.
Le cygne évidement, car c'est un Cygne fort.
Un tunnel IPsec relie les deux serveurs de la Tourmentine afin que ceux-ci échangent en toute confidentialité. Pour ce faire j'utilisais jusqu'à maintenant le démon racoon, issu du très vénérable projet KAME. En me mettant à la recherche d'une sonde de supervision un peu plus complète je me suis rendu compte que racoon n'était non seulement plus développé depuis près de dix ans, mais qu'en plus son utilisation était déconseillée par les auteurs eux-mêmes (en même temps, avec un site chez SourceForge, bon...)
Je suis donc passé sans trop de difficulté à strongSwan, qui outre le support d'IKEv2 (modernité), a le bon goût de disposer d'une sonde Zabbix correspondant parfaitement à mon besoin. Impossible de le faire fonctionner avec la nouvelle interface vici mais bon, de ce que j'en ai vu, tout le monde utilise encore l'ancienne.
J'aurai pu passer à racoon2 à la place (découvert le jour même de la migration) mais j'avoue que la sonde Zabbix a bien penché dans la balance, j'avais un peu la flemme d'en écrire une from scratch. Et puis strongSwan a l'air beaucoup plus complet, et plus abouti (un seul service à lancer au lieu de deux, par exemple). Il est aussi plus aisé de trouver de la doc et des exemples de configuration.
La migration a été sans embûches, merci l'infra-as-code:
- Arrêter l'ancien service
- Lancer le
playbookAnsible créé préalablement et testé sur ma super preprod - Profiter ;)
Prochaine étape: monter un autre tunnel...mais vers ma box internet, pour me débarrasser des multiples tunnels OpenVPN qui encombrent mon réseau local \o/
Ah oui, et, mettre le wiki à jour aussi.
