Modifications de « ZAC/Yaoundé/IPv6 »

Modifications entre les versions 1 et 11 (s'étendant sur 10 versions)

Sommaire

Usage d'IPv6

Usage d'IPv6

Les développements présentés sur redmine #10712 .

Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local ¹
extrait fichier d'interfaces sur la passerelle

auto eth0.2
iface eth0.2 inet static
        address 192.168.200.2
        netmask 255.255.255.0
        vlan-raw-device eth0
        up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
        up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
        up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
        up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2

# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
        address 10.45.1.1
        netmask 255.255.255.0
        vlan-raw-device eth0
 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20

adressage via radvd . Extrait

#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
interface eth0.30
{
   AdvSendAdvert on;
   RDNSS 2001:4268:1a1:1310::2  {};
   prefix 2001:4268:1a1:1450::/64
   {
   };
};};

éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple

net.ipv6.conf.ethxx.autoconf=0
net.ipv6.conf.ethxx.accept_ra=0

Répartition

On prend notre /52 qu'on découpe en plusieurs /56

Préfixe générique	Réseau	Usage
2001:4268:1a1:1X00::/56	2001:4268:1a1:1100:/56	VOIP
	2001:4268:1a1:1200::/56	RPV_SVR , réseau d'administration
	2001:4268:1a1:1300::/56	DMZ
	2001:4268:1a1:1400::/56	(Usagers: personnel, prof,étudiants)
	2001:4268:1a1:1500::/56	Nomade
	2001:4268:1a1:1600::/56	...
	...	...

A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.
$/!\$ Portail captif de pfSense ne supporte pas (encore) IPv6 ²

Réseau Usagers

Dans chaque réseau on prend le premier /64 disponible...
L'adressage via SLAAC (radvd) partout .

Préfixe générique	Réseau	Usage
2001:4268:1a1:14X0::/60	2001:4268:1a1:1410:/60	Personnel
	2001:4268:1a1:1420::/60	Prof
	2001:4268:1a1:1430::/60	Foad
	2001:4268:1a1:1440::/60	Biblio
	2001:4268:1a1:1450::/60	Formation

Firewall

Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options³ ) C'est pour cela qu'on a ceci dans le script du parefeu

for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done

Reverse DNS

Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails #10476

Extrait de whois -h whois.afrinic.net -d 2001:4268:1a1::/48

% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa'

domain:         1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa
descr:          Reverse DNS for AUF Network
descr:          Yaounde for IPv6
org:            ORG-IA6-AFRINIC
admin-c:        JN1000-AFRINIC
admin-c:        WM11-AFRINIC
tech-c:         JN1000-AFRINIC
tech-c:         WM11-AFRINIC
zone-c:         WM11-AFRINIC
nserver:        ns1.cm.auf.org
mnt-by:         CAMTEL-MNT
mnt-lower:      CAMTEL-MNT
source:         AFRINIC # Filtered

Qos

Une piste intéressante communiquée après discussion sur lartc AT vger.kernel.org est que je dois revoir un de mes filtres de QoS. Au lieu de protocol ip prio 1 qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir all match u32 0 0 !

RFC7404 pour vous édifier à ce propos (1)
Regardez qui avait écrit le premier commentaire pour cette tâche (2)
Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 .
Lire les RFC 4890 et 7084 (3)

-  ⇤ ← Version 1 à la date du 2015-07-15 19:30:57 → 
  Taille: 930
  Éditeur: WillyManga
  Commentaire:
+   ← Version 11 à la date du 2017-01-18 11:54:25 → ⇥
  Taille: 4848
  Éditeur: WillyManga
  Commentaire: mis à jour par le mntner CAMTEL-MNT
-Texte supprimé.
+Texte ajouté.
 Ligne 1:
+<<TableOfContents()>>
-Ligne 3:
+Ligne 4:
-Pour le moment via un tunnel chez [[http://tunnelbroker.net/ | Hurricane Electric]] .
+Les développements présentés sur redmine [[https://redmine.auf.org/issues/10172 | #10712 ]] .
-Ligne 5:
+Ligne 6:
-  * extrait fichier d'interfaces sur la passerelle
+ * Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 . 
 * Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
 * la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local <<FootNote([[http://www.rfc-editor.org/rfc/rfc7404.txt|RFC7404]] pour vous édifier à ce propos )>>

 * extrait fichier d'interfaces sur la passerelle
-Ligne 7:
+Ligne 12:
-auto he-ipv6
iface he-ipv6 inet6 v4tunnel
        address 2001:470:1f08:ebd::2
        netmask 64
        endpoint 216.66.80.26
        local 195.24.196.113
        ttl 255
        gateway 2001:470:1f08:ebd::1
+auto eth0.2
iface eth0.2 inet static
        address 192.168.200.2
        netmask 255.255.255.0
        vlan-raw-device eth0
        up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
        up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
        up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
        up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2
-Ligne 16:
+Ligne 22:
-#VLAN IPv6_1
iface eth0.150 inet6 static
        address 2001:470:1f09:ebd::1
        netmask 64
+# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
        address 10.45.1.1
        netmask 255.255.255.0
-Ligne 21:
+Ligne 29:
+ up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20
-Ligne 23:
+Ligne 34:
- * préfixe mis à disposition 2001:470:1f09:ebd::/64
 * DNS récursif mis à disposition : 2001:470:20::2
 * Quelques entrées AAAA inscrites dans le fichier de zone ...
 * Vlan N° 150 dédié aux tests en IPv6
 * adressage via `radvd`
+ * adressage via `radvd`   . Extrait
{{{
#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
interface eth0.30
{
   AdvSendAdvert on;
   RDNSS 2001:4268:1a1:1310::2  {};
   prefix 2001:4268:1a1:1450::/64
   {
   };
};};

}}}
-Ligne 33:
+Ligne 55:
+=== Répartition ===

 * On prend notre /52 qu'on découpe en plusieurs /56

||Préfixe générique || Réseau || Usage ||
||<|7> 2001:4268:1a1:1X00::/56 ||2001:4268:1a1:1100:/56 || VOIP ||
|| 2001:4268:1a1:1200::/56 ||RPV_SVR , réseau d'administration ||
|| 2001:4268:1a1:1300::/56  || DMZ ||
|| 2001:4268:1a1:1400::/56  ||(Usagers: personnel, prof,étudiants) ||
|| 2001:4268:1a1:1500::/56 || Nomade ||
|| 2001:4268:1a1:1600::/56 || ... ||
|| ... || ... ||

 * {i} A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.

 * /!\ Portail captif de pfSense [[https://redmine.pfsense.org/issues/1831 | ne supporte pas (encore) IPv6 ]] <<FootNote(Regardez qui avait écrit le premier commentaire pour cette tâche ;) )>>

==== Réseau Usagers ====

 * Dans chaque réseau on prend le premier /64 disponible...

 * L'adressage via SLAAC (''radvd'') partout .

||Préfixe générique || Réseau || Usage ||
||<|5> 2001:4268:1a1:14X0::/60 ||2001:4268:1a1:1410:/60 || Personnel ||
|| 2001:4268:1a1:1420::/60 || Prof ||
|| 2001:4268:1a1:1430::/60 || Foad ||
|| 2001:4268:1a1:1440::/60 || Biblio ||
|| 2001:4268:1a1:1450::/60 || Formation ||

=== Firewall ===


 * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
 * laisser passer ICMPv6 partout !!(''ou du moins certaines options''<<FootNote(Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . <<BR>>Lire les RFC [[https://tools.ietf.org/html/rfc4890|4890]] et [[https://tools.ietf.org/html/rfc7084 | 7084]] )>> ) C'est pour cela qu'on a ceci dans le script du parefeu
{{{
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done
}}}

=== Reverse DNS ===

Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails [[https://redmine.auf.org/issues/10476 | #10476]]

 * Extrait de `whois -h whois.afrinic.net -d 2001:4268:1a1::/48`
{{{

% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa'

domain:         1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa
descr:          Reverse DNS for AUF Network
descr:          Yaounde for IPv6
org:            ORG-IA6-AFRINIC
admin-c:        JN1000-AFRINIC
admin-c:        WM11-AFRINIC
tech-c:         JN1000-AFRINIC
tech-c:         WM11-AFRINIC
zone-c:         WM11-AFRINIC
nserver:        ns1.cm.auf.org
mnt-by:         CAMTEL-MNT
mnt-lower:      CAMTEL-MNT
source:         AFRINIC # Filtered
}}}

=== Qos  ===

{i} Une piste intéressante communiquée après discussion sur [[http://www.spinics.net/lists/lartc/msg23445.html | lartc AT vger.kernel.org ]] est que je dois revoir un de mes filtres de QoS. Au lieu de `protocol ip prio 1` qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir `all match u32 0 0` !


----

WikiTeki / Modifications de « ZAC/Yaoundé/IPv6 »

Usage d'IPv6

Répartition

Réseau Usagers

Firewall

Reverse DNS

Qos