Tâche #30185
Scénario #30148: Traitement express MEN (22-24)
VPN sur Amon : pourquoi le script /etc/ipsec.d/ipsec_updown ne s'exécute pas
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Début:
25/05/2020
Echéance:
12/06/2020
% réalisé:
100%
Restant à faire (heures):
0.0
Description
Les tunnels se montent bien avec active_rvp
mais les routes et les règles iptables liées à ipsec (dans le script /etc/ipsec.d/ipsec_updown
) ne sont pas créées.
Demandes liées
Révisions associées
/bin -> /usr/bin : modify charon apparmor profile tu run ipsec_updown script
ref #30185
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Description mis à jour (diff)
#2 Mis à jour par Fabrice Barconnière il y a presque 4 ans
Question sur le chat strongSwan :
<barco> Hi, do you know if there is a problem with updown plugin with strongSwan 5.8.2 ? My own leftupdown script seems to be not called. I have the same configuration with strongSwan 5.6.2 and it is called correctly. <Thermi> barco: Does it work if you downgrade? <barco> Thermi: yes, with strongSwan 5.6.2 it works <Thermi> barco: So you downgraded and it works again? <barco> I didn't downgrade. I have 2 servers. The 1rst on Ubuntu bionic with strongSwan 5.6.2 and the 2nd on Ubuntu focal with strongSwan 5.8.2 <barco> If i use my ipsec.conf on the 1rst, it works, but not on the 2nd <barco> Tunnels are OK, but the leftupdown script is not called. When i add "echo "TEST"" in the script, it is logged on the first, but not on the 2nd <barco> updown plugin is successfully loaded : 2020-05-27T15:21:27.640041+02:00 amon.etb1.lan charon: 00[LIB] plugin 'updown': loaded successfully <ecdsa> barco: Probably an apparmor issue, read the system log and add override rules as necessary <barco> Thanks ecdsa , i didn't look on the good log for apparmor. It needs to exec /usr/bin/bash. On the older server, /bin/bash only was OK.
Je l'ai ajouté et ça fonctionne :
root@amon:~# cat /etc/apparmor.d/local/usr.lib.ipsec.charon /bin/bash rmPUx, /usr/bin/bash rmPUx,
Pourquoi /usr/bin/bash
?
#3 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Lié à Tâche #13330: Tester qu'il n'y a pas de problème de connexion VPN entre strongSwan 5.3.3 et strongSwan 5.0.4 d'EOLE 2.4.2 avant de packager cette version. ajouté
#4 Mis à jour par Fabrice Barconnière il y a presque 4 ans
Tiens, c'est pas nouveau : #13330#note-2
#5 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Echéance mis à 12/06/2020
- Version cible mis à sprint 2020 22-24 Equipe MENSR
- Début mis à 25/05/2020
#6 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Tâche parente mis à #30148
#7 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de Nouveau à En cours
#8 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Assigné à mis à Fabrice Barconnière
#9 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de En cours à Résolu
#10 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- % réalisé changé de 0 à 100
#11 Mis à jour par Fabrice Barconnière il y a presque 4 ans
Je clôture cette demande, il y aura une qualif et on se rendra bien compte que ça fonctionne ;)
#12 Mis à jour par Fabrice Barconnière il y a presque 4 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0