Eric Masson <emss@free.fr> writes:

VANHULLEBUS Yvan <vanhu@nospam_free.fr> writes:

[...]

Ben, je n'ai pas vraiment le choix, c'est une config dont j'hérite...

La tes correspondants ont tous des IPs fixes, donc tu peux leur faire
chacun leur conf de tunnel autonome, il vaut vraiment mieux que tu le
fasses !!!

Je vais en causer à l'admin réseaux en titre, en lui expliquant que
c'est quelqu'un qui connait particulièrement bien les NetASQ qui le
conseille ;)

Voila :-)
Tu peux meme preciser "quelqu'un qui connait plutot pas trop mal la
partie IPSec sur les NETASQ" :-D

Donc tout marche bien, maintenant ?

Pour la montée des tunnels, c'est ok.

Par contre, je tourne en double adressage (une plage que m'affecte le
partenaire) et j'ai des soucis de trafic, cela doit probablement être un
souci de filtrage (les règles sont un poil touffues & brouillon dans la
conf existante).

Mouais... D'un pur point de vue IPSec, tant que tu t'emmeles pas les
pinceaux dans les plans d'adressages, ca doit marcher....

J'arrive a te faire baver si je te dis que j'ai meme un vieux bout de
code dans un coin (pas maintenu et pas embarque par defaut sur les
boitiers, cherche pas :-) qui sait, a partir de ce fichier de conf, te
generer un isakmpd.conf ? ;-)

Tu avais envisagé l'utilisation d'isakmpd plutôt que de racoon ?

Y'a longtemps (on etait encore au "racoon de chez KAME" a l'epoque),
et je tiens a preciser qu'on etait bourres ce soir la :-D

Bah la reponse de bz@, ca va encore, c'est juste un truc genre
"j'aimerais bien faire le review et commiter mais j'ai pas le temps".

C'est plus George qui aurait peut etre mieux fait de s'abstenir, sur
ce coup la ....

C'est pénible cette histoire, le code existe depuis pas mal de temps et
Free est le dernier unix libre à ne pas disposer officiellement du
support NATT...

J'ai eu une suite de discussion privee avec Georges, il se pourrait
bien que finalement, on aie droit a un "happy end"....
Un peu trop tot pour deboucher le champomy, mais je le mets au frais
"au cas ou".

Je crois que leur probleme principal est exactement celui que j'ai eu
a une epoque avec ipsec-tools: une volonte forte de tout superviser,
pour s'assurer qu'aucune connerie ne rentre dans le repository, mais a
cote de ca un cruel manque de temps qui fait que c'est impossible a
gerer...

Des tests de régression automatisés ne seraient pas possibles ?
Cela permettrait d'être sûr que les modifications touchant ce
sous-système ne mettent pas le bronx.

Bah si, et meme qu'on en a deja ici :-)
Mais pas sur un FreeBSD "d'origine", et faut aussi etre lucide sur le
fait que ce genre de tests ne suffit pas....

Sauf que moi, a un moment, j'ai su admettre ce manque de temps et
trouver d'autres solutions (meme si c'est pas encore parfait, loin de
la).

À leur décharge, il faut reconnaitre que ça ne se bouscule pas au
portillon pour maintenir ce sous-système...

C'est pas faux :-)


Laissons les discussions privees continuer un peu, on verra ce que ca
va donner ;-)


A +

VANHU.