[NetASQ] Plusieurs configs dans un meme slot VPN

Le
Eric Masson
'Lut,

Je me frite en ce moment avec un F200 sur l'établissement de vpns avec
différents partenaires de la boite pour laquelle je bosse.

Tous les partenaires n'utilisent pas les mêmes paramètres de Ph1 et Ph2,
donc j'ai tenté l'ajout d'une nouvelle configuration dans le slot
existant (copie du slot et modification).

Le problème que je rencontre est que lors de l'activation du nouveau
slot, les liens gérés par la configuration à laquelle je n'ai pas touché
ne montent plus

Quelqu'un aurait-il une idée sur le sujet ?

Merci d'avance.

--
Ne sachant réaliser un site Internet et n'ayant pas les moyens pour
l'instant de le créer, je vous sollicite donc ma demande de pouvoir
posséder ce newsgroup tout en respectant la nétiquette en vigueur.
-+- LH in Guide du Neuneu Usenet : Possession vaut titre de neuneu -+-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
VANHULLEBUS Yvan
Le #8307051
Eric Masson
'Lut,



Salut.
(oui, je lis encore fr.comp.securite :-)


Je me frite en ce moment avec un F200 sur l'établissement de vpns avec
différents partenaires de la boite pour laquelle je bosse.



Meuhnon, tout va bien se passer ;-)


Tous les partenaires n'utilisent pas les mêmes paramètres de Ph1 et Ph2,
donc j'ai tenté l'ajout d'une nouvelle configuration dans le slot
existant (copie du slot et modification).



Question super importante: c'est des tunnels "gateway-gateway" ou
c'est dans le tunnel anonyme ?

La vraie question derriere: les gates de tes partenaires ont des IPs
fixes, ou des IPs dynamiques ?


Le problème que je rencontre est que lors de l'activation du nouveau
slot, les liens gérés par la configuration à laquelle je n'ai pas touché
ne montent plus...

Quelqu'un aurait-il une idée sur le sujet ?



J'en ai meme plein :-)

Mais il me faut plus d'infos... deja, la reponse a la question
"gateway-gateway ou anonyme".

Ensuite, eventuellement, le log VPN (enfin, surtout les messages
d'erreur :-).


Enfin, eventuellement, ton slot VPN, et une explication sur la
topologie voulue (ca serait le top).


Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)




A +

VANHU.
Eric Masson
Le #8307041
VANHULLEBUS Yvan
'Lut Yvan,

(oui, je lis encore fr.comp.securite :-)



Bonne nouvelle ;)

Meuhnon, tout va bien se passer ;-)



Connaissant ce qu'il y a derrière, ça devrait.

Question super importante: c'est des tunnels "gateway-gateway" ou
c'est dans le tunnel anonyme ?



Qu'appelles-tu le tunnel anonyme ?
Ne serait-ce pas quelque chose du genre :

Configuration hubnspoke :
- les adresses publiques des correspondants sont paramétrées en (any)
pour la phase 1
- Les réseaux distants des correspondants sont paramétrés sur la seule
politique disponible de la phase 2 (onglet "Extrémités du trafic")
L'authentification est de type psk.

La vraie question derriere: les gates de tes partenaires ont des IPs
fixes, ou des IPs dynamiques ?



Tous les sites du groupe disposent d'adresses fixes, les partenaires à
ajouter disposent eux aussi d'adresses fixes.

Et donc, j'aimerais pouvoir ajouter une nouvelle config dans le slot
actif sans pour autant modifier la conf existante (Wan groupe, ce qui
fait que je ne peux pas tester comme je veux sous peine de me faire
agonir par les devs et les administratifs...) si ce n'est pas
nécessaire.

J'en ai meme plein :-)



Je m'en doute un peu ;)

Mais il me faut plus d'infos... deja, la reponse a la question
"gateway-gateway ou anonyme".



Normalement, tu l'as.

Ensuite, eventuellement, le log VPN (enfin, surtout les messages
d'erreur :-).



Via l'Event Reporter je suppose ?

Enfin, eventuellement, ton slot VPN, et une explication sur la
topologie voulue (ca serait le top).



Via Maintenance/Sauvegarder dans l'interface d'admin ?

Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)



Pour le moment, ça va, pour les confs, je te les passerai probablement
en privé.

Éric

PS: Ça semble ne pas trop mal se présenter pour le patch NATT pour
current, dirait-on.

--
je suis ÿffffe9tudiant en ÿffffe9cole d'ingÿffffe9nieurÿffffe0Lyon et
je suis totalement bloquÿffffe9 dansla programmation d'un applicatif
qui permettrait dedessiner des sphÿffffe8res ombrÿffffe9es.
-+- clÿffffe9ment in GNU - Tremblement de teÿffffrre en solde -+-
VANHULLEBUS Yvan
Le #10859901
Eric Masson
VANHULLEBUS Yvan

[....]
> Question super importante: c'est des tunnels "gateway-gateway" ou
> c'est dans le tunnel anonyme ?

Qu'appelles-tu le tunnel anonyme ?
Ne serait-ce pas quelque chose du genre :

Configuration hubnspoke :
- les adresses publiques des correspondants sont paramétrées en (any)
pour la phase 1
- Les réseaux distants des correspondants sont paramétrés sur la seule
politique disponible de la phase 2 (onglet "Extrémités du trafic")
L'authentification est de type psk.



Je vais aller fouetter comme il se doit certaines personnes :-)

Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
de citer: le fait que les correspondants de tunnels soient parametres
en "any".


> La vraie question derriere: les gates de tes partenaires ont des IPs
> fixes, ou des IPs dynamiques ?

Tous les sites du groupe disposent d'adresses fixes, les partenaires à
ajouter disposent eux aussi d'adresses fixes.



Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
tunnel par correspondant (donc au final un slot avec plein de tunnels
dedans).



Et donc, j'aimerais pouvoir ajouter une nouvelle config dans le slot
actif sans pour autant modifier la conf existante (Wan groupe, ce qui
fait que je ne peux pas tester comme je veux sous peine de me faire
agonir par les devs et les administratifs...) si ce n'est pas
nécessaire.



Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
toucher a la configuration de l'ancien....
Et a moins que tu ne fasses des joyeusetes genre mettre la meme IP de
correspondant ou quelquechose dans le genre, ca n'impacte pas les
configurations des tunnels deja existants.


[...]
> Ensuite, eventuellement, le log VPN (enfin, surtout les messages
> d'erreur :-).

Via l'Event Reporter je suppose ?



Ouaip, par exemple.


> Enfin, eventuellement, ton slot VPN, et une explication sur la
> topologie voulue (ca serait le top).

Via Maintenance/Sauvegarder dans l'interface d'admin ?



Euh, non, on est entre vieux cons de hackers old school, via ssh, en
copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
est le numero du slot en question.


> Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)

Pour le moment, ça va, pour les confs, je te les passerai probablement
en privé.



Ok.


PS: Ça semble ne pas trop mal se présenter pour le patch NATT pour
current, dirait-on.



Je vais etre sympa, je vais supposer que tu as redige cette ligne de
bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
freebsd-net :-)



A +

VANHU.
Eric Masson
Le #10871201
VANHULLEBUS Yvan
'Lut,

Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
de citer: le fait que les correspondants de tunnels soient parametres
en "any".



Je viens de faire le rapprochement, ce sont les sections anonymous de
racoon.conf, je ne capte définitivement rien aux interfaces
graphiques...

Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
tunnel par correspondant (donc au final un slot avec plein de tunnels
dedans).



Ben, en fait si, mais j'ai plusieurs sections sainfo avec les réseaux
internes des correspondants.

Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
toucher a la configuration de l'ancien....



J'avais déjà tenté, sans succès, mais je viens de voir que c'est juste
parce que je n'avais pas assez attendu, ni forcé la remontée des tunnels
en générant du trafic (infra en production avec une floppée de devs et
de commerciaux prêts à te tomber dessus quand quelque chose ne marche
pas droit, donc je viens de faire les tests, maintenant qu'ils sont tous
rentrés chez eux...)

Euh, non, on est entre vieux cons de hackers old school, via ssh, en
copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
est le numero du slot en question.



Lisible en plus, joli taf, si, si.

Je vais etre sympa, je vais supposer que tu as redige cette ligne de
bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
freebsd-net :-)



Euh, bz@ et gnn@ n'avaient pas encore mis leur bronx à ce moment là...
Je me demande franchement ce qui leur pose problème à ces deux zozos, il
me semble que tu avais tenu compte des remarques de bz@ concernant les
versions précédentes, non ?

Éric

--
Nous vous informons qu'en raison des conditions météorogiques, le
Grand Soir est reporté à une date ultérieure. D'un autre côté,
les barricades et les cocktails molotov, ça réchauffe.
-+- pH in
VANHULLEBUS Yvan
Le #11160481
Eric Masson
VANHULLEBUS Yvan

[...]
> Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
> de citer: le fait que les correspondants de tunnels soient parametres
> en "any".

Je viens de faire le rapprochement, ce sont les sections anonymous de
racoon.conf, je ne capte définitivement rien aux interfaces
graphiques...



Yep, c'est effectivement a ca que ca correspond.


> Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
> tunnel par correspondant (donc au final un slot avec plein de tunnels
> dedans).

Ben, en fait si, mais j'ai plusieurs sections sainfo avec les réseaux
internes des correspondants.



Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.

La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!




> Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
> toucher a la configuration de l'ancien....

J'avais déjà tenté, sans succès, mais je viens de voir que c'est juste
parce que je n'avais pas assez attendu, ni forcé la remontée des tunnels
en générant du trafic (infra en production avec une floppée de devs et
de commerciaux prêts à te tomber dessus quand quelque chose ne marche
pas droit, donc je viens de faire les tests, maintenant qu'ils sont tous
rentrés chez eux...)



Donc tout marche bien, maintenant ?



> Euh, non, on est entre vieux cons de hackers old school, via ssh, en
> copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
> est le numero du slot en question.

Lisible en plus, joli taf, si, si.



J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)



> Je vais etre sympa, je vais supposer que tu as redige cette ligne de
> bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
> freebsd-net :-)

Euh, bz@ et gnn@ n'avaient pas encore mis leur bronx à ce moment là...



Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".


C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....


Je me demande franchement ce qui leur pose problème à ces deux zozos, il
me semble que tu avais tenu compte des remarques de bz@ concernant les
versions précédentes, non ?



Yep...
Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...

Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).


A +

VANHU.
Eric Masson
Le #11161111
VANHULLEBUS Yvan
'Lut,

Yep, c'est effectivement a ca que ca correspond.



Ok.

Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.



Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...

La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!



Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)

Donc tout marche bien, maintenant ?



Pour la montée des tunnels, c'est ok.

Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).

J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)



Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?

Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".

C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....



C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...

Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...



Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.

Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).



À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...

Éric. Et non, je n'ai pas le niveau pour aller jouer là dedans ;)

--
Discuter tranquillement avec Michel Guillou???
Je n'ai JAMAIS vu quelqu'un de plus *facho* que ce type. C'est
écoeurant.
-+- Rocou In GNU - T'as l'adresse des FFL, c'est pour écrire -+-
VANHULLEBUS Yvan
Le #11169211
Eric Masson
VANHULLEBUS Yvan

[...]
Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...

> La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
> chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
> fasses !!!

Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)



Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D


> Donc tout marche bien, maintenant ?

Pour la montée des tunnels, c'est ok.

Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).



Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....



> J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
> code dans un coin (pas maintenu et pas embarque par defaut sur les
> boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
> generer un isakmpd.conf ? ;-)

Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?



Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D


> Bah la reponse de bz@, ca va encore, c'est juste un truc genre
> "j'aimerais bien faire le review et commiter mais j'ai pas le temps".
>
> C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
> ce coup la ....

C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...



J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".


> Je crois que leur probleme principal est exactement celui que j'ai eu
> a une epoque avec ipsec-tools: une volonte forte de tout superviser,
> pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
> cote de ca un cruel manque de temps qui fait que c'est impossible a
> gerer...

Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.



Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas....


> Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
> trouver d'autres solutions (meme si c'est pas encore parfait, loin de
> la).

À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...



C'est pas faux :-)


Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)


A +

VANHU.
Eric Masson
Le #11172631
VANHULLEBUS Yvan
'Lut Yvan,

Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D



Je n'y manquerai pas ;)

Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....



Ça fonctionne sans problème sur une 6.2 avec ipsec-tools (c'est ça de
bosser en partenariat avec de gros éditeurs, c'est à toi de t'adapter)

Et ça fonctionne aussi sur le F200, c'était bien une règle de filtrage
qui manquait.

Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D



Bah, mis à part la philosophie de paramétrage du bintz qui a l'air de
prendre les utilisateurs pour des robots, ça marche plutôt pas mal.

J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".



Cool.

Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas...



Cela permet quand même de dégrossir les scenarii propres, après cela,
c'est clair que du trafic volontairement créé pour mettre le bronx sera
moins évident à automatiser.

Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)



Une bonne nouvelle, ce serait pas mal.

Éric

--
Normalement, ils disent qu'ils se doivent de répondre dans les 48h,
cela va faire bien 2 jours et toujours pas réponde (que de la
gueule !!)
-+- Sa in GNU - On n'y comprend plus rien avec leur Euro -+-
Publicité
Poster une réponse
Anonyme