Gestion des tunnels : RVP

Pré-requis

Le réseau virtuel privé (RVP)[1] est activé au moment de la configuration et de l'instanciation du module.

Sur le module Amon, il faut au préalable avoir activé et configuré le réseau virtuel privé dans l'interface de configuration du module. Sur le module Sphynx, ce paramètre est forcé et n'apparaît pas.

Le mode de configuration de strongSwan (database ou fichier plat) doit être le même que sur le serveur ARV qui a généré la configuration IPsec.

ARV[2] permet de gérer les RVP de plusieurs serveurs Sphynx. Un serveur Sphynx autre que le serveur Sphynx-ARV sera appelé Sphynx distant. Sur un serveur de ce type, la mise en place du RVP se fera comme sur un serveur Amon.

Activation du RVP au moment de l'installation du serveur Amon

La configuration du Réseau Virtuel Privé peut se faire avec un serveur Zéphir ou manuellement.

Dans le cas d'une configuration manuelle il faut préparer la configuration avant l'instanciation :

  • copier le répertoire /home/data/vpn/<UAI>/<UAI>-amon.tar.gz présent sur le module Sphynx sur le module Amon dans /tmp/sphynx.tar.gz ;
  • sur le module Amon créer le répertoire ConfIpsec : # mkdir -p /root/tmp/ConfIpsec ;
  • se rendre dans le répertoire /root/tmp/ConfIpsec : # cd /root/tmp/ConfIpsec ;
  • désarchiver sphynx.tar.gz : # tar xzf /tmp/sphynx.tar.gz

Au lancement de la première instanciation, la question suivante vous sera posée :

Voulez-vous configurer le Réseau Virtuel Privé maintenant ? [oui/non]

[non] :

Vous devez répondre oui à cette question.

Puis le choix 1.Manuel ou 2.Zéphir est proposé.

  • Le choix 1.Manuel permet de prendre en compte la configuration RVP présente sur le serveur, attention cette opération doit être effectuée avant d'exécuter l'instanciation ;

  • Le choix 2.Zéphir active la configuration RVP présente sur le serveur Zéphir. Cela suppose que le serveur est déjà enregistré sur le serveur Zéphir. Il sera demandé un utilisateur et mot de passe Zéphir et l'identifiant Zéphir du serveur Sphynx.

Dans les deux cas, la phrase de passe (passphrase) de la clé privée est demandée. Si le mot de passe est correct le RVP est configuré pour cette machine et l'instanciation peut se poursuivre...

Commandes

Activation du RVP sur des modules Amon déjà en exploitation

Pour activer un RVP sur un module Amon déjà instancié, il faut lancer en tant qu'utilisateur root la commande active_rvp init.

Attention

Lors de cette phase de configuration du VPN sur Amon, les tunnels peuvent se couper dans les secondes qui suivent et dans certaines circonstances uniquement. Le problème est corrigé à partir de la version strongSwan 5.5.0 qui n'est pas disponible sur cette version d'EOLE.

Toutefois, le problème est très ponctuel et les tunnels seront relancés automatiquement par l'agent Zéphir assez rapidement.

Suppression du RVP

Pour supprimer un RVP, il faut lancer en tant qu'utilisateur root la commande active_rvp delete.

Gestion du service

Les opérations du service rvp ont été intégrées dans le service strongswan, il faut donc l'utiliser en remplacement :

root@amon:~# service strongswan start

et

root@amon:~# service strongswan stop