Scénario #24326
Mis à jour par Fabrice Barconnière il y a presque 6 ans
Actuellement, les politiques d'exceptions sont définies par le script (template EOLE) @ip_xfrm_policy).
Il est possible de définir directement certaines exceptions dans la configuration ipsec avec des connexions de type passthrough.
h2. Proposition
h3. Faire un revert de commit:15ab76df
La suppression des exceptions sur les réseaux identiques entraîne un dysfonctionnement dans ce cas :
* tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
h3. # Les exceptions qui seront toujours gérées dans le script sont :
* Celles liées au réseau de l'interface 0 (non connu dans ARV)
* Celles liées aux routes (paramétré dans gen_config)
h3. # Les exceptions générées par ARV dans la configuration ipsec sont les suivantes :
* Exemple pour Amon :
** admin : 10.1.1.1/24
** pedago : 10.1.2.0/24
** dmz : 10.1.3.0/24
* Il faudra prendre en compte le cas roadwarrior car par défaut une exception de 10.1.1.0/24 vers 10.1.1.0/24 est générée et empêche la communication
** Un problème complexe se pose dans le cas suivant :
*** tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
*** tunnel roadwarrior de 10.1.1.0/24 (admin) vers 10.1.1.X/32 (IP roadwarrior)
** Dans ce cas, il faudra soit :
*** Générer toutes les exceptions combinées sauf 10.1.1.X/32 (ça me paraît très compliqué)
*** Indiquer un conflit en cas de construction de tunnels de ce type
Il est possible de définir directement certaines exceptions dans la configuration ipsec avec des connexions de type passthrough.
h2. Proposition
h3. Faire un revert de commit:15ab76df
La suppression des exceptions sur les réseaux identiques entraîne un dysfonctionnement dans ce cas :
* tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
h3. # Les exceptions qui seront toujours gérées dans le script sont :
* Celles liées au réseau de l'interface 0 (non connu dans ARV)
* Celles liées aux routes (paramétré dans gen_config)
h3. # Les exceptions générées par ARV dans la configuration ipsec sont les suivantes :
* Exemple pour Amon :
** admin : 10.1.1.1/24
** pedago : 10.1.2.0/24
** dmz : 10.1.3.0/24
* Il faudra prendre en compte le cas roadwarrior car par défaut une exception de 10.1.1.0/24 vers 10.1.1.0/24 est générée et empêche la communication
** Un problème complexe se pose dans le cas suivant :
*** tunnel de 10.1.1.0/24 (admin) vers 10.0.0.0/8 (reseau_10 de Sphynx)
*** tunnel roadwarrior de 10.1.1.0/24 (admin) vers 10.1.1.X/32 (IP roadwarrior)
** Dans ce cas, il faudra soit :
*** Générer toutes les exceptions combinées sauf 10.1.1.X/32 (ça me paraît très compliqué)
*** Indiquer un conflit en cas de construction de tunnels de ce type