To content | To menu | To search


Veni, vidi, vici

By n on Tuesday 25 February 2025, 22:44 - Permalink

Comme je le relatais précédemment, il y a un peu plus d'un an j'ai remplacé mon tunnel IPSec vieillissant par une solution toute brillante à base de Cygne fort. Enfin quand je dis toute brillante il restait un petit défaut : devant la masse d'exemples sous ce format (en fait, la quasi-totalité) et après quelques galères, je m'étais résolu à utiliser le plugin "stroke". Malheureusement ce plugin, qui avait l'avantage de rester compatible avec la limpide configuration IPSec, est devenu de plus en plus legacy, strongSwan utilisant par défault le plugin "vici". La dernière version 6.0.0 sortie il y a quelques jours dans les ports FreeBSD vient enfoncer le clou et retire les démons utilisés par le plugin stroke pour démarrer. Il est temps de migrer !

Heureusement les gens de chez strongSwan sont sympas et proposent un joli howto, où ils indiquent un fort pratique script Python pour générer un fichier avec la nouvelle syntaxe \o/

Après deux petites bizarreries (un cipher incorrect généré par le script indiqué plus haut, et un petit problème de pid qui empêchait le nouveau plugin de démarrer), tout fonctionne parfaitement.

Reste à voir si la sonde Zabbix va continuer de fonctionner, en effet pour l'instant je fais un peu le kéké mais je n'ai pas encore déployé sur ma prod, ce sera fait dans les prochains jours.


Edit 27/02 : Les mainteneurs FreeBSD se sont rendu compte que ça avait été un peu violent et ont remis les fichiers manquants dans la version du port, avec cependant comme message :

Note that strongSwan has deprecated the stroke management interface for years, and it is recommended to migrate the configuration to vici before it is removed.

Heureusement de mon côté la moitié du boulot a été fait, reste plus qu'à inspirer un grand coup et passer en prod 😉


Edit 28/02 : C'est en prod. Ça n'a pas été superfluide, si vous rencontrez comme moi l'erreur suivante :

connecting to 'unix:///var/run/charon.ctl' failed: Connection refused                                                        
Error: connecting to 'unix:///var/run/charon.ctl' URI failed: Connection refused

Il faut stopper strongSwan, tuer le process charon avec un petit pkill charon, supprimer tous les fichiers /var/run/charon.*, puis relancer le service. C'est un peu sale mais ça marche. "Vici" comme disait Jules !

Billets connexes

Add a comment

Comments can be formatted using a simple wiki syntax.

This post's comments feed