Anomalie #6956
gestion des xfrm policy
Description
La génération des règles "ip xfrm policy" prend tout en compte de ce fait nous rencontrons un problème d'accès au serveur amon dans les tunnels depuis un serveur de supervision (sur un réseau 10 non connu de l'amon) au rectorat lorsque l'amon a une route statique pointant sur eth0.
pour que cela fonctionne on doit supprimer une règle xfrm:
ip xfrm policy delete src 10.169.254.240/28 dst reseau_eth1 dir in
Vu avec Fabrice, il faut revoir le script pour ne pas prendre en compte les routes sur eth0.
Demandes liées
Révisions associées
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Projet changé de Amon à eole-vpn
- Echéance mis à 10/01/2014
- Statut changé de Nouveau à Accepté
- Assigné à mis à Fabrice Barconnière
- Version cible mis à Mises à jour 2.3.12
#2 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Statut changé de Accepté à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit e752c04a6d71580a5d2f6042ad74244beb48942e.
#3 Mis à jour par Karim Ayari il y a plus de 10 ans
- test ok, les routes pointant sur eth0 ne sont plus traitées.
#4 Mis à jour par Fabrice Barconnière il y a environ 10 ans
- Statut changé de Résolu à Fermé
Testé et validé par Karim
#5 Mis à jour par Jean-Marc MELET il y a environ 6 ans
Bonjour,
Je détere un vieux signalement car nous nous sommes aperçu d'un effet de bord qui nous pose problème maintenant.
En effet, nous avons découvert que ce changement engendre maintenant un problème inverse qui à mon sens est plus génant: Si pour une raison quelconque (typiquement chez nous besoin d'exclure du VPN une route RFC1918 d'une collectivité reliée en VPN niveau 3 opérateur aux établissements sur eth0) nous devons déclarer une route statique sur eth0, celle-ci n'est plus exclue des tunnels dans ip_xfrm_policy, ce qui empêche tout bonnement les communications avec ces réseaux dans ces cas là.
Il me semble que le cas décrit à l'origine de ce changement peut être contourné autrement, en tout cas à mon avis il ne doit pas justifier de "pénaliser" la gestion globale des routes sur la passerelle Amon.
#6 Mis à jour par Gérald Schwartzmann il y a environ 6 ans
- Lié à Scénario #22836: Correction dans la gestion des xfrm policy ajouté