Tâche #28769
Scénario #28807: Traitement express MEN (36-38)
Amon 2.7.1 - passthrough ipsec - ajouter la gestion des decoupages des sous réseau faisant partit d'un VPN
Description
Bonjour,
Nous avons passé un département complet en de AMON 2.5.2 en 2.7.1 et nous avons le soucis suivant :
Nous déclarons un tunnel qui est un classe C, qui est en réalité présent en plusieurs morceaux coté EPLE.
Il s'avère qu'en 2.7.1, les règles de passthrough ne sont pas appliquées pour ces différents "morceaux", car il n'y a pas correspondance entre le réseau du VPN et les réseaux locaux.
La fonctionnalité a été récrite ici : https://dev-eole.ac-dijon.fr/projects/eole-vpn/repository/revisions/9b3b7f35bcc9b9df0645283a0477f912043da93b/diff
Tout me semble ok de ce que j'ai compris du script, la ou il faudrait ajouter du test c'est sur le bloc ligne 320 et après, car en l'état, il est recherché un match réseau complet. Il n'y a pas de test pour voir si le subnet est un sous ensemble d'un réseau monté coté VPN.
Exemple :
Je monte en VPN :
amon-CD41-maquette-sphynx-adriatic-DSI_1-pedago1D-adriatic{49}: 10.141.41.0/24 === 172.16.0.0/13
Mon AMON a les subnets suivants :
IP('10.141.41.200/29'), int eth0 IP('10.41.41.0/24'), adm IP('172.23.52.0/22'), ped IP('10.141.41.0/25'), vlan5 IP('10.141.41.128/27'), vlan35 IP('172.23.55.128/27'), vlan21 IP('192.168.227.0/25'), vlan wifi IP('192.168.228.0/22'), vlan wifi IP('192.168.227.128/25'), vlan wifi IP('192.168.226.0/25'), vlan wifi IP('192.168.226.128/25'), vlan wifi IP('10.141.41.224/28'), vlan4 IP('10.141.41.160/28'), int dmz pub IP('192.168.207.66'), vpn IP('192.168.203.0/24')] vpn
La conf des tunnels tel que le test la fonction "generate_passthrough" dans active_rvp est :
{IP('172.23.52.0/22'): [IP('192.168.207.128/25'), IP('172.16.0.0/13')] IP('10.141.41.0/24'): [IP('192.168.207.128/25'), IP('172.16.0.0/13')], IP('10.41.41.0/24'): [IP('192.168.207.128/25'), IP('172.24.0.0/13'), IP('10.0.0.0/8'), IP('161.48.0.0/19'), IP('172.16.0.0/13')]
Du coup sur le bloc ligne 320, '10.141.41.0/24' ne matchera jamais. Hors j'ai besoin de regles de passthrough pour que par exemple, la "DMZ pub" soit joignable depuis la "peda" en 172.23.52.0/22.
Dans ce cas précis, sans ip xfrm policy, on rentre dans le tunnel
10.141.41.0/24 === 172.16.0.0/13
Une des autres solutions est de déclarer chaque subnet dans la conf ipsec, mais c'est bien plus lourd, et la version 2.5.2 fonctionnait en l'état, ce qui est bien pratique.
En attendant, on passe des ip xfrm policy en script, mais ce n'est pas beau... ;-)
Nicolas
Révisions associées
Passthrough connections were missing when local network included in larger tunnel network
ref #28769
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 4 ans
- Assigné à mis à Fabrice Barconnière
- Temps estimé mis à 6.00 h
- Tâche parente mis à #28807
#2 Mis à jour par Fabrice Barconnière il y a plus de 4 ans
- Projet changé de eole-vpn à Distribution EOLE
- Statut changé de Nouveau à En cours
- Restant à faire (heures) mis à 6.0
#3 Mis à jour par Fabrice Barconnière il y a plus de 4 ans
- Projet changé de Distribution EOLE à eole-vpn
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 6.0 à 1.0
#4 Mis à jour par Fabrice Barconnière il y a plus de 4 ans
Query-Auto -C -S http://test-eole.ac-dijon.fr
apt-eole install eole-vpn
(version 2.7.0-13 sur Amon 2.7.0 et 2.7.1-2 sur Amon 2.7.1)active_rvp init
Query-Auto
#5 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 4 ans
Bonjour,
Test en maquette :
rm /etc/ipsec.d/conf/passthrough (fichier variante orl en attendant ce paquet) service ipsec restart
test d'accès au réseau local :
Horus: 10.41.41.200 => Erreur Scribe: 172.23.55.253 => Erreur
Je test la modif :
Query-Auto -C -S test-eole.ac-dijon.fr apt-eole install eole-vpn ... Paramétrage de eole-vpn (2.7.1-3) ... active_rvp zephir
test d'accès au réseau local :
Horus: 10.41.41.200 => Ok Scribe: 172.23.55.253 => Ok
C'est ok pour nous, merci
#6 Mis à jour par équipe eole Academie d'Orléans-Tours il y a plus de 4 ans
testé en 2.7.1
#7 Mis à jour par Fabrice Barconnière il y a plus de 4 ans
- Restant à faire (heures) changé de 1.0 à 0.0
Merci pour les tests.
La mise à jour passera en stable sous 2 à 3 semaines.
#8 Mis à jour par Scrum Master il y a plus de 4 ans
- Projet changé de eole-vpn à Distribution EOLE
- Statut changé de Résolu à Fermé