Project

General

Profile

Tâche #8838

gerer leftsendcert = never pour EOLE 2.4.1

Added by Bruno Boiget over 6 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Target version:
-
Start date:
11/07/2014
Due date:
% Done:

100%

Estimated time:
0.50 h
Spent time:
Remaining (hours):
0.0

Description

La solution de Fabrice fonctionne

Le 02/07/2014 22:09, Laurent Haeffelé a écrit :

Le 02/07/2014 21:55, cd a écrit :

Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
de gestion de la fragmentation par ces modems empêchent
l’établissement des tunnels. Avez vous aussi constaté cela ?

Oui. J'ai constaté cela sur un établissement de l'académie de
Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
moment ...

Cordialement,

Bonjour,

IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation1, mais dans
certain cas, cela reste un problème.

Vous pouvez tenter une solution2 qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).

Mise en oeuvre :
  • Configuration de Sphynx :
    • Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
    • Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
      #DEB:amon-sphynx-reseth1_adm
      conn "amon-sphynx-reseth1_adm" 
          leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" 
          leftcert = "sphynx.pem" 
      - --> leftsendcert = never
          left = adresse_ip_publique_sphynx
          leftsubnet = "172.x.y.0/24" 
          leftupdown =
          rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" 
      - --> rightcert = "amon.pem" 
          right = adresse_ip_publique_amon
          rightsubnet = "10.d.e.0/24" 
          auto=start
      #FIN:amon-sphynx-reseth1_adm
      
    • Lancer ipsec rereadall puis ipsec update
      (ou /etc/init.d/ipsec restart mais ça coupe les autres tunnels)
  • Configuration d'Amon :
    • Les fichiers certificats sphynx.pem et amon.pem doivent être dans le répertoire /etc/ipsec.d/certs/
    • Exemple de configuration ipsec (ipsec.conf) à modifier pour chaque tunnel (--> sont les lignes à ajouter):
      #DEB:amon-sphynx-reseth1_adm
      conn "amon-sphynx-reseth1_adm" 
          leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon" 
          leftcert = "amon.pem" 
      - --> leftsendcert = never
          left = adresse_ip_publique_amon
          leftsubnet = "10.d.e.0/24" 
          leftupdown =
          rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx" 
      - --> rightcert = "sphynx.pem" 
          right = adresse_ip_publique_sphynx
          rightsubnet = "172.x.y.0/24" 
          auto=start
      #FIN:amon-sphynx-reseth1_adm
      
    • Lancer /etc/init.d/rvp restart

Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html

- --
Cordialement,
Fabrice Barconnière
Equipe EOLE


Related issues

Copied from arv - Tâche #8545: gerer leftsendcert = never Fermé 09/12/2014

History

#1 Updated by Joël Cuissinat over 6 years ago

  • Start date changed from 09/11/2014 to 11/07/2014
  • Estimated time changed from 7.00 h to 0.50 h
  • Parent task set to #9566
  • Remaining (hours) set to 0.5

Déplacé pour qualification.

#2 Updated by Fabrice Barconnière over 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Plusieurs académies l'ont testé en 2.3. Le fonctionnement en 2.4 est exactement identique.

#3 Updated by Fabrice Barconnière over 5 years ago

  • Parent task deleted (#9566)

Also available in: Atom PDF