Project

General

Profile

Anomalie #6956

gestion des xfrm policy

Added by Karim Ayari over 9 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Fabrice Barconnière
Category:
-
Target version:
Distribution EOLE - Mises à jour 2.3.12
Start date:
Due date:
01/10/2014
% Done:

100%

Spent time:
3.17 h
Distribution:
EOLE 2.3

Description

La génération des règles "ip xfrm policy" prend tout en compte de ce fait nous rencontrons un problème d'accès au serveur amon dans les tunnels depuis un serveur de supervision (sur un réseau 10 non connu de l'amon) au rectorat lorsque l'amon a une route statique pointant sur eth0.

pour que cela fonctionne on doit supprimer une règle xfrm:

ip xfrm policy delete src 10.169.254.240/28 dst reseau_eth1 dir in

Vu avec Fabrice, il faut revoir le script pour ne pas prendre en compte les routes sur eth0.

Related issues

Related to eole-vpn - Anomalie #6949: ip_xfrm_policy n'est pas mis à jour automatiquement Fermé 01/10/2014
Related to eole-vpn - Evolution #6965: ip_xfrm_policy : gérer les alias Fermé 01/10/2014
Related to Amon - Scénario #22836: Correction dans la gestion des xfrm policy Terminé (Sprint) 01/30/2018 03/09/2018

Associated revisions

Revision e752c04a (diff)
Added by Fabrice Barconnière over 9 years ago

Templatisation du script ip_xfrm_policy et ajout de tests sur les routes
statiques pour exclure eth0
fixes #6949 fixes #6956 @3h

Revision 11c1e2f1 (diff)
Added by Fabrice Barconnière over 9 years ago

Portage en 2.4 des modifs 2.3 : templatisation ip_xfrm_policy
ref #6949 ref #6956 ref #6965 @15m

History

#1 Updated by Fabrice Barconnière over 9 years ago

  • Project changed from Amon to eole-vpn
  • Due date set to 01/10/2014
  • Status changed from Nouveau to Accepté
  • Assigned To set to Fabrice Barconnière
  • Target version set to Mises à jour 2.3.12

#2 Updated by Fabrice Barconnière over 9 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#3 Updated by Karim Ayari over 9 years ago

  • test ok, les routes pointant sur eth0 ne sont plus traitées.

#4 Updated by Fabrice Barconnière over 9 years ago

  • Status changed from Résolu to Fermé

Testé et validé par Karim

#5 Updated by Jean-Marc MELET over 5 years ago

Bonjour,

Je détere un vieux signalement car nous nous sommes aperçu d'un effet de bord qui nous pose problème maintenant.
En effet, nous avons découvert que ce changement engendre maintenant un problème inverse qui à mon sens est plus génant: Si pour une raison quelconque (typiquement chez nous besoin d'exclure du VPN une route RFC1918 d'une collectivité reliée en VPN niveau 3 opérateur aux établissements sur eth0) nous devons déclarer une route statique sur eth0, celle-ci n'est plus exclue des tunnels dans ip_xfrm_policy, ce qui empêche tout bonnement les communications avec ces réseaux dans ces cas là.
Il me semble que le cas décrit à l'origine de ce changement peut être contourné autrement, en tout cas à mon avis il ne doit pas justifier de "pénaliser" la gestion globale des routes sur la passerelle Amon.

#6 Updated by Gérald Schwartzmann over 5 years ago

Also available in: Atom PDF