Scénario #24233
Mis à jour par Fabrice Barconnière il y a presque 6 ans
Bonjour,
Depuis la bascule (une nouvelle install et non un upgrade) des eple de notre académie en amon 2.6.2, beaucoup d'entre eux se plaignent de déconnexions intempestives, de coupures de réseaux ...
Après investigation dans un lycée, il s'avère que les soucis interviennent dès qu'il y a un peu trop de coupures internet.
Symptômes :
- dans l'établissement, la plupart des réseaux internes ne peuvent sortir sur internet et même pinguer la patte de l'amon.
- depuis le rectorat, on peut se connecter via l'ip publique sur l'amon et le diagnose indique que tout est OK. Toutefois, quand un AED pingue la passerelle de l'amon, un tcpdump montre que le ping arrive sur l'interface mais que l'amon ne répond pas. Or le firewall est actif et les règles correctes.
Qu'est-ce qui pourrait entrainer une action dès que l'internet ne passe plus sur l'amon ? J'ai pensé au script magic-rvp.
Même s'il n'existe plus, il y a tout de même un agent zephir qui scrute le vpn et le relance en cas de défaut.
La version courte : dans /usr/share/zephir/monitor/actions/eole/rvp.actions, l'agent effectue un service strongswan restart
Le problème viendrait du stop car il ne ferait que de killer le process ipsec. Or celui-ci a lancé (au start) ipsec_updown qui a aussi lancé ip_xfrm_policy.
Au niveau des réseaux ne pouvant plus sortir, leurs directives xfrm policy étaient incomplètes ou manquantes.
En ajoutant à la main des directives xfrm policy concernant un réseau, le ping de la passerelle était OK et ce réseau pouvait de nouveau sortir.
Pour y remédier, dans /lib/systemd/system/strongswan.service, j'ai remplacé
<pre>
ExecStopPost=/bin/rm -f /var/run/charon.pid /var/run/starter.charon.pid
</pre>
par
<pre>
ExecStopPost=-/bin/rm -f /var/run/charon.pid /var/run/starter.charon.pid
ExecStopPost=-/bin/ip xfrm policy flush
</pre>
Le problème a pu être reproduit sur une plateforme VMware de notre rectorat.
Cordialement.
Depuis la bascule (une nouvelle install et non un upgrade) des eple de notre académie en amon 2.6.2, beaucoup d'entre eux se plaignent de déconnexions intempestives, de coupures de réseaux ...
Après investigation dans un lycée, il s'avère que les soucis interviennent dès qu'il y a un peu trop de coupures internet.
Symptômes :
- dans l'établissement, la plupart des réseaux internes ne peuvent sortir sur internet et même pinguer la patte de l'amon.
- depuis le rectorat, on peut se connecter via l'ip publique sur l'amon et le diagnose indique que tout est OK. Toutefois, quand un AED pingue la passerelle de l'amon, un tcpdump montre que le ping arrive sur l'interface mais que l'amon ne répond pas. Or le firewall est actif et les règles correctes.
Qu'est-ce qui pourrait entrainer une action dès que l'internet ne passe plus sur l'amon ? J'ai pensé au script magic-rvp.
Même s'il n'existe plus, il y a tout de même un agent zephir qui scrute le vpn et le relance en cas de défaut.
La version courte : dans /usr/share/zephir/monitor/actions/eole/rvp.actions, l'agent effectue un service strongswan restart
Le problème viendrait du stop car il ne ferait que de killer le process ipsec. Or celui-ci a lancé (au start) ipsec_updown qui a aussi lancé ip_xfrm_policy.
Au niveau des réseaux ne pouvant plus sortir, leurs directives xfrm policy étaient incomplètes ou manquantes.
En ajoutant à la main des directives xfrm policy concernant un réseau, le ping de la passerelle était OK et ce réseau pouvait de nouveau sortir.
Pour y remédier, dans /lib/systemd/system/strongswan.service, j'ai remplacé
<pre>
ExecStopPost=/bin/rm -f /var/run/charon.pid /var/run/starter.charon.pid
</pre>
par
<pre>
ExecStopPost=-/bin/rm -f /var/run/charon.pid /var/run/starter.charon.pid
ExecStopPost=-/bin/ip xfrm policy flush
</pre>
Le problème a pu être reproduit sur une plateforme VMware de notre rectorat.
Cordialement.