<> Le premier [[RPV]] (''Réseau Privé Virtuel'') de l'AuF a été mis en place très (trop) rapidement afin de répondre à un besoin urgent : le [[Projet/Reflets]]. Notez qu'une reflexion est engagée pour refondre ce [[RPV]] afin de le rendre pleinement utilisable : voir le [[Projet/RPVv2]]. == Mise en place == Ce projet a consisté en la mise en place de liaisons sécurisées (avec la technologie IPsec) entre chaque implantation de l'AuF et le nœœud central à Montréal. Cette mise en place s'est tout d'abord faite avec du matériel dédié ([[RouteurNetopia]] R9100) afin qu'elle soit la plus rapide possible (objectif d'urgence). Par la suite, dès l'année suivante, une solution logicielle a été étudiée ([[pipsecd]]) afin de remplacer ce matériel qui ne répondait pas pleinement à nos besoins (problèmes de MTU impossible à gérer et haute sensibilité aux pannes électriques). Il s'est également avéré que dans certains cas précis une connexion directe d'un poste client au [[RPV]] était préférable, voir indispensable. === Adressage du RPV === Étant donné l'envergure de notre réseau, nous avons choisi un adressage adapté, basé sur le réseau privé `10.0.0.0/8` (soit la plage d'adresses IP allant de `10.0.0.0` à `10.255.255.255`) permettant potentiellement de gérer plus de 16 millions de machines. J'ai ([[ProgFou]]) proposé un adressage découpé géographiquement (sur le modèle d'Internet) : `10.''pays''.''implantation''.''machine''`. La gestion du réseau d'un pays étant déléguée à l'administrateur réseau local. Il y a toutefois eu un premier consensus, grandement facilité par la pré-configuration de chaque [[RouteurNetopia]] envoyé, sur l'attribution du numéro d'implantation dans un pays : par défaut le numéro `1` pour la première implantation. Le cas des pays avec plusieurs implantations, en particulier distantes géographiquement comme au Vietnam, m'a ([[ProgFou]]) amené à effectuer un découpage plus fin (par dychotomie) sur le numéro d'implantation. Le fait d'avoir des serveurs commun à plusieurs implantations du même pays m'a également ammené à utiliser le numéro `0` pour une dorsale de plusieurs implantations ==== Calcul du pays ==== Afin de couper court aux débats nous avons choisit de prendre comme valeur de `''pays''` l'index du pays dans la table `ISO-3166`. À l'époque où nous avons fait ce choix, nous n'avions pas fait attention au fait que cette table est en constante évolution. Notre table de référence est probablement (à vérifier) la version du 1er février 2002, en tous cas c'est une version avant celle du 15 novembre 2002. Vous devrez donc visiter la page [[ISO3166v2002]] pour toute référence concernant ce [[RPV]]. J'insiste sur le fait que cette table doit rester notre '''unique''' référence en attendant d'en choisir officiellement une autre ; ne pas se conformer à cette règle créerait un risque de collision entre nos identifiants de réseaux... === Connexion du réseau local au RPV via Netopia (OBSOLÈTE) === Le Netopia est en fait un routeur avec support IPsec, qui se présente sous la forme d'une boîte bleue-foncée avec essentiellement : un port console, 2 prises WAN et un mini-hub 8 ports 10 Mbps ''half-duplex''. Il est envoyé dans l'implantation pré-configuré afin de permettre à une personne avec peu de compétence technique (voir sans, dans le pire des cas) de faire l'installation. Voir la page du [[RouteurNetopia]] pour plus d'informations sur sa configuration. === Connexion du réseau local au RPV via pipsecd (OBSOLÈTE) === Voir la page du logiciel [[pipsecd]] pour plus d'informations sur sa configuration. === Connexion du réseau local au RPV via ipsec-tools (IPsec natif) === Voir la page [[/Migration2ipsectools]] pour plus d'informations sur la bascule vers cette méthode depuis une installation pipsecd. === Connexion directe d'un poste client au RPV === === Résolution DNS sur le RPV === Le RPV étant - comme son nom l'indique - un réseau privé, ses adresses ne sont (en principe) pas visibles depuis Internet (non routables), de même pour les noms de machines sur le RPV. Afin de pouvoir tout de même profiter du système DNS sur le RPV, nous avons créé une zone `.auf`, hébergée à Montréal (serveur `10.36.0.9`), qui correspond au réseau `10.0.0.0/8`. ''Note : afin d'optimiser le traffic réseau sur le RPV, il est conseillé d'installer un serveur DNS local esclave de la zone `.auf` de Montréal.'' <> === Serveur mandataire (proxy) pour le web === S'il y a un proxy pour le réseau local mais qu'il n'est pas relié au [[RPV]], il faudra alors ajouter des exceptions de proxy dans la configuration du navigateur web : * Netscape : indiquer une exception pour `.auf` * MS-Internet Explorer : indiquer une exception pour `*.auf` {i} ''Note : attention dans ce cas à autoriser l'accès direct au web sur le RPV dans les filtrages du pare-feu''