Project

General

Profile

Tâche #8545

Distribution EOLE - Scénario #8772: VPN - ARV

gerer leftsendcert = never

Added by Christophe Dezé almost 7 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Start date:
Due date:
09/12/2014
% Done:

100%

Estimated time:
7.00 h
Spent time:
Remaining (hours):

Description

La solution de Fabrice fonctionne

Le 02/07/2014 22:09, Laurent Haeffelé a écrit :

Le 02/07/2014 21:55, cd a écrit :

Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
de gestion de la fragmentation par ces modems empêchent
l’établissement des tunnels. Avez vous aussi constaté cela ?

Oui. J'ai constaté cela sur un établissement de l'académie de
Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
moment ...

Cordialement,

Bonjour,

IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation1, mais dans
certain cas, cela reste un problème.

Vous pouvez tenter une solution2 qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).

Mise en oeuvre :
  • Configuration de Sphynx :
    • Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
    • Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
      #DEB:amon-sphynx-reseth1_adm
      conn "amon-sphynx-reseth1_adm" 
          leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" 
          leftcert = "sphynx.pem" 
      - --> leftsendcert = never
          left = adresse_ip_publique_sphynx
          leftsubnet = "172.x.y.0/24" 
          leftupdown =
          rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" 
      - --> rightcert = "amon.pem" 
          right = adresse_ip_publique_amon
          rightsubnet = "10.d.e.0/24" 
          auto=start
      #FIN:amon-sphynx-reseth1_adm
      
    • Lancer ipsec rereadall puis ipsec update
      (ou /etc/init.d/ipsec restart mais ça coupe les autres tunnels)
  • Configuration d'Amon :
    • Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
    • Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
      #DEB:amon-sphynx-reseth1_adm
      conn "amon-sphynx-reseth1_adm" 
          leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" 
          leftcert = "amon.pem" 
      - --> leftsendcert = never
          left = adresse_ip_publique_amon
          leftsubnet = "10.d.e.0/24" 
          leftupdown =
          rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" 
      - --> rightcert = "sphynx.pem" 
          right = adresse_ip_publique_sphynx
          rightsubnet = "172.x.y.0/24" 
          auto=start
      #FIN:amon-sphynx-reseth1_adm
      
    • Lancer /etc/init.d/rvp restart

Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html

- --
Cordialement,
Fabrice Barconnière
Equipe EOLE


Related issues

Related to Documentations - Evolution #8841: Documentation ARV : documenter l'envoi ou non de certificats Fermé 09/12/2014
Duplicated by arv - Evolution #8733: solution de contournement aux pbs de vpns liés au fait que IKEv2 supporte mal la fragmentation des paquets Fermé
Copied to arv - Tâche #8838: gerer leftsendcert = never pour EOLE 2.4.1 Fermé 11/07/2014

Associated revisions

Revision 4c3151c8 (diff)
Added by Fabrice Barconnière over 6 years ago

Gestion de l'envoi ou non des certificats à l'établissement des tunnels
fixes #8545 @28h

History

#1 Updated by Fabrice Barconnière almost 7 years ago

  • Description updated (diff)

#2 Updated by Fabrice Barconnière almost 7 years ago

Il serait plus prudent coté Sphynx d'utiliser l'option leftsencert = ifasked. Ça permettra au serveur Sphynx d'envoyer son certificat aux serveurs Amon qui n'ont pas encore cette configuration.

#3 Updated by Laurent HAEFFELE over 6 years ago

L'idéal serait de pouvoir sélectionner ce mode de configuration par Lien sécurisé ou par Modèle de lien sécurisé dans ERA plutôt que d'avoir une option de configuration globale.

#4 Updated by Emmanuel GARETTE over 6 years ago

Dans Era ou ARV ?

#5 Updated by équipe eole Academie d'Orléans-Tours over 6 years ago

Bonjour, je ne sais pas à quoi faisait allusion Laurent HAEFFELE (je pense que c'est ARV), mais du point de vue d'Orléans, ça serait au niveau d'ARV, ou l'on pourrait choisir de créer un modele de serveur rvp avec ce type de conf. (pas d'envoi de certificat)
Peux être mieux, comme l'évoque aussi Laurent, ne pas avoir un modèle de serveur dédié mais seulement le choisir cette option sur le type lien sécurisé.

Nicolas

#6 Updated by Fabrice Barconnière over 6 years ago

  • Due date set to 09/12/2014
  • Status changed from Nouveau to Accepté
  • Assigned To set to Fabrice Barconnière
  • Target version set to sprint 2014 36-37
  • Estimated time set to 7.00 h
À discuter :
  • Est-ce une bonne idée de proposer cette option globalement pour le modèle (tous les serveur en hériterons) ?
    • Cela pourrait alonger le temps de génération des archives VPN et alourdir leur taille.
    • Si on met la valeur ifasked sur Sphynx, il faut les certificats de tous les serveurs dans /etc/ipsec.d/certs/ car Sphynx ne les demandera pas et cela allongera d'autant plus le temps de gérération des archives VPN mais il ne sera pas nécessaire de repasser sur tous les Amon.
    • Si on met la valeur never sur Sphynx, ça veut dire qu'il faut relancer la procédure "active_rvp" sur tous les Amon suite à cette modif (pas viable).
  • Sinon, on peut proposer cette option par serveur :
    • Ainsi, on oublie la valeur ifasked sur Sphynx pour n'avoir que never ou always
    • Pas besoin de repasser sur tous les Amon.

#7 Updated by Fabrice Barconnière over 6 years ago

  • Parent task set to #8765

#8 Updated by Luc Bourdot over 6 years ago

  • Parent task changed from #8765 to #8772

#9 Updated by Fabrice Barconnière over 6 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#10 Updated by Bruno Boiget over 6 years ago

  • Distribution changed from Toutes to EOLE 2.3

#11 Updated by Bruno Boiget over 6 years ago

  • Status changed from Résolu to Fermé

testé sur la candidate 2.3.14

Also available in: Atom PDF