Anomalie #715
fichiers ipsec_updown_AGRIATES-.. et Amon connexion PPP
Description
Il y a des erreurs dans les fichiers ipsec_updown_AGRIATES-.. pour un amon en PPP.
En effet l'interface Internet n'est pas eth0 mais ppp0.
Il faut donc remplacer :
up-client:)
# connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i eth0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
par :
up-client:)
# connection to my client subnet coming up
#Passer le POSTROUTING sans SNAT pour le rvp
/sbin/iptables -t nat -I POSTROUTING -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les connexions au fw pour les paquets provenant du RVP
/sbin/iptables -I INPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
#Autoriser les paquets provenant du rvp et ceux a destination du rvp a traverser le FW
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -o ppp0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state NEW -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
/sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir in -i ppp0 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK -j ACCEPT
#Autoriser le FW a acceder au RVP
/sbin/iptables -I OUTPUT -m state --state NEW -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
/sbin/iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -m policy --pol ipsec --proto esp --dir out -o eth0 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
idem pour la section down-client
ci-joints le fichier original et le fichier corrigé.
(attention il y a aussi déjà une autre correction dans le fichier original '-m policy --pol ipsec --proto esp --dir out')
Historique
#1 Mis à jour par Samuel LEFOL il y a plus de 13 ans
Relance de ce bug qui n'est toujours pas corrigé.
On pourrait peut-être demander dans manage-sphynx.sh quelle est l'interface de sortie pour l'AMON.
(un peu comme on fait pour la version amon-1.5 ou amon-2.x)
et ainsi inscrire cette info dans le fichier sphynx.xml
#2 Mis à jour par Bruno Boiget il y a environ 13 ans
- Projet changé de Zéphir à sphynx-vpn
#3 Mis à jour par Fabrice Barconnière il y a environ 13 ans
- Assigné à mis à Fabrice Barconnière
- Version cible mis à EOLE 2.3 RC4
- % réalisé changé de 0 à 10
#4 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Version cible changé de EOLE 2.3 RC4 à Mises à jour 2.2.3 - 01 RC
#5 Mis à jour par Joël Cuissinat il y a presque 13 ans
- en 2.2, il faut templatiser un fichier xsl qui génère les ipsec_updown
- en 2.3, il faut voir pour templatiser dans conf-amon le fichier ipsec_updown (identique pour tous)
#6 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Version cible changé de Mises à jour 2.2.3 - 01 RC à 48
#7 Mis à jour par Fabrice Barconnière il y a plus de 12 ans
- % réalisé changé de 10 à 50
EOLE 2.3 : Modification du template ipsec_updown -> remplacement eth0 par %%interface_gw
#8 Mis à jour par Fabrice Barconnière il y a plus de 12 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 50 à 100
Prise en compte des modif pour EOLE 2.2 et EOLE 2.3.
#9 Mis à jour par Fabrice Barconnière il y a plus de 12 ans
- Projet changé de sphynx-vpn à conf-sphynx
#10 Mis à jour par Joël Cuissinat il y a plus de 12 ans
- Version cible changé de 48 à Mises à jour 2.2.3 - 02 RC
Paquet candidat 2.2 : conf-sphynx-2.2-eole44~1.gbp4a0abe
#11 Mis à jour par Joël Cuissinat il y a plus de 12 ans
- Statut changé de Résolu à Fermé