Projet

Général

Profil

Tâche #30185

Scénario #30148: Traitement express MEN (22-24)

VPN sur Amon : pourquoi le script /etc/ipsec.d/ipsec_updown ne s'exécute pas

Ajouté par Fabrice Barconnière il y a presque 4 ans. Mis à jour il y a presque 4 ans.

Statut:
Fermé
Priorité:
Normal
Début:
25/05/2020
Echéance:
12/06/2020
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Les tunnels se montent bien avec active_rvp mais les routes et les règles iptables liées à ipsec (dans le script /etc/ipsec.d/ipsec_updown) ne sont pas créées.


Demandes liées

Lié à strongswan - Tâche #13330: Tester qu'il n'y a pas de problème de connexion VPN entre strongSwan 5.3.3 et strongSwan 5.0.4 d'EOLE 2.4.2 avant de packager cette version. Fermé 21/09/2015

Révisions associées

Révision 29ae7dc6 (diff)
Ajouté par Fabrice Barconnière il y a presque 4 ans

/bin -> /usr/bin : modify charon apparmor profile tu run ipsec_updown script

ref #30185

Historique

#1 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Description mis à jour (diff)

#2 Mis à jour par Fabrice Barconnière il y a presque 4 ans

Question sur le chat strongSwan :

<barco> Hi, do you know if there is a problem with updown plugin with strongSwan 5.8.2 ? My own leftupdown script seems to be not called. I have the same configuration with strongSwan 5.6.2 and it is called correctly.
<Thermi> barco: Does it work if you downgrade?
<barco> Thermi: yes, with strongSwan 5.6.2 it works
<Thermi> barco: So you downgraded and it works again?
<barco> I didn't downgrade. I have 2 servers. The 1rst on Ubuntu bionic with strongSwan 5.6.2 and the 2nd on Ubuntu focal with strongSwan 5.8.2
<barco> If i use my ipsec.conf on the 1rst, it works, but not on the 2nd
<barco> Tunnels are OK, but the leftupdown script is not called. When i add "echo "TEST"" in the script, it is logged on the first, but not on the 2nd
<barco> updown plugin is successfully loaded : 2020-05-27T15:21:27.640041+02:00 amon.etb1.lan charon: 00[LIB] plugin 'updown': loaded successfully
<ecdsa> barco: Probably an apparmor issue, read the system log and add override rules as necessary
<barco> Thanks ecdsa , i didn't look on the good log for apparmor. It needs to exec /usr/bin/bash. On the older server, /bin/bash only was OK.

Je l'ai ajouté et ça fonctionne :

root@amon:~# cat /etc/apparmor.d/local/usr.lib.ipsec.charon 
  /bin/bash                 rmPUx,
  /usr/bin/bash             rmPUx,

Pourquoi /usr/bin/bash ?

#3 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Lié à Tâche #13330: Tester qu'il n'y a pas de problème de connexion VPN entre strongSwan 5.3.3 et strongSwan 5.0.4 d'EOLE 2.4.2 avant de packager cette version. ajouté

#4 Mis à jour par Fabrice Barconnière il y a presque 4 ans

Tiens, c'est pas nouveau : #13330#note-2

#5 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Echéance mis à 12/06/2020
  • Version cible mis à sprint 2020 22-24 Equipe MENSR
  • Début mis à 25/05/2020

#6 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Tâche parente mis à #30148

#7 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Statut changé de Nouveau à En cours

#8 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Assigné à mis à Fabrice Barconnière

#9 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Statut changé de En cours à Résolu

#10 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • % réalisé changé de 0 à 100

#11 Mis à jour par Fabrice Barconnière il y a presque 4 ans

Je clôture cette demande, il y aura une qualif et on se rendra bien compte que ça fonctionne ;)

#12 Mis à jour par Fabrice Barconnière il y a presque 4 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF