Tâche #8545
Mis à jour par Fabrice Barconnière il y a presque 10 ans
La solution de Fabrice fonctionne
Le 02/07/2014 22:09, Laurent Haeffelé a écrit :
> Le 02/07/2014 21:55, cd a écrit :
>> Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
>> de gestion de la fragmentation par ces modems empêchent
>> l’établissement des tunnels. Avez vous aussi constaté cela ?
> Oui. J'ai constaté cela sur un établissement de l'académie de
> Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
> moment ...
>
> Cordialement,
>
Bonjour,
IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation[1], mais dans
certain cas, cela reste un problème.
Vous pouvez tenter une solution[2] qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).
Mise en oeuvre :
* Configuration de Sphynx :
** Les fichiers certificats *sphynx.pem* "sphynx.pem" et *amon.pem* "amon.pem" doivent être dans
le répertoire */etc/ipsec.d/certs/* /etc/ipsec.d/certs/
** Exemple de configuration ipsec (*ipsec.conf*) (ipsec.conf) à modifier pour chaque
tunnel (--> sont les lignes à ajouter):
<pre>
#DEB:amon-sphynx-reseth1_adm
conn "amon-sphynx-reseth1_adm"
leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx"
leftcert = "sphynx.pem"
- --> leftsendcert = never
left = adresse_ip_publique_sphynx
leftsubnet = "172.x.y.0/24"
leftupdown =
rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon"
- --> rightcert = "amon.pem"
right = adresse_ip_publique_amon
rightsubnet = "10.d.e.0/24"
auto=start
#FIN:amon-sphynx-reseth1_adm
</pre>
** Lancer *ipsec rereadall* "ipsec rereadall" puis *ipsec update* "ipsec update"
(ou */etc/init.d/ipsec restart* "/etc/init.d/ipsec restart" mais ça coupe les autres tunnels)
* Configuration d'Amon :
** Les fichiers certificats *sphynx.pem* "sphynx.pem" et *amon.pem* "amon.pem" doivent être dans
le répertoire */etc/ipsec.d/certs/* /etc/ipsec.d/certs/
** Exemple de configuration ipsec (*ipsec.conf*) (ipsec.conf) à modifier pour chaque
tunnel (--> sont les lignes à ajouter):
<pre>
#DEB:amon-sphynx-reseth1_adm
conn "amon-sphynx-reseth1_adm"
leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon"
leftcert = "amon.pem"
- --> leftsendcert = never
left = adresse_ip_publique_amon
leftsubnet = "10.d.e.0/24"
leftupdown =
rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx"
- --> rightcert = "sphynx.pem"
right = adresse_ip_publique_sphynx
rightsubnet = "172.x.y.0/24"
auto=start
#FIN:amon-sphynx-reseth1_adm
</pre>
** Lancer */etc/init.d/rvp restart* "/etc/init.d/rvp restart"
Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html
- --
Cordialement,
Fabrice Barconnière
Equipe EOLE
Le 02/07/2014 22:09, Laurent Haeffelé a écrit :
> Le 02/07/2014 21:55, cd a écrit :
>> Le passage en IKEv2 de strongswan (sphynx 2.3) lié a des soucis
>> de gestion de la fragmentation par ces modems empêchent
>> l’établissement des tunnels. Avez vous aussi constaté cela ?
> Oui. J'ai constaté cela sur un établissement de l'académie de
> Strasbourg aussi, mais je n'ai pas trouvé de solution pour le
> moment ...
>
> Cordialement,
>
Bonjour,
IKEV2 ne supporte pas la fragmentation. Il existe juste quelques
recommandations pour éviter au maximum cette fragmentation[1], mais dans
certain cas, cela reste un problème.
Vous pouvez tenter une solution[2] qui est proposée sur la liste
strongSwan Users.
Le but est de diminuer la taille des paquets lors de l'authentification
en stockant les certificats des serveurs distant localement et en
indiquant à strongSwan de ne pas les envoyer.
En cas de retour positif, on pourrait envisager d'intégrer cette méthode
(en mode fichier plat uniquement).
Mise en oeuvre :
* Configuration de Sphynx :
** Les fichiers certificats *sphynx.pem* "sphynx.pem" et *amon.pem* "amon.pem" doivent être dans
le répertoire */etc/ipsec.d/certs/* /etc/ipsec.d/certs/
** Exemple de configuration ipsec (*ipsec.conf*) (ipsec.conf) à modifier pour chaque
tunnel (--> sont les lignes à ajouter):
<pre>
#DEB:amon-sphynx-reseth1_adm
conn "amon-sphynx-reseth1_adm"
leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx"
leftcert = "sphynx.pem"
- --> leftsendcert = never
left = adresse_ip_publique_sphynx
leftsubnet = "172.x.y.0/24"
leftupdown =
rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon"
- --> rightcert = "amon.pem"
right = adresse_ip_publique_amon
rightsubnet = "10.d.e.0/24"
auto=start
#FIN:amon-sphynx-reseth1_adm
</pre>
** Lancer *ipsec rereadall* "ipsec rereadall" puis *ipsec update* "ipsec update"
(ou */etc/init.d/ipsec restart* "/etc/init.d/ipsec restart" mais ça coupe les autres tunnels)
* Configuration d'Amon :
** Les fichiers certificats *sphynx.pem* "sphynx.pem" et *amon.pem* "amon.pem" doivent être dans
le répertoire */etc/ipsec.d/certs/* /etc/ipsec.d/certs/
** Exemple de configuration ipsec (*ipsec.conf*) (ipsec.conf) à modifier pour chaque
tunnel (--> sont les lignes à ajouter):
<pre>
#DEB:amon-sphynx-reseth1_adm
conn "amon-sphynx-reseth1_adm"
leftid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=amon"
leftcert = "amon.pem"
- --> leftsendcert = never
left = adresse_ip_publique_amon
leftsubnet = "10.d.e.0/24"
leftupdown =
rightid = "C=fr, O=gouv, OU=education, OU=ac-academie, CN=sphynx"
- --> rightcert = "sphynx.pem"
right = adresse_ip_publique_sphynx
rightsubnet = "172.x.y.0/24"
auto=start
#FIN:amon-sphynx-reseth1_adm
</pre>
** Lancer */etc/init.d/rvp restart* "/etc/init.d/rvp restart"
Footnotes :
[1] http://tools.ietf.org/html/draft-ietf-ipsecme-ikev2-fragmentation-05
[2] https://www.mail-archive.com/users@lists.strongswan.org/msg07143.html
- --
Cordialement,
Fabrice Barconnière
Equipe EOLE