Onglet Rvp : Mettre en place le réseau virtuel privé
Le réseau virtuel privé[1] (RVP) peut être activé au moment de la configuration et de l'instanciation d'un module Amon ou sur un module Amon déjà en exploitation.
Mise en place du RVP
L'onglet Rvp
apparaît après activation du service dans l'onglet Services
.
Configuration des tunnels
Attention
Le mode VPN database n'est plus supporté et n'est plus disponible à partir de la version 2.5.1 du module Amon. La configuration des tunnels s'effectue d'office en mode fichier plat.
Attention
À l'occasion de la mise en place d'un nouveau tunnel avec un serveur Sphynx inférieur à la version EOLE 2.5, il faudra impérativement configurer ce serveur Sphynx en mode database à non.
Accès RVP par le proxy
Pour paramétrer l'accès RVP par le proxy, il faut passer la variable Accès RVP par le proxy
à oui
.
L'adresse réseau de la zone RVP permet la configuration du proxy Squid pour autoriser ou non, aux postes autres que sur l'interface 1, l'accès via le VPN à un sous réseau.
Pour ajouter d'autres adresses réseau, il faut cliquer sur le bouton +Adresse réseau de la zone RVP
.
Paramètres agent Zéphir RVP et diagnose
Le champ Adresses IP à tester dans test-rvp
permet de saisir une ou plusieurs adresses IP qui seront utilisées par le diagnose et par l'agent Zéphir pour tester des adresses IP à l'autre extrémité des tunnels.
AGRIATES
Si le serveur est membre d'AGRIATES[2] il faut passer la variable Serveur membre du réseau AGRIATES
à oui
.
Adresse du DNS permettant de résoudre les in.ac-acad.fr
permet de spécifier l'adresse IP du serveur DNS permettant de résoudre les noms de zone AGRIATES (in.ac-académie.fr) ;Nom DNS de la zone résolue par le DNS AGRIATES
: permet de spécifier d'autres noms de zones résolues par le DNS AGRIATES.
Paramètres propres au mode expert
Le mode Expert permet de personnaliser le fonctionnement de strongSwan[3].
Forcer l'encapsulation (Détection NAT)
, si la valeur est à oui
, cela force la socket UDP/4500 pour l'établissement des connexions. Si la valeur est à non
, le socket est fixé à UDP/500 sauf s'il y a détection de NAT (UDP/4500).
Autoriser le changement d'adresse IP d'une extrémité de connexion
(MOBIKE IKEv2 extension - RFC 4555) permet à une extrémité de changer d'adresse IP pour une connexion donnée. Dans ce cas, la connexion se fera toujours sur UDP/4500.
Paramètres strongSwan
Nombre d'essais de retransmission avant Dead Peer Detection
indique à strongSwan le nombre d'essais de reconnexion avant l'abandon.
Timeout pour le process stroke
permet de fixer le nombre de millisecondes avant l'arrêt forcé de processus qui se seraient figés.
Remarque
La variable Configuration des tunnels en mode database
n'est plus disponible dans la version 2.5 d'EOLE, ce mode a été supprimé au profit du mode fichier plat.
Gestion des Routes VPN
Gestion des routes par strongSwan
permet si la valeur est passée à non
de faire gérer la mise en place des routes concernant les tunnels par un script.
Exemple, dans notre cas et sur le module Amon uniquement :
/etc/ipsec.d/ipsec_updown
Forcer l'adresse IP source de l'interface
permet de forcer l'adresse IP que le serveur utilisera pour entrer dans les tunnels. Cette option est utilisée sur les serveur Amon afin d'éviter qu'ils utilisent aléatoirement l'adresse IP de l'une de ses interfaces lorsqu'ils passent dans un tunnel.
Gestion des threads
Nombre de threads disponibles pour strongSwan
permet d'allouer un nombre de fils d'exécution maximum pour ses différentes tâches. Une valeur trop petite peut entraîner des mises en file d'attente importantes.
Nombre de threads à réserver pour les jobs HIGH priority
réserve une nombre de fils d'exécution minimum pour les tâches HIGH priority (ipsec stroke et DPD). La valeur 1
ou 2
maximum est idéale.
Nombre de threads à réserver pour les jobs MEDIUM priority
réserve une nombre de fils d'exécution minimum pour les tâches MEDIUM priority (Initialisation de connexion entre autres).
Gestion de la fragmentation
Taille maximum d'un fragment IKE
: valeur utilisée par strongSwan si la configuration IPSec est générée dans ARV avec l'activation de la fragmentation IKE ;
MSS à positionner sur les routes (0 pour désactiver)
: valeur MSS[4] à positionner sur les routes (indépendant de la fragmentation IKE) ;
MTU à positionner sur les routes (0 pour désactiver)
: valeur MTU[5] à positionner sur les routes (indépendant de la fragmentation IKE).
Paramètres IPsec
Contrôle du status des certificats dans la CRL
: active ou non la vérification de la validité d'un certificat dans la liste de révocation (CRL[6]) ;
Forcer l'encapsulation (Détection NAT)
:
- UDP/500 si valeur est à
non
et qu'il n'y a pas de NAT détecté ; - UDP/4500 si valeur à
non
et qu'il y a du NAT détecté ou si valeur àoui
.
Autoriser le changement d'adresse IP d'une extrémité de connexion
:
- UDP/500 si valeur est à
non
; - UDP/4500 si valeur est à
oui
.
Application de la configuration et gestion du RVP
Activation du RVP au moment de l'instanciation du serveur Amon
Au lancement de l'instanciation, la question suivante vous est posée :
Voulez-vous configurer le Réseau Virtuel Privé maintenant ? [oui/non]
[non] :
Vous devez répondre oui
à cette question.
Deux choix sont alors proposés :
1.Manuel
permet de prendre en compte la configuration RVP présente sur une clé USB ;
2.Zéphir
active la configuration RVP présente sur le serveur Zéphir. Cela suppose que le serveur est déjà enregistré sur Zéphir. Il sera demandé un compte Zéphir et son code secret ainsi que l'identifiant Zéphir du serveur Sphynx auquel associer le module Amon.
Dans les deux cas, le code secret de la clé privée est demandée. Si le code secret est correct le RVP est configuré pour cette machine et l'instanciation peut se poursuivre...
Activation du RVP sur des modules Amon déjà en exploitation
Pour activer un RVP sur un module Amon déjà instancié, il faut lancer en tant qu'utilisateur root
la commande active_rvp init.
Suppression du RVP
Pour supprimer un RVP, il faut lancer en tant qu'utilisateur root
la commande active_rvp delete.