VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:

'Lut,

Yep, c'est effectivement a ca que ca correspond.

Ok.

Ouhlala, un seul tunnel anonyme pour agglutiner tous tes
correspondants heterogenes, c'est pas un bon plan, ca, et ca n'est a
faire que pour les cas ou tu n'as vraiment vraiment pas le choix.

Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...

La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!

Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)

Donc tout marche bien, maintenant ?

Pour la montée des tunnels, c'est ok.

Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).

J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)

Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?

Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".

C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....

C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...

Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...

Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.

Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).

À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...

Éric. Et non, je n'ai pas le niveau pour aller jouer là dedans ;)

--
 Discuter tranquillement avec Michel Guillou???
 Je n'ai JAMAIS vu quelqu'un de plus *facho* que ce type. C'est
 écoeurant.
 -+- Rocou In GNU - T'as l'adresse des FFL, c'est pour écrire -+-