Sommaire

  1. Mise en place
    1. Adressage du RPV
      1. Calcul du pays
    2. Connexion du réseau local au RPV via Netopia (OBSOLÈTE)
    3. Connexion du réseau local au RPV via pipsecd (OBSOLÈTE)
    4. Connexion du réseau local au RPV via ipsec-tools (IPsec natif)
    5. Connexion directe d'un poste client au RPV
    6. Résolution DNS sur le RPV
    7. Serveur mandataire (proxy) pour le web

Le premier RPV (Réseau Privé Virtuel) de l'AuF a été mis en place très (trop) rapidement afin de répondre à un besoin urgent : le Projet/Reflets.

Notez qu'une reflexion est engagée pour refondre ce RPV afin de le rendre pleinement utilisable : voir le Projet/RPVv2.

Mise en place

Ce projet a consisté en la mise en place de liaisons sécurisées (avec la technologie IPsec) entre chaque implantation de l'AuF et le nœœud central à Montréal. Cette mise en place s'est tout d'abord faite avec du matériel dédié (RouteurNetopia R9100) afin qu'elle soit la plus rapide possible (objectif d'urgence). Par la suite, dès l'année suivante, une solution logicielle a été étudiée (pipsecd) afin de remplacer ce matériel qui ne répondait pas pleinement à nos besoins (problèmes de MTU impossible à gérer et haute sensibilité aux pannes électriques). Il s'est également avéré que dans certains cas précis une connexion directe d'un poste client au RPV était préférable, voir indispensable.

Adressage du RPV

Étant donné l'envergure de notre réseau, nous avons choisi un adressage adapté, basé sur le réseau privé 10.0.0.0/8 (soit la plage d'adresses IP allant de 10.0.0.0 à 10.255.255.255) permettant potentiellement de gérer plus de 16 millions de machines. J'ai (ProgFou) proposé un adressage découpé géographiquement (sur le modèle d'Internet) : 10.''pays''.''implantation''.''machine''. La gestion du réseau d'un pays étant déléguée à l'administrateur réseau local. Il y a toutefois eu un premier consensus, grandement facilité par la pré-configuration de chaque RouteurNetopia envoyé, sur l'attribution du numéro d'implantation dans un pays : par défaut le numéro 1 pour la première implantation. Le cas des pays avec plusieurs implantations, en particulier distantes géographiquement comme au Vietnam, m'a (ProgFou) amené à effectuer un découpage plus fin (par dychotomie) sur le numéro d'implantation. Le fait d'avoir des serveurs commun à plusieurs implantations du même pays m'a également ammené à utiliser le numéro 0 pour une dorsale de plusieurs implantations

Calcul du pays

Afin de couper court aux débats nous avons choisit de prendre comme valeur de ''pays'' l'index du pays dans la table ISO-3166. À l'époque où nous avons fait ce choix, nous n'avions pas fait attention au fait que cette table est en constante évolution. Notre table de référence est probablement (à vérifier) la version du 1er février 2002, en tous cas c'est une version avant celle du 15 novembre 2002. Vous devrez donc visiter la page ISO3166v2002 pour toute référence concernant ce RPV. J'insiste sur le fait que cette table doit rester notre unique référence en attendant d'en choisir officiellement une autre ; ne pas se conformer à cette règle créerait un risque de collision entre nos identifiants de réseaux...

Connexion du réseau local au RPV via Netopia (OBSOLÈTE)

Le Netopia est en fait un routeur avec support IPsec, qui se présente sous la forme d'une boîte bleue-foncée avec essentiellement : un port console, 2 prises WAN et un mini-hub 8 ports 10 Mbps half-duplex. Il est envoyé dans l'implantation pré-configuré afin de permettre à une personne avec peu de compétence technique (voir sans, dans le pire des cas) de faire l'installation. Voir la page du RouteurNetopia pour plus d'informations sur sa configuration.

Connexion du réseau local au RPV via pipsecd (OBSOLÈTE)

Voir la page du logiciel pipsecd pour plus d'informations sur sa configuration.

Connexion du réseau local au RPV via ipsec-tools (IPsec natif)

Voir la page /Migration2ipsectools pour plus d'informations sur la bascule vers cette méthode depuis une installation pipsecd.

Connexion directe d'un poste client au RPV

Résolution DNS sur le RPV

Le RPV étant - comme son nom l'indique - un réseau privé, ses adresses ne sont (en principe) pas visibles depuis Internet (non routables), de même pour les noms de machines sur le RPV. Afin de pouvoir tout de même profiter du système DNS sur le RPV, nous avons créé une zone .auf, hébergée à Montréal (serveur 10.36.0.9), qui correspond au réseau 10.0.0.0/8.

Note : afin d'optimiser le traffic réseau sur le RPV, il est conseillé d'installer un serveur DNS local esclave de la zone .auf de Montréal.

Serveur mandataire (proxy) pour le web

S'il y a un proxy pour le réseau local mais qu'il n'est pas relié au RPV, il faudra alors ajouter des exceptions de proxy dans la configuration du navigateur web :

{i} Note : attention dans ce cas à autoriser l'accès direct au web sur le RPV dans les filtrages du pare-feu

Projet/RPV (dernière édition le 2014-10-16 18:45:49 par JeanChristopheAndré)