|
Taille: 1556
Commentaire: double-pile en salle de formation à partir de ce jour
|
← Version 11 à la date du 2017-01-18 11:54:25 ⇥
Taille: 4848
Commentaire: mis à jour par le mntner CAMTEL-MNT
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| <<TableOfContents()>> | |
| Ligne 3: | Ligne 4: |
| Pour le moment via un tunnel chez [[http://tunnelbroker.net/ | Hurricane Electric]] . | Les développements présentés sur redmine [[https://redmine.auf.org/issues/10172 | #10712 ]] . |
| Ligne 5: | Ligne 6: |
| * extrait fichier d'interfaces sur la passerelle | * Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 . * Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52 * la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local <<FootNote([[http://www.rfc-editor.org/rfc/rfc7404.txt|RFC7404]] pour vous édifier à ce propos )>> * extrait fichier d'interfaces sur la passerelle |
| Ligne 7: | Ligne 12: |
| auto he-ipv6 iface he-ipv6 inet6 v4tunnel address 2001:470:1f08:ebd::2 netmask 64 endpoint 216.66.80.26 local 195.24.196.113 ttl 255 gateway 2001:470:1f08:ebd::1 #VLAN IPv6_1 (réseau uniquement IPv6) iface eth0.150 inet6 static address 2001:470:1f09:ebd::1 netmask 64 vlan-raw-device eth0 #VLAN Formation (double-pile) auto eth0.30 iface eth0.30 inet static address 192.168.30.254 |
auto eth0.2 iface eth0.2 inet static address 192.168.200.2 |
| Ligne 28: | Ligne 17: |
| up ip -6 addr add 2001:470:6af5:1::254/64 dev eth0.30 down ip -6 addr del 2001:470:6af5:1::254/64 dev eth0.30 |
up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113 up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254 up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2 up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2 # Vlan personnel # v6 CAMTEL 2001:4268:1a1:1410::/64 auto eth0.20 iface eth0.20 inet static address 10.45.1.1 netmask 255.255.255.0 vlan-raw-device eth0 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20 |
| Ligne 32: | Ligne 34: |
| * préfixes mis à disposition : * 2001:470:1f09:ebd::/64 * 2001:470:6af5::/48 * DNS récursif mis à disposition : 2001:470:20::2 , 2001:470:20::3 * Quelques entrées AAAA inscrites dans le fichier de zone ... * adressage via `radvd` |
* adressage via `radvd` . Extrait |
| Ligne 39: | Ligne 36: |
| interface eth0.150 { AdvSendAdvert on; RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {}; prefix 2001:470:1f09:ebd::/64 { }; }; |
#salle formation #v6 CAMTEL # 2001:4268:1a1:1450::/64 |
| Ligne 51: | Ligne 42: |
| RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {}; prefix 2001:470:6af5:1::/64 |
RDNSS 2001:4268:1a1:1310::2 {}; prefix 2001:4268:1a1:1450::/64 |
| Ligne 55: | Ligne 46: |
| }; | };}; |
| Ligne 57: | Ligne 49: |
| Ligne 62: | Ligne 55: |
=== Répartition === * On prend notre /52 qu'on découpe en plusieurs /56 ||Préfixe générique || Réseau || Usage || ||<|7> 2001:4268:1a1:1X00::/56 ||2001:4268:1a1:1100:/56 || VOIP || || 2001:4268:1a1:1200::/56 ||RPV_SVR , réseau d'administration || || 2001:4268:1a1:1300::/56 || DMZ || || 2001:4268:1a1:1400::/56 ||(Usagers: personnel, prof,étudiants) || || 2001:4268:1a1:1500::/56 || Nomade || || 2001:4268:1a1:1600::/56 || ... || || ... || ... || * {i} A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement. * /!\ Portail captif de pfSense [[https://redmine.pfsense.org/issues/1831 | ne supporte pas (encore) IPv6 ]] <<FootNote(Regardez qui avait écrit le premier commentaire pour cette tâche ;) )>> ==== Réseau Usagers ==== * Dans chaque réseau on prend le premier /64 disponible... * L'adressage via SLAAC (''radvd'') partout . ||Préfixe générique || Réseau || Usage || ||<|5> 2001:4268:1a1:14X0::/60 ||2001:4268:1a1:1410:/60 || Personnel || || 2001:4268:1a1:1420::/60 || Prof || || 2001:4268:1a1:1430::/60 || Foad || || 2001:4268:1a1:1440::/60 || Biblio || || 2001:4268:1a1:1450::/60 || Formation || === Firewall === * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales * laisser passer ICMPv6 partout !!(''ou du moins certaines options''<<FootNote(Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . <<BR>>Lire les RFC [[https://tools.ietf.org/html/rfc4890|4890]] et [[https://tools.ietf.org/html/rfc7084 | 7084]] )>> ) C'est pour cela qu'on a ceci dans le script du parefeu {{{ for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem' do $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT done }}} === Reverse DNS === Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails [[https://redmine.auf.org/issues/10476 | #10476]] * Extrait de `whois -h whois.afrinic.net -d 2001:4268:1a1::/48` {{{ % Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa' domain: 1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa descr: Reverse DNS for AUF Network descr: Yaounde for IPv6 org: ORG-IA6-AFRINIC admin-c: JN1000-AFRINIC admin-c: WM11-AFRINIC tech-c: JN1000-AFRINIC tech-c: WM11-AFRINIC zone-c: WM11-AFRINIC nserver: ns1.cm.auf.org mnt-by: CAMTEL-MNT mnt-lower: CAMTEL-MNT source: AFRINIC # Filtered }}} === Qos === {i} Une piste intéressante communiquée après discussion sur [[http://www.spinics.net/lists/lartc/msg23445.html | lartc AT vger.kernel.org ]] est que je dois revoir un de mes filtres de QoS. Au lieu de `protocol ip prio 1` qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir `all match u32 0 0` ! ---- |
Usage d'IPv6
Les développements présentés sur redmine #10712 .
- Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
- Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local 1
- extrait fichier d'interfaces sur la passerelle
auto eth0.2
iface eth0.2 inet static
address 192.168.200.2
netmask 255.255.255.0
vlan-raw-device eth0
up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2
# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
address 10.45.1.1
netmask 255.255.255.0
vlan-raw-device eth0
up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20adressage via radvd . Extrait
#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
interface eth0.30
{
AdvSendAdvert on;
RDNSS 2001:4268:1a1:1310::2 {};
prefix 2001:4268:1a1:1450::/64
{
};
};};éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple
net.ipv6.conf.ethxx.autoconf=0 net.ipv6.conf.ethxx.accept_ra=0
Répartition
- On prend notre /52 qu'on découpe en plusieurs /56
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:1X00::/56 |
2001:4268:1a1:1100:/56 |
VOIP |
2001:4268:1a1:1200::/56 |
RPV_SVR , réseau d'administration |
|
2001:4268:1a1:1300::/56 |
DMZ |
|
2001:4268:1a1:1400::/56 |
(Usagers: personnel, prof,étudiants) |
|
2001:4268:1a1:1500::/56 |
Nomade |
|
2001:4268:1a1:1600::/56 |
... |
|
... |
... |
A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement. ![/!\](/static/gugiel/img/alert.png "/!\")
Portail captif de pfSense ne supporte pas (encore) IPv6 2
Réseau Usagers
- Dans chaque réseau on prend le premier /64 disponible...
L'adressage via SLAAC (radvd) partout .
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:14X0::/60 |
2001:4268:1a1:1410:/60 |
Personnel |
2001:4268:1a1:1420::/60 |
Prof |
|
2001:4268:1a1:1430::/60 |
Foad |
|
2001:4268:1a1:1440::/60 |
Biblio |
|
2001:4268:1a1:1450::/60 |
Formation |
Firewall
- Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options3 ) C'est pour cela qu'on a ceci dans le script du parefeu
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
$IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
$IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done
Reverse DNS
Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails #10476
Extrait de whois -h whois.afrinic.net -d 2001:4268:1a1::/48
% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa' domain: 1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa descr: Reverse DNS for AUF Network descr: Yaounde for IPv6 org: ORG-IA6-AFRINIC admin-c: JN1000-AFRINIC admin-c: WM11-AFRINIC tech-c: JN1000-AFRINIC tech-c: WM11-AFRINIC zone-c: WM11-AFRINIC nserver: ns1.cm.auf.org mnt-by: CAMTEL-MNT mnt-lower: CAMTEL-MNT source: AFRINIC # Filtered
Qos
Une piste intéressante communiquée après discussion sur lartc AT vger.kernel.org est que je dois revoir un de mes filtres de QoS. Au lieu de protocol ip prio 1 qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir all match u32 0 0 !
(