Projet

Général

Profil

Tâche #31402

Scénario #31492: Traitement express MEN (02-04)

Autoriser l'accès aux interfaces d'administration web de l'etb1.amon depuis le VPN (eole-ci-tests)

Ajouté par Joël Cuissinat il y a plus de 3 ans. Mis à jour il y a environ 3 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
sprint 2021 02-04 Equipe MENSR
Début:
11/12/2020
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Lorsque l'on teste depuis le VPN (tunnel GRE), on est vu avec l'IP 10.100.1.2 qui ne fait pas partie de celles autorisées :

root@amon:~# CreoleGet ip_admin_eth0
192.168.230.0
192.168.0.0
192.168.226.0

Attention, cette modification serait susceptible d'impacter les tests Jenkins et/ou Squash...

Demandes liées

Lié à Distribution EOLE - Tâche #28284: infra : le réseau des gateway ecologie ne sont pas autorisés pour l'ead sur etb1.ac-test.fr Fermé 29/04/2019

Révisions associées

Révision 691a2f20 (diff)
Ajouté par Joël Cuissinat il y a plus de 3 ans

etb1.amon : ajout accès aux interfaces d'administration depuis le VPN

Ref: #31402

Révision ab50b9fe (diff)
Ajouté par Joël Cuissinat il y a plus de 3 ans

etb3.amonecole : formatage de la configuration

Ref: #31402

Révision 8e732ae9 (diff)
Ajouté par Joël Cuissinat il y a plus de 3 ans

etb3.amonecole : ajout accès aux interfaces d'administration depuis le VPN

Ref: #31402

Révision 2f7561c5 (diff)
Ajouté par Joël Cuissinat il y a plus de 3 ans

etb3.amonecole : suppression des configs 2.7 générées

Ref: #31402

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Sujet changé de Autoriser l'accès aux interfaces d'administration web de l'etb1.amon depuis le VPN à Autoriser l'accès aux interfaces d'administration web de l'etb1.amon depuis le VPN (eole-ci-tests)
  • Tâche parente changé de #31241 à #31492

#2 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de Nouveau à En cours

#3 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Description mis à jour (diff)
  • Assigné à mis à Joël Cuissinat

#4 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Lié à Tâche #28284: infra : le réseau des gateway ecologie ne sont pas autorisés pour l'ead sur etb1.ac-test.fr ajouté

#5 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100

Les tests Jenkins sont bien tombés en erreur comme attendu :)

Je vais mettre à jour les "fichiers de référence" sur le montage.

Exemple https://dev-eole.ac-dijon.fr/jenkins/job/2.7.1/job/test-checkinstance-amon-2.7.1-amd64/ (job n°509)

22:19:01             Machine etb1.amon 2.7.1 : check-iptables '/mnt/eole-ci-tests/configuration/etb1.amon//default-2.7.1/iptable'
22:19:01             Le fichier de référence est /mnt/eole-ci-tests/configuration/etb1.amon//default-2.7.1/iptable
22:19:01             -A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp <
22:19:01             -A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp <
22:19:01             -A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp <
22:19:01             -A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p icm <
22:19:01             -A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp <
22:19:01             < nouvelle par rapport au fichier de référence, > supprimée par rapport au fichier de référence, | changée par rapport au fichier de référence
22:19:01             *****************************************************************
22:19:01             EOLE_CI_ALERTE: LES REGLES IPTABLES SONT INCORRECTES
22:19:01             *****************************************************************

#6 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de Résolu à En cours

#7 Mis à jour par Joël Cuissinat il y a plus de 3 ans

Je réouvre car, j'ai le même problème avec l'AmonEcole 2.8.1 ;)
Et j'en profite pour faire un peu de nettoyage.

#8 Mis à jour par Joël Cuissinat il y a plus de 3 ans

  • Statut changé de En cours à Résolu

#9 Mis à jour par Fabrice Barconnière il y a environ 3 ans

OK

barco@tp-barco:~/git/eole-ci-tests (master=)$ rgrep "10.100.1.2" configuration/
configuration/etb1.amon/default-2.7.2/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","192.168.0.0","192.168.226.0","10.100.1.2"]},
configuration/etb1.amon/default-2.8.1/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","192.168.0.0","192.168.226.0","10.100.1.2"]},
configuration/etb1.amon/default-2.7.0/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","192.168.0.0","192.168.226.0","10.100.1.2"]},
configuration/etb1.amon/default-2.7.1/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","192.168.0.0","192.168.226.0","10.100.1.2"]},
configuration/etb1.amon/default-2.6.2/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","192.168.0.0","192.168.226.0","10.100.1.2"]},
configuration/siegeNT2.eSSL/default-2.7.0/etc/eole/config.eol:    "ip_admin_eth1":{"owner":"gen_config","val":["10.31.48.0","10.82.231.50","10.239.130.173","10.100.1.2"]},
configuration/siegeNT2.eSSL/default-2.7.0/etc/eole/config.eol:    "ip_ssh_eth1":{"owner":"gen_config","val":["10.31.48.0","10.82.231.50","10.239.130.173","10.100.1.2"]},
configuration/siegeNT2.eSSL/default-2.6.2/etc/eole/config.eol:    "ip_admin_eth1":{"owner":"gen_config","val":["10.31.48.0","10.82.231.50","10.239.130.173","10.100.1.2"]},
configuration/siegeNT2.eSSL/default-2.6.2/etc/eole/config.eol:    "ip_ssh_eth1":{"owner":"gen_config","val":["10.31.48.0","10.82.231.50","10.239.130.173","10.100.1.2"]},
configuration/etb3.amonecole/default-2.8.1/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","10.100.1.2"]},
configuration/etb3.amonecole/default-2.6.2/etc/eole/config.eol:    "ip_admin_eth0":{"owner":"gen_config","val":["192.168.230.0","10.100.1.2"]},


root@amon:~# iptables-save | grep "10.100.1.2" 
-A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp -m state --state NEW -m tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -m comment --comment "era: administration exterieure vers Amon" -j ACCEPT
-A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp -m state --state NEW -m tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -m comment --comment "era: administration exterieure vers Amon" -j ACCEPT
-A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -m comment --comment "era: administration exterieure vers Amon" -j ACCEPT
-A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p icmp -m state --state NEW -m icmp --icmp-type 8 -m comment --comment "era: administration exterieure vers Amon" -j ACCEPT
-A ext-bas -s 10.100.1.2/32 -d 192.168.0.31/32 -i ens4 -p tcp -m state --state NEW -m tcp --dport 8062 --tcp-flags SYN,RST,ACK SYN -m comment --comment "era: administration exterieure vers Amon" -j ACCEPT

Accès EAD OK depuis le VPN

#10 Mis à jour par Fabrice Barconnière il y a environ 3 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF