Projet

Général

Profil

Anomalie #6956

gestion des xfrm policy

Ajouté par Karim Ayari il y a plus de 10 ans. Mis à jour il y a environ 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.12
Début:
Echéance:
10/01/2014
% réalisé:

100%

Temps passé:
3.17 h
Distribution:
EOLE 2.3

Description

La génération des règles "ip xfrm policy" prend tout en compte de ce fait nous rencontrons un problème d'accès au serveur amon dans les tunnels depuis un serveur de supervision (sur un réseau 10 non connu de l'amon) au rectorat lorsque l'amon a une route statique pointant sur eth0.

pour que cela fonctionne on doit supprimer une règle xfrm:

ip xfrm policy delete src 10.169.254.240/28 dst reseau_eth1 dir in

Vu avec Fabrice, il faut revoir le script pour ne pas prendre en compte les routes sur eth0.

Demandes liées

Lié à eole-vpn - Anomalie #6949: ip_xfrm_policy n'est pas mis à jour automatiquement Fermé 10/01/2014
Lié à eole-vpn - Evolution #6965: ip_xfrm_policy : gérer les alias Fermé 10/01/2014
Lié à Amon - Scénario #22836: Correction dans la gestion des xfrm policy Terminé (Sprint) 30/01/2018 09/03/2018

Révisions associées

Révision e752c04a (diff)
Ajouté par Fabrice Barconnière il y a plus de 10 ans

Templatisation du script ip_xfrm_policy et ajout de tests sur les routes
statiques pour exclure eth0
fixes #6949 fixes #6956 @3h

Révision 11c1e2f1 (diff)
Ajouté par Fabrice Barconnière il y a plus de 10 ans

Portage en 2.4 des modifs 2.3 : templatisation ip_xfrm_policy
ref #6949 ref #6956 ref #6965 @15m

Historique

#1 Mis à jour par Fabrice Barconnière il y a plus de 10 ans

  • Projet changé de Amon à eole-vpn
  • Echéance mis à 10/01/2014
  • Statut changé de Nouveau à Accepté
  • Assigné à mis à Fabrice Barconnière
  • Version cible mis à Mises à jour 2.3.12

#2 Mis à jour par Fabrice Barconnière il y a plus de 10 ans

  • Statut changé de Accepté à Résolu
  • % réalisé changé de 0 à 100

#3 Mis à jour par Karim Ayari il y a plus de 10 ans

  • test ok, les routes pointant sur eth0 ne sont plus traitées.

#4 Mis à jour par Fabrice Barconnière il y a environ 10 ans

  • Statut changé de Résolu à Fermé

Testé et validé par Karim

#5 Mis à jour par Jean-Marc MELET il y a environ 6 ans

Bonjour,

Je détere un vieux signalement car nous nous sommes aperçu d'un effet de bord qui nous pose problème maintenant.
En effet, nous avons découvert que ce changement engendre maintenant un problème inverse qui à mon sens est plus génant: Si pour une raison quelconque (typiquement chez nous besoin d'exclure du VPN une route RFC1918 d'une collectivité reliée en VPN niveau 3 opérateur aux établissements sur eth0) nous devons déclarer une route statique sur eth0, celle-ci n'est plus exclue des tunnels dans ip_xfrm_policy, ce qui empêche tout bonnement les communications avec ces réseaux dans ces cas là.
Il me semble que le cas décrit à l'origine de ce changement peut être contourné autrement, en tout cas à mon avis il ne doit pas justifier de "pénaliser" la gestion globale des routes sur la passerelle Amon.

#6 Mis à jour par Gérald Schwartzmann il y a environ 6 ans

Formats disponibles : Atom PDF