Tâche #8838
gerer leftsendcert = never pour EOLE 2.4.1
Description
La solution de Fabrice fonctionne
Le 02/07/2014 22:09, Laurent Haeffelé a écrit :
Le 02/07/2014 21:55, cd a écrit :
Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
de gestion de la fragmentation par ces modems empêchent
l’établissement des tunnels. Avez vous aussi constaté cela ?Oui. J'ai constaté cela sur un établissement de l'académie de
Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
moment ...Cordialement,
Bonjour,
IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation1, mais dans
certain cas, cela reste un problème.
Vous pouvez tenter une solution2 qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).
- Configuration de Sphynx :
- Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
- Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
#DEB:amon-sphynx-reseth1_adm conn "amon-sphynx-reseth1_adm" leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" leftcert = "sphynx.pem" - --> leftsendcert = never left = adresse_ip_publique_sphynx leftsubnet = "172.x.y.0/24" leftupdown = rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" - --> rightcert = "amon.pem" right = adresse_ip_publique_amon rightsubnet = "10.d.e.0/24" auto=start #FIN:amon-sphynx-reseth1_adm - Lancer ipsec rereadall puis ipsec update
(ou /etc/init.d/ipsec restart mais ça coupe les autres tunnels)
- Configuration d'Amon :
- Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
- Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
#DEB:amon-sphynx-reseth1_adm conn "amon-sphynx-reseth1_adm" leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" leftcert = "amon.pem" - --> leftsendcert = never left = adresse_ip_publique_amon leftsubnet = "10.d.e.0/24" leftupdown = rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" - --> rightcert = "sphynx.pem" right = adresse_ip_publique_sphynx rightsubnet = "172.x.y.0/24" auto=start #FIN:amon-sphynx-reseth1_adm - Lancer /etc/init.d/rvp restart
Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html
- --
Cordialement,
Fabrice Barconnière
Equipe EOLE
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Début changé de 11/09/2014 à 07/11/2014
- Temps estimé changé de 7.00 h à 0.50 h
- Tâche parente mis à #9566
- Restant à faire (heures) mis à 0.5
Déplacé pour qualification.
#2 Mis à jour par Fabrice Barconnière il y a plus de 9 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0
Plusieurs académies l'ont testé en 2.3. Le fonctionnement en 2.4 est exactement identique.
#3 Mis à jour par Fabrice Barconnière il y a plus de 8 ans
- Tâche parente
#9566supprimé