Onglet Rvp : Mettre en place le réseau virtuel privé
Le réseau virtuel privé[1] (RVP) peut être activé au moment de la configuration et de l'instanciation d'un module Amon ou sur des modules Amon déjà en exploitation.
Mise en place du RVP
L'onglet Rvp apparaît après activation du service dans l'onglet Services.
Configuration des tunnels en mode database
Il est possible de choisir le mode de configuration pour strongSwan[2] en modifiant le champ Configuration de strongSwan en mode database.
- en mode database (valeur
oui), la configuration des tunnels strongSwan sera dans le fichier/etc/ipsec.d/ipsec.db - en mode fichier plat (valeur
non), la configuration des tunnels strongSwan sera dans le fichier/etc/ipsec.conf
Cette variable est conditionnée par le mode utilisé sur le serveur Sphynx lors de la génération des fichiers de configurations strongSwan dans ARV. Le serveur Amon doit utiliser le même mode que celui qui a permis de générer les fichiers de configurations strongSwan.
Truc & astuce
Lors d'un changement de mode sur le serveur Sphynx-ARV il n'est pas nécessaire d'intervenir sur les serveurs dont le RVP est déjà en place.
Un serveur Sphynx en mode fichier plat peut communiquer avec un serveur Amon en mode database et inversement.
Accès RVP par le proxy
Pour paramétrer l'accès RVP par le proxy, il faut passer la variable Accès RVP par le proxy à oui.
L'adresse réseau de la zone RVP permet la configuration du proxy Squid pour autoriser ou non, aux postes autres que sur l'interface eth1, l'accès via le VPN à un sous réseau.
Pour ajouter d'autres adresses réseau il faut cliquer sur le bouton +Adresse réseau de la zone RVP.
Paramètres agent Zéphir RVP et diagnose
Le champ Adresses IP à tester dans test-rvp permet de saisir une ou plusieurs adresses IP qui seront utilisées par le diagnose et par l'agent Zéphir pour tester des adresses IP à l'autre extrémité des tunnels.
AGRIATES
Si le serveur est membre d'AGRIATES il faut passer la variable Serveur membre du réseau AGRIATES à oui.
Adresse du DNS permettant de résoudre les in.ac-acad.frpermet de spécifier l'adresse IP du serveur DNS permettant de résoudre les noms de zone AGRIATES (in.ac-académie.fr) ;Nom DNS de la zone résolue par le DNS AGRIATES: permet de spécifier d'autres noms de zones résolues par le DNS AGRIATES.
Application de la configuration et gestion du RVP
Activation du RVP au moment de l'instanciation du serveur Amon
Au lancement de l'instanciation, la question suivante vous est posée :
Voulez-vous configurer le Réseau Virtuel Privé maintenant ? [oui/non]
[non] :
Vous devez répondre oui à cette question.
Deux choix sont alors proposés :
1.Manuel permet de prendre en compte la configuration RVP présente sur une clé USB ;
2.Zéphir active la configuration RVP présente sur le serveur Zéphir. Cela suppose que le serveur est déjà enregistré sur Zéphir. Il sera demandé un compte Zéphir et son code secret ainsi que l'identifiant Zéphir du serveur Sphynx auquel associer le module Amon.
Dans les deux cas, le code secret de la clé privée est demandée. Si le code secret est correct le RVP est configuré pour cette machine et l'instanciation peut se poursuivre...
Activation du RVP sur des modules Amon déjà en exploitation
Pour activer un RVP sur un module Amon déjà instancié, il faut lancer en tant qu'utilisateur root la commande active_rvp init.
Suppression du RVP
Pour supprimer un RVP, il faut lancer en tant qu'utilisateur root la commande active_rvp delete.