Project

General

Profile

Anomalie #715

fichiers ipsec_updown_AGRIATES-.. et Amon connexion PPP

Added by Samuel LEFOL almost 11 years ago. Updated over 9 years ago.

Status:
Fermé
Priority:
Normal
Category:
-
Start date:
06/23/2010
Due date:
% Done:

100%

Spent time:
Distribution:

Description

Il y a des erreurs dans les fichiers ipsec_updown_AGRIATES-.. pour un amon en PPP.
En effet l'interface Internet n'est pas eth0 mais ppp0.

Il faut donc remplacer :
up-client:) # connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

par :
up-client:) # connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

idem pour la section down-client

ci-joints le fichier original et le fichier corrigé.
(attention il y a aussi déjà une autre correction dans le fichier original '-m policy --pol ipsec --proto esp --dir out')

ipsec_updown_AGRIATES-NCY-METZ-01-0541501N-01-0.original (19.7 KB) Samuel LEFOL, 06/23/2010 04:59 PM

ipsec_updown_AGRIATES-NCY-METZ-01-0541501N-01-0.corrige (19.7 KB) Samuel LEFOL, 06/23/2010 04:59 PM

History

#1 Updated by Samuel LEFOL over 10 years ago

Relance de ce bug qui n'est toujours pas corrigé.

On pourrait peut-être demander dans manage-sphynx.sh quelle est l'interface de sortie pour l'AMON.
(un peu comme on fait pour la version amon-1.5 ou amon-2.x)

et ainsi inscrire cette info dans le fichier sphynx.xml

#2 Updated by Bruno Boiget over 10 years ago

  • Project changed from Zéphir to sphynx-vpn

#3 Updated by Fabrice Barconnière about 10 years ago

  • Assigned To set to Fabrice Barconnière
  • Target version set to EOLE 2.3 RC4
  • % Done changed from 0 to 10

#4 Updated by Joël Cuissinat about 10 years ago

  • Target version changed from EOLE 2.3 RC4 to Mises à jour 2.2.3 - 01 RC

#5 Updated by Joël Cuissinat about 10 years ago

  • en 2.2, il faut templatiser un fichier xsl qui génère les ipsec_updown
  • en 2.3, il faut voir pour templatiser dans conf-amon le fichier ipsec_updown (identique pour tous)

#6 Updated by Joël Cuissinat about 10 years ago

  • Target version changed from Mises à jour 2.2.3 - 01 RC to 48

#7 Updated by Fabrice Barconnière almost 10 years ago

  • % Done changed from 10 to 50

EOLE 2.3 : Modification du template ipsec_updown -> remplacement eth0 par %%interface_gw

#8 Updated by Fabrice Barconnière almost 10 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 50 to 100

Prise en compte des modif pour EOLE 2.2 et EOLE 2.3.

#9 Updated by Fabrice Barconnière almost 10 years ago

  • Project changed from sphynx-vpn to conf-sphynx

#10 Updated by Joël Cuissinat almost 10 years ago

  • Target version changed from 48 to Mises à jour 2.2.3 - 02 RC

Paquet candidat 2.2 : conf-sphynx-2.2-eole44~1.gbp4a0abe

#11 Updated by Joël Cuissinat over 9 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF