'Lut,
Je me frite en ce moment avec un F200 sur l'établissement de vpns avec
différents partenaires de la boite pour laquelle je bosse.
Tous les partenaires n'utilisent pas les mêmes paramètres de Ph1 et Ph2,
donc j'ai tenté l'ajout d'une nouvelle configuration dans le slot
existant (copie du slot et modification).
Le problème que je rencontre est que lors de l'activation du nouveau
slot, les liens gérés par la configuration à laquelle je n'ai pas touché
ne montent plus...
Quelqu'un aurait-il une idée sur le sujet ?
'Lut,
Je me frite en ce moment avec un F200 sur l'établissement de vpns avec
différents partenaires de la boite pour laquelle je bosse.
Tous les partenaires n'utilisent pas les mêmes paramètres de Ph1 et Ph2,
donc j'ai tenté l'ajout d'une nouvelle configuration dans le slot
existant (copie du slot et modification).
Le problème que je rencontre est que lors de l'activation du nouveau
slot, les liens gérés par la configuration à laquelle je n'ai pas touché
ne montent plus...
Quelqu'un aurait-il une idée sur le sujet ?
'Lut,
Je me frite en ce moment avec un F200 sur l'établissement de vpns avec
différents partenaires de la boite pour laquelle je bosse.
Tous les partenaires n'utilisent pas les mêmes paramètres de Ph1 et Ph2,
donc j'ai tenté l'ajout d'une nouvelle configuration dans le slot
existant (copie du slot et modification).
Le problème que je rencontre est que lors de l'activation du nouveau
slot, les liens gérés par la configuration à laquelle je n'ai pas touché
ne montent plus...
Quelqu'un aurait-il une idée sur le sujet ?
(oui, je lis encore fr.comp.securite :-)
Meuhnon, tout va bien se passer ;-)
Question super importante: c'est des tunnels "gateway-gateway" ou
c'est dans le tunnel anonyme ?
La vraie question derriere: les gates de tes partenaires ont des IPs
fixes, ou des IPs dynamiques ?
J'en ai meme plein :-)
Mais il me faut plus d'infos... deja, la reponse a la question
"gateway-gateway ou anonyme".
Ensuite, eventuellement, le log VPN (enfin, surtout les messages
d'erreur :-).
Enfin, eventuellement, ton slot VPN, et une explication sur la
topologie voulue (ca serait le top).
Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
(oui, je lis encore fr.comp.securite :-)
Meuhnon, tout va bien se passer ;-)
Question super importante: c'est des tunnels "gateway-gateway" ou
c'est dans le tunnel anonyme ?
La vraie question derriere: les gates de tes partenaires ont des IPs
fixes, ou des IPs dynamiques ?
J'en ai meme plein :-)
Mais il me faut plus d'infos... deja, la reponse a la question
"gateway-gateway ou anonyme".
Ensuite, eventuellement, le log VPN (enfin, surtout les messages
d'erreur :-).
Enfin, eventuellement, ton slot VPN, et une explication sur la
topologie voulue (ca serait le top).
Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
(oui, je lis encore fr.comp.securite :-)
Meuhnon, tout va bien se passer ;-)
Question super importante: c'est des tunnels "gateway-gateway" ou
c'est dans le tunnel anonyme ?
La vraie question derriere: les gates de tes partenaires ont des IPs
fixes, ou des IPs dynamiques ?
J'en ai meme plein :-)
Mais il me faut plus d'infos... deja, la reponse a la question
"gateway-gateway ou anonyme".
Ensuite, eventuellement, le log VPN (enfin, surtout les messages
d'erreur :-).
Enfin, eventuellement, ton slot VPN, et une explication sur la
topologie voulue (ca serait le top).
Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
VANHULLEBUS Yvan writes:
> Question super importante: c'est des tunnels "gateway-gateway" ou
> c'est dans le tunnel anonyme ?
Qu'appelles-tu le tunnel anonyme ?
Ne serait-ce pas quelque chose du genre :
Configuration hubnspoke :
- les adresses publiques des correspondants sont paramétrées en (any)
pour la phase 1
- Les réseaux distants des correspondants sont paramétrés sur la seule
politique disponible de la phase 2 (onglet "Extrémités du trafic")
L'authentification est de type psk.
> La vraie question derriere: les gates de tes partenaires ont des IPs
> fixes, ou des IPs dynamiques ?
Tous les sites du groupe disposent d'adresses fixes, les partenaires à
ajouter disposent eux aussi d'adresses fixes.
Et donc, j'aimerais pouvoir ajouter une nouvelle config dans le slot
actif sans pour autant modifier la conf existante (Wan groupe, ce qui
fait que je ne peux pas tester comme je veux sous peine de me faire
agonir par les devs et les administratifs...) si ce n'est pas
nécessaire.
> Ensuite, eventuellement, le log VPN (enfin, surtout les messages
> d'erreur :-).
Via l'Event Reporter je suppose ?
> Enfin, eventuellement, ton slot VPN, et une explication sur la
> topologie voulue (ca serait le top).
Via Maintenance/Sauvegarder dans l'interface d'admin ?
> Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
Pour le moment, ça va, pour les confs, je te les passerai probablement
en privé.
PS: Ça semble ne pas trop mal se présenter pour le patch NATT pour
current, dirait-on.
VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:
> Question super importante: c'est des tunnels "gateway-gateway" ou
> c'est dans le tunnel anonyme ?
Qu'appelles-tu le tunnel anonyme ?
Ne serait-ce pas quelque chose du genre :
Configuration hubnspoke :
- les adresses publiques des correspondants sont paramétrées en (any)
pour la phase 1
- Les réseaux distants des correspondants sont paramétrés sur la seule
politique disponible de la phase 2 (onglet "Extrémités du trafic")
L'authentification est de type psk.
> La vraie question derriere: les gates de tes partenaires ont des IPs
> fixes, ou des IPs dynamiques ?
Tous les sites du groupe disposent d'adresses fixes, les partenaires à
ajouter disposent eux aussi d'adresses fixes.
Et donc, j'aimerais pouvoir ajouter une nouvelle config dans le slot
actif sans pour autant modifier la conf existante (Wan groupe, ce qui
fait que je ne peux pas tester comme je veux sous peine de me faire
agonir par les devs et les administratifs...) si ce n'est pas
nécessaire.
> Ensuite, eventuellement, le log VPN (enfin, surtout les messages
> d'erreur :-).
Via l'Event Reporter je suppose ?
> Enfin, eventuellement, ton slot VPN, et une explication sur la
> topologie voulue (ca serait le top).
Via Maintenance/Sauvegarder dans l'interface d'admin ?
> Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
Pour le moment, ça va, pour les confs, je te les passerai probablement
en privé.
PS: Ça semble ne pas trop mal se présenter pour le patch NATT pour
current, dirait-on.
VANHULLEBUS Yvan writes:
> Question super importante: c'est des tunnels "gateway-gateway" ou
> c'est dans le tunnel anonyme ?
Qu'appelles-tu le tunnel anonyme ?
Ne serait-ce pas quelque chose du genre :
Configuration hubnspoke :
- les adresses publiques des correspondants sont paramétrées en (any)
pour la phase 1
- Les réseaux distants des correspondants sont paramétrés sur la seule
politique disponible de la phase 2 (onglet "Extrémités du trafic")
L'authentification est de type psk.
> La vraie question derriere: les gates de tes partenaires ont des IPs
> fixes, ou des IPs dynamiques ?
Tous les sites du groupe disposent d'adresses fixes, les partenaires à
ajouter disposent eux aussi d'adresses fixes.
Et donc, j'aimerais pouvoir ajouter une nouvelle config dans le slot
actif sans pour autant modifier la conf existante (Wan groupe, ce qui
fait que je ne peux pas tester comme je veux sous peine de me faire
agonir par les devs et les administratifs...) si ce n'est pas
nécessaire.
> Ensuite, eventuellement, le log VPN (enfin, surtout les messages
> d'erreur :-).
Via l'Event Reporter je suppose ?
> Enfin, eventuellement, ton slot VPN, et une explication sur la
> topologie voulue (ca serait le top).
Via Maintenance/Sauvegarder dans l'interface d'admin ?
> Si ca t'embete d'envoyer ca sur fcs, tu connais mon email, hein :-)
Pour le moment, ça va, pour les confs, je te les passerai probablement
en privé.
PS: Ça semble ne pas trop mal se présenter pour le patch NATT pour
current, dirait-on.
Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
de citer: le fait que les correspondants de tunnels soient parametres
en "any".
Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
tunnel par correspondant (donc au final un slot avec plein de tunnels
dedans).
Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
toucher a la configuration de l'ancien....
Euh, non, on est entre vieux cons de hackers old school, via ssh, en
copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
est le numero du slot en question.
Je vais etre sympa, je vais supposer que tu as redige cette ligne de
bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
freebsd-net :-)
Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
de citer: le fait que les correspondants de tunnels soient parametres
en "any".
Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
tunnel par correspondant (donc au final un slot avec plein de tunnels
dedans).
Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
toucher a la configuration de l'ancien....
Euh, non, on est entre vieux cons de hackers old school, via ssh, en
copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
est le numero du slot en question.
Je vais etre sympa, je vais supposer que tu as redige cette ligne de
bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
freebsd-net :-)
Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
de citer: le fait que les correspondants de tunnels soient parametres
en "any".
Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
tunnel par correspondant (donc au final un slot avec plein de tunnels
dedans).
Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
toucher a la configuration de l'ancien....
Euh, non, on est entre vieux cons de hackers old school, via ssh, en
copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
est le numero du slot en question.
Je vais etre sympa, je vais supposer que tu as redige cette ligne de
bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
freebsd-net :-)
VANHULLEBUS Yvan writes:
> Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
> de citer: le fait que les correspondants de tunnels soient parametres
> en "any".
Je viens de faire le rapprochement, ce sont les sections anonymous de
racoon.conf, je ne capte définitivement rien aux interfaces
graphiques...
> Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
> tunnel par correspondant (donc au final un slot avec plein de tunnels
> dedans).
Ben, en fait si, mais j'ai plusieurs sections sainfo avec les réseaux
internes des correspondants.
> Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
> toucher a la configuration de l'ancien....
J'avais déjà tenté, sans succès, mais je viens de voir que c'est juste
parce que je n'avais pas assez attendu, ni forcé la remontée des tunnels
en générant du trafic (infra en production avec une floppée de devs et
de commerciaux prêts à te tomber dessus quand quelque chose ne marche
pas droit, donc je viens de faire les tests, maintenant qu'ils sont tous
rentrés chez eux...)
> Euh, non, on est entre vieux cons de hackers old school, via ssh, en
> copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
> est le numero du slot en question.
Lisible en plus, joli taf, si, si.
> Je vais etre sympa, je vais supposer que tu as redige cette ligne de
> bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
> freebsd-net :-)
Euh, bz@ et gnn@ n'avaient pas encore mis leur bronx à ce moment là...
Je me demande franchement ce qui leur pose problème à ces deux zozos, il
me semble que tu avais tenu compte des remarques de bz@ concernant les
versions précédentes, non ?
VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:
> Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
> de citer: le fait que les correspondants de tunnels soient parametres
> en "any".
Je viens de faire le rapprochement, ce sont les sections anonymous de
racoon.conf, je ne capte définitivement rien aux interfaces
graphiques...
> Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
> tunnel par correspondant (donc au final un slot avec plein de tunnels
> dedans).
Ben, en fait si, mais j'ai plusieurs sections sainfo avec les réseaux
internes des correspondants.
> Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
> toucher a la configuration de l'ancien....
J'avais déjà tenté, sans succès, mais je viens de voir que c'est juste
parce que je n'avais pas assez attendu, ni forcé la remontée des tunnels
en générant du trafic (infra en production avec une floppée de devs et
de commerciaux prêts à te tomber dessus quand quelque chose ne marche
pas droit, donc je viens de faire les tests, maintenant qu'ils sont tous
rentrés chez eux...)
> Euh, non, on est entre vieux cons de hackers old school, via ssh, en
> copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
> est le numero du slot en question.
Lisible en plus, joli taf, si, si.
> Je vais etre sympa, je vais supposer que tu as redige cette ligne de
> bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
> freebsd-net :-)
Euh, bz@ et gnn@ n'avaient pas encore mis leur bronx à ce moment là...
Je me demande franchement ce qui leur pose problème à ces deux zozos, il
me semble que tu avais tenu compte des remarques de bz@ concernant les
versions précédentes, non ?
VANHULLEBUS Yvan writes:
> Le "tunnel anonyme" correspond en fait a une partie de ce que tu viens
> de citer: le fait que les correspondants de tunnels soient parametres
> en "any".
Je viens de faire le rapprochement, ce sont les sections anonymous de
racoon.conf, je ne capte définitivement rien aux interfaces
graphiques...
> Ok, donc tu ne dois pas etre en tunnel anonyme, mais bien avoir un
> tunnel par correspondant (donc au final un slot avec plein de tunnels
> dedans).
Ben, en fait si, mais j'ai plusieurs sections sainfo avec les réseaux
internes des correspondants.
> Bah tu cliques sur "nouveau tunnel", ca t'ajoute un tunnel sans
> toucher a la configuration de l'ancien....
J'avais déjà tenté, sans succès, mais je viens de voir que c'est juste
parce que je n'avais pas assez attendu, ni forcé la remontée des tunnels
en générant du trafic (infra en production avec une floppée de devs et
de commerciaux prêts à te tomber dessus quand quelque chose ne marche
pas droit, donc je viens de faire les tests, maintenant qu'ils sont tous
rentrés chez eux...)
> Euh, non, on est entre vieux cons de hackers old school, via ssh, en
> copiant au moins le fichier /usr/Firewall/ConfigFiles/VPN/xx, ou xx
> est le numero du slot en question.
Lisible en plus, joli taf, si, si.
> Je vais etre sympa, je vais supposer que tu as redige cette ligne de
> bonne foi, avant les derniers posts du trol^H^H^Hthread en cours sur
> freebsd-net :-)
Euh, bz@ et gnn@ n'avaient pas encore mis leur bronx à ce moment là...
Je me demande franchement ce qui leur pose problème à ces deux zozos, il
me semble que tu avais tenu compte des remarques de bz@ concernant les
versions précédentes, non ?
Yep, c'est effectivement a ca que ca correspond.
Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.
La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!
Donc tout marche bien, maintenant ?
J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)
Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".
C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....
Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...
Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).
Yep, c'est effectivement a ca que ca correspond.
Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.
La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!
Donc tout marche bien, maintenant ?
J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)
Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".
C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....
Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...
Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).
Yep, c'est effectivement a ca que ca correspond.
Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.
La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!
Donc tout marche bien, maintenant ?
J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)
Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".
C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....
Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...
Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).
VANHULLEBUS Yvan writes:
Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...
> La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
> chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
> fasses !!!
Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)
> Donc tout marche bien, maintenant ?
Pour la montée des tunnels, c'est ok.
Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).
> J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
> code dans un coin (pas maintenu et pas embarque par defaut sur les
> boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
> generer un isakmpd.conf ? ;-)
Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?
> Bah la reponse de bz@, ca va encore, c'est juste un truc genre
> "j'aimerais bien faire le review et commiter mais j'ai pas le temps".
>
> C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
> ce coup la ....
C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...
> Je crois que leur probleme principal est exactement celui que j'ai eu
> a une epoque avec ipsec-tools: une volonte forte de tout superviser,
> pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
> cote de ca un cruel manque de temps qui fait que c'est impossible a
> gerer...
Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.
> Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
> trouver d'autres solutions (meme si c'est pas encore parfait, loin de
> la).
À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...
VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:
Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...
> La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
> chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
> fasses !!!
Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)
> Donc tout marche bien, maintenant ?
Pour la montée des tunnels, c'est ok.
Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).
> J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
> code dans un coin (pas maintenu et pas embarque par defaut sur les
> boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
> generer un isakmpd.conf ? ;-)
Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?
> Bah la reponse de bz@, ca va encore, c'est juste un truc genre
> "j'aimerais bien faire le review et commiter mais j'ai pas le temps".
>
> C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
> ce coup la ....
C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...
> Je crois que leur probleme principal est exactement celui que j'ai eu
> a une epoque avec ipsec-tools: une volonte forte de tout superviser,
> pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
> cote de ca un cruel manque de temps qui fait que c'est impossible a
> gerer...
Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.
> Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
> trouver d'autres solutions (meme si c'est pas encore parfait, loin de
> la).
À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...
VANHULLEBUS Yvan writes:
Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...
> La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
> chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
> fasses !!!
Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)
> Donc tout marche bien, maintenant ?
Pour la montée des tunnels, c'est ok.
Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).
> J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
> code dans un coin (pas maintenu et pas embarque par defaut sur les
> boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
> generer un isakmpd.conf ? ;-)
Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?
> Bah la reponse de bz@, ca va encore, c'est juste un truc genre
> "j'aimerais bien faire le review et commiter mais j'ai pas le temps".
>
> C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
> ce coup la ....
C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...
> Je crois que leur probleme principal est exactement celui que j'ai eu
> a une epoque avec ipsec-tools: une volonte forte de tout superviser,
> pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
> cote de ca un cruel manque de temps qui fait que c'est impossible a
> gerer...
Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.
> Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
> trouver d'autres solutions (meme si c'est pas encore parfait, loin de
> la).
À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...
Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D
Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....
Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D
J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".
Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas...
Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)
Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D
Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....
Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D
J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".
Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas...
Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)
Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D
Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....
Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D
J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".
Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas...
Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)