Projet

Général

Profil

Anomalie #715

fichiers ipsec_updown_AGRIATES-.. et Amon connexion PPP

Ajouté par Samuel LEFOL il y a presque 14 ans. Mis à jour il y a plus de 12 ans.

Statut:
Fermé
Priorité:
Normal
Catégorie:
-
Début:
23/06/2010
Echéance:
% réalisé:

100%

Temps passé:
Distribution:

Description

Il y a des erreurs dans les fichiers ipsec_updown_AGRIATES-.. pour un amon en PPP.
En effet l'interface Internet n'est pas eth0 mais ppp0.

Il faut donc remplacer :
up-client:) # connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

par :
up-client:) # connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

idem pour la section down-client

ci-joints le fichier original et le fichier corrigé.
(attention il y a aussi déjà une autre correction dans le fichier original '-m policy --pol ipsec --proto esp --dir out')

ipsec_updown_AGRIATES-NCY-METZ-01-0541501N-01-0.original (19,7 ko) Samuel LEFOL, 23/06/2010 16:59

ipsec_updown_AGRIATES-NCY-METZ-01-0541501N-01-0.corrige (19,7 ko) Samuel LEFOL, 23/06/2010 16:59

Historique

#1 Mis à jour par Samuel LEFOL il y a plus de 13 ans

Relance de ce bug qui n'est toujours pas corrigé.

On pourrait peut-être demander dans manage-sphynx.sh quelle est l'interface de sortie pour l'AMON.
(un peu comme on fait pour la version amon-1.5 ou amon-2.x)

et ainsi inscrire cette info dans le fichier sphynx.xml

#2 Mis à jour par Bruno Boiget il y a environ 13 ans

  • Projet changé de Zéphir à sphynx-vpn

#3 Mis à jour par Fabrice Barconnière il y a environ 13 ans

  • Assigné à mis à Fabrice Barconnière
  • Version cible mis à EOLE 2.3 RC4
  • % réalisé changé de 0 à 10

#4 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • Version cible changé de EOLE 2.3 RC4 à Mises à jour 2.2.3 - 01 RC

#5 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • en 2.2, il faut templatiser un fichier xsl qui génère les ipsec_updown
  • en 2.3, il faut voir pour templatiser dans conf-amon le fichier ipsec_updown (identique pour tous)

#6 Mis à jour par Joël Cuissinat il y a presque 13 ans

  • Version cible changé de Mises à jour 2.2.3 - 01 RC à 48

#7 Mis à jour par Fabrice Barconnière il y a plus de 12 ans

  • % réalisé changé de 10 à 50

EOLE 2.3 : Modification du template ipsec_updown -> remplacement eth0 par %%interface_gw

#8 Mis à jour par Fabrice Barconnière il y a plus de 12 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 50 à 100

Prise en compte des modif pour EOLE 2.2 et EOLE 2.3.

#9 Mis à jour par Fabrice Barconnière il y a plus de 12 ans

  • Projet changé de sphynx-vpn à conf-sphynx

#10 Mis à jour par Joël Cuissinat il y a plus de 12 ans

  • Version cible changé de 48 à Mises à jour 2.2.3 - 02 RC

Paquet candidat 2.2 : conf-sphynx-2.2-eole44~1.gbp4a0abe

#11 Mis à jour par Joël Cuissinat il y a plus de 12 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF