('172.16.0.0/13')]
 IP('10.141.41.0/24'): [IP('192.168.207.128/25'), IP('172.16.0.0/13')], 
 IP('10.41.41.0/24'): [IP('192.168.207.128/25'), IP('172.24.0.0/13'), IP('10.0.0.0/8'), IP('161.48.0.0/19'), IP('172.16.0.0/13')]

Du coup sur le bloc ligne 320, '10.141.41.0/24' ne matchera jamais. Hors j'ai besoin de regles de passthrough pour que par exemple, la "DMZ pub" soit joignable depuis la "peda" en 172.23.52.0/22.

Dans ce cas précis, sans ip xfrm policy, on rentre dans le tunnel 

 10.141.41.0/24 === 172.16.0.0/13

Une des autres solutions est de déclarer chaque subnet dans la conf ipsec, mais c'est bien plus lourd, et la version 2.5.2 fonctionnait en l'état, ce qui est bien pratique.

En attendant, on passe des ip xfrm policy en script, mais ce n'est pas beau... ;-)

Nicolas

Révisions associées

Révision 4480d4cf (diff)
Ajouté par Fabrice Barconnière il y a plus de 4 ans

Passthrough connections were missing when local network included in larger tunnel network

ref #28769

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 4 ans

  • Assigné à mis à Fabrice Barconnière
  • Temps estimé mis à 6.00 h
  • Tâche parente mis à #28807

#2 Mis à jour par Fabrice Barconnière il y a plus de 4 ans

  • Projet changé de eole-vpn à Distribution EOLE
  • Statut changé de Nouveau à En cours
  • Restant à faire (heures) mis à 6.0

#3 Mis à jour par Fabrice Barconnière il y a plus de 4 ans

  • Projet changé de Distribution EOLE à eole-vpn
  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 6.0 à 1.0

#4 Mis à jour par Fabrice Barconnière il y a plus de 4 ans

Pouvez-vous tester le paquet eole-vpn sur un Amon 2.7.0 ou 2.7.1 :
  • Query-Auto -C -S http://test-eole.ac-dijon.fr
  • apt-eole install eole-vpn (version 2.7.0-13 sur Amon 2.7.0 et 2.7.1-2 sur Amon 2.7.1)
  • active_rvp init
  • Query-Auto

#5 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 4 ans

Bonjour,

Test en maquette :

rm /etc/ipsec.d/conf/passthrough (fichier variante orl en attendant ce paquet)
service ipsec restart

test d'accès au réseau local :

Horus:           10.41.41.200 => Erreur
Scribe:         172.23.55.253 => Erreur

Je test la modif :

Query-Auto -C -S test-eole.ac-dijon.fr
apt-eole install eole-vpn
...
Paramétrage de eole-vpn (2.7.1-3) ...
active_rvp zephir

test d'accès au réseau local :

Horus:           10.41.41.200 => Ok
Scribe:         172.23.55.253 => Ok

C'est ok pour nous, merci

#6 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 4 ans

testé en 2.7.1

#7 Mis à jour par Fabrice Barconnière il y a plus de 4 ans

  • Restant à faire (heures) changé de 1.0 à 0.0

Merci pour les tests.
La mise à jour passera en stable sous 2 à 3 semaines.

#8 Mis à jour par Scrum Master il y a plus de 4 ans

  • Projet changé de eole-vpn à Distribution EOLE
  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF