Gestion des tunnels : RVP
Pré-requis
Le réseau virtuel privé (RVP)[1] est activé au moment de la configuration et de l'instanciation du module.
Sur le module Amon, il faut au préalable avoir activé et configuré le réseau virtuel privé dans l'interface de configuration du module. Sur le module Sphynx, ce paramètre est forcé et n'apparaît pas.
Le mode de configuration de strongSwan (database ou fichier plat) doit être le même que sur le serveur ARV qui a généré la configuration IPsec.
ARV[2] permet de gérer les RVP de plusieurs serveurs Sphynx. Un serveur Sphynx autre que le serveur Sphynx-ARV sera appelé Sphynx distant. Sur un serveur de ce type, la mise en place du RVP se fera comme sur un serveur Amon.
Activation du RVP au moment de l'installation du serveur Amon
La configuration du Réseau Virtuel Privé peut se faire avec un serveur Zéphir ou manuellement.
Dans le cas d'une configuration manuelle il faut préparer la configuration avant l'instanciation :
- copier le répertoire
/home/data/vpn/<UAI>/<UAI>-amon.tar.gz
présent sur le module Sphynx sur le module Amon dans/tmp/sphynx.tar.gz
; - sur le module Amon créer le répertoire
ConfIpsec
:# mkdir -p /root/tmp/ConfIpsec
; - se rendre dans le répertoire
/root/tmp/ConfIpsec
:# cd /root/tmp/ConfIpsec
; - désarchiver sphynx.tar.gz :
# tar xzf /tmp/sphynx.tar.gz
Au lancement de la première instanciation, la question suivante vous sera posée :
Voulez-vous configurer le Réseau Virtuel Privé maintenant ? [oui/non]
[non] :
Vous devez répondre oui
à cette question.
Puis le choix 1.Manuel
ou 2.Zéphir
est proposé.
Le choix
1.Manuel
permet de prendre en compte la configuration RVP présente sur le serveur, attention cette opération doit être effectuée avant d'exécuter l'instanciation ;
Le choix
2.Zéphir
active la configuration RVP présente sur le serveur Zéphir. Cela suppose que le serveur est déjà enregistré sur le serveur Zéphir. Il sera demandé un utilisateur et mot de passe Zéphir et l'identifiant Zéphir du serveur Sphynx.
Dans les deux cas, la phrase de passe (passphrase) de la clé privée est demandée. Si le mot de passe est correct le RVP est configuré pour cette machine et l'instanciation peut se poursuivre...
Commandes
Activation du RVP sur des modules Amon déjà en exploitation
Pour activer un RVP sur un module Amon déjà instancié, il faut lancer en tant qu'utilisateur root
la commande active_rvp init.
Attention
Lors de cette phase de configuration du VPN sur Amon, les tunnels peuvent se couper dans les secondes qui suivent et dans certaines circonstances uniquement. Le problème est corrigé à partir de la version strongSwan 5.5.0 qui n'est pas disponible sur cette version d'EOLE.
Toutefois, le problème est très ponctuel et les tunnels seront relancés automatiquement par l'agent Zéphir assez rapidement.
Suppression du RVP
Pour supprimer un RVP, il faut lancer en tant qu'utilisateur root
la commande active_rvp delete.
Gestion du service
Les opérations du service rvp ont été intégrées dans le service strongswan, il faut donc l'utiliser en remplacement :
root@amon:~# service strongswan start
et
root@amon:~# service strongswan stop