|
Taille: 1440
Commentaire: smokeping depuis ovh
|
← Version 29 à la date du 2008-02-21 22:09:49 ⇥
Taille: 7211
Commentaire: converted to 1.6 markup
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| (notes rapide, pour mémoire. à documenter en vrai) | <<TableOfContents(1)>> |
| Ligne 3: | Ligne 3: |
| 'lut | = prochaine action = |
| Ligne 5: | Ligne 5: |
| en attendant la sonatel, j'ai configuré un tspc+radvd.conf sur fw.refer.sn | * passer *plus* de machines et service en ipv6 pure * refaire un joli script xen, compatible ipv6 pure * résoudre le soucis de parefeu * revoir l'archi du script de parefeu * voir le reverse ipv6 avec la sonatel : mail envoyé, mais... (faites un {{{dig ns 8.7.2.4.1.0.0.2.ip6.arpa}}}, pour voir) * faire des stats d'usage des services ipv6 (%ipv4/ipv6) * passer le réseau bacàsable en ipv6 pure * créer un shell6.sn.auf.org sur bas2 en ipv6 pure pour les collègues qui tentent l'experience de leur côté (pour avoir une base de test extérieure à leur réseau) * squid / proxy transparent en ipv6 ? * ndpmon ? |
| Ligne 7: | Ligne 16: |
| côté parefeu : {{{ /etc/network/firewall-install }}} mis à jour, pour tenir compte de ipv6 | = Configuration sur fw.refer.sn = |
| Ligne 9: | Ligne 18: |
| Actuellement : ok pour les machines ipv6 en sortie, mais tout est dropped sur FORWARD en entrée, sauf pour les adresses mac qui sont dans {{{/etc/network/ipv6.d/}}} (pour l'instant, juste un fichier `tini`...) : | * radvd vers eth1 (dmz) et eth4 (bacasable) * étape suivante : eth4 en ipv6 *seulement* * desactivé sur eth2 tant que le problème du conntrack ipv6 n'est pas résolu : les postes doivent être configurés en statique * configuration filtrage de paquet : à reprendre completement, en intégrant ipv6 à la base * baser sur un fichier de configuration pour chaque serveur, listant, de manière optionnelle . son ipv4 . son ipv6 . services udp . services tcp |
| Ligne 11: | Ligne 28: |
| INPUT/OUTPUT laissé libre sur le parefeu, mais je vais sans doute restreindre sur seulement ssh depuis ip connues (comme pour ipv4) | = Serveurs accessibles en ipv6 = |
| Ligne 13: | Ligne 30: |
| <!> <!> <!> note : 'blème de parefeu, à cause du -m state, pas supporté sous sarge en ipv6 il faut {{{iptables 1.3.5.0debian1-1~bpo.1}}} + {{{kernel v2.6.15}}} minimum. Donc radvd déconfiguré en attendant. Laissé seulement le réseau "bacàsable" sur eth4 |
||'''réseau'''||'''serveur'''||'''ipv4'''||'''ipv6'''||'''services configurés en ipv6'''|| ||dmz||mail-dakar||oui||oui||postfix (envoi/reception), dns (clients)|| ||dmz||www-dakar||oui||oui||apache2|| ||dmz||xen-dakar||oui, mais à virer||oui||néant (serveur xen)|| ||dmz||trac.sn.auf.org||oui (grmpfl :-D)||oui||apache2|| ||bas||bas1.sn.auf.org||oui (à virer)||oui|| || ||bas||bas2.sn.auf.org||non||oui||néant, serveur xen|| |
| Ligne 16: | Ligne 38: |
| depuis la maison (v6tunnel>openvpn>adsl>ovh>go6) | = DNS = |
| Ligne 18: | Ligne 41: |
| tini@parefeu:~$ last -10 tini pts/0 2001:41d0:1:4787 Sun Nov 5 21:38 still logged |
tini@bas2:~$ cat /etc/resolv.conf search bas.sn.auf.org sn.auf.org refer.sn nameserver 2001:4278:1002:b01:204:75ff:feed:e9e |
| Ligne 22: | Ligne 46: |
| pour un début de plan d'adressage : ["ZAO/Dakar/Plan/Adressage"] | = Status des applications par rapport à ipv6 = |
| Ligne 24: | Ligne 48: |
| il y aura juste à changer le préfixe quand la sonatel commencera à être raisonnable... | ||'''application'''||'''ipv6'''||'''commentaire'''|| ||openssh||oui||ras|| ||openvpn||non||en mode serveur en tout cas. mais on peut faire du v4tunnel dans openvpn :-D|| ||bind9||oui||à activer dans la conf : documenter. Faire à gaffe à ::ffff:81.80.122.2#55419: zone transfer 'refer.sn/IN' denied|| ||apache||non||passer à apache2|| ||apache2||oui||facile|| ||smokeping||oui||à activer/documenter l'activation|| ||postfix||oui||syntaxe des ipv6 : [addr:esse:ipv6::]|| ||amavisd-new||non (version sarge)||pas grave, tourne sur localhost|| ||postgrey||oui (pour la partie "contrôle de l'ip de connexion")||à vérifier pour la partie "listen"|| ||xen||oui||leurs scripts sont merdeux en configuration "ipv6 seulement"|| ||openvz||oui||*aucun* soucis, même en ipv6 seulement|| ||netfilter||partiel||soucis sur conntrack, à creuser|| ||arpwatch||non||à remplacer : http://ndpmon.sourceforge.net/ ?|| ||ntp 4.2.2.p4+dfsg-1||oui||semble déconner en environnement "ipv6" seul : à voir|| ||ntpdate||oui|| || ||backuppc||non|| ||mysql-server||non ???||prévu dans le Google SoC 2007|| ||php4-imap||non|| ||horde3/imp4:smtp||non|| |
| Ligne 26: | Ligne 69: |
| pour suivre la stabilité du tunnel sonatel : http://sakay.santini.org/cgi-bin/smokeping.cgi?target=ipv6-auf.Senegal.dakar | = soucis et questions = |
| Ligne 28: | Ligne 71: |
| pour faire des tests de l'exterieur:: * fw.sn.auf.org <!><!> dns à corriger * kadradraka.sn.auf.org <!><!> dns à corriger |
* un peu paradoxal : pour avoir une configuration ipv6 seule, sans ipv4, automatique, je n'ai pas trouvé plus simple que : {{{ allow-hotplug eth0 iface eth0 inet6 manual up ifconfig eth0 up }}} c'est pas un bug, c'est "comme ça" : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=205583 * bug logcheck-database à signaler : conf par défaut sur /etc/logcheck/violations.ignore.d/logcheck-postfix, signale ça : (erreur dans le format "adresse ip" {{{ Nov 30 06:39:02 www-dakar postfix/smtp[28977]: 9D12348250: to=<XXXX@refer.sn>, relay=smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e], delay=0, status=bounced (host smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e] said: 550 <XXXX@refer.sn>: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command)) }}} * des adresses > 2002:FF... allouées dans les derniers mois. Accessibles ou pas depuis la sonatel ? www.ietf.org (2610:a0:c779:b::d1ad:35b4) non accessible en ipv6 depuis la sonatel, ok depuis ovh !?!? vérifier avec d'autres ip > 2002:FF... * pas beaucoup de correspondant ipv6. quasi rien dans les logs apache. par contre, côté mail, il y en a '''un peu''' : {{{ # (cat mail.log;zcat mail.log*gz)|perl -ne 'print "$1\n" if(/\W(2[0-9a-f]{3}:[a-f0-9:]{1,34})\W/);' |egrep -v '^2(001:4278:1002:|002:ac4:3c9:)'|sort | uniq|wc -l 27 }}} en regardant plus en détail : quasiment que des universités françaises = Avancement = * début de configuration reverse ipv6 * en place sur ns.refer.sn et ns1.ca.auf.org * '''toutes''' nos ipv6 attribuées sont configurées (c'est allé vite :-D) * note : {{{sipcalc -r 2001:4278:1002:b01:204:75ff:feed:e9e}}} rend '''bien''' service, les fautes de frappes sont facile à faire :-) * mail de demande envoyé à sonatel, pour la mise en place. ---------------- ||<bgcolor="black" tablewidth="100%">|| Bilan par mail envoyé le 25/11/2006 aux techs de la Sonatel concernés par la question. Bonjour Ci-joint un petit point sur notre avancement au niveau de la configuration ipv6 sur notre réseau Sénégal : - une branche séparée de notre réseau dédiée aux expérimentations ipv6 - quelques serveurs (miroirs.refer.sn, trac.sn.auf.org) accessibles en ipv6, nous pensons basculer les autres dans un futur trés proche - quelques postes utilisateurs en ipv6 - les adresses '6to4' fonctionnent sans soucis, en entrée et sortie Les problèmes rencontrés : - l'instabilité actuelle de notre liaison nous gêne considérablement dans nos tests, difficile d'évaluer réellement la connexion ipv6 quand à chaque fois, nous avons des doutes quant à la connexion ipv4 qui nous sert de reference - un problème avec le parefeu de la sonatel ? lorsque nous tentons d'accéder à une ipv6 de notre réseau qui n'a pas encore générés de traffic vers l'exterieur, le trafic semble être bloqué dans le sens exterieur->sonatel. toutefois, dès que l'ip génère du trafic vers l'extérieur, le problème semble résolu. est-ce une configuration volontaire à votre niveau ? - nous avons des difficultés à bien configurer notre parefeu en ipv6 : c'est le principal facteur bloquant, mais nous espérons régler cela très rapidement. Les étapes suivantes, pour nous, d'ici la mi-décembre : - ajouter des adresses ipv6 au niveau de notre DNS - ajouter des adresses ipv6 au niveau de notre service mail - déployer à st-louis (nous avons rapidement tester le tunnel et le routage jeudi soir, et cela semblait fonctionnel sans soucis) - début 2007 : acheter des cartes "serial" sangoma, afin de faire aboutir nos LS Sonatel directement sur nos routeurs linux, et demander une connexion ipv6 native, sans tunnel. Comme je vous l'avais signalé par téléphone : je dois me rendre à Bamako à la mi-décembre pour travailler sur notre réseau sur place. Nous sommes actuellement connecté via ikatel. Pourriez-vous me donner les contacts appropriés chez ikatel Mali pour évoquer ce sujet avec eux ? J'aimerai éventuellement pouvoir contacter les personnes dès maintenant. Cordialement, |
Sommaire
prochaine action
- passer *plus* de machines et service en ipv6 pure
- refaire un joli script xen, compatible ipv6 pure
- résoudre le soucis de parefeu
- revoir l'archi du script de parefeu
voir le reverse ipv6 avec la sonatel : mail envoyé, mais... (faites un dig ns 8.7.2.4.1.0.0.2.ip6.arpa, pour voir)
- faire des stats d'usage des services ipv6 (%ipv4/ipv6)
- passer le réseau bacàsable en ipv6 pure
- créer un shell6.sn.auf.org sur bas2 en ipv6 pure pour les collègues qui tentent l'experience de leur côté (pour avoir une base de test extérieure à leur réseau)
- squid / proxy transparent en ipv6 ?
- ndpmon ?
Configuration sur fw.refer.sn
- radvd vers eth1 (dmz) et eth4 (bacasable)
- étape suivante : eth4 en ipv6 *seulement*
- desactivé sur eth2 tant que le problème du conntrack ipv6 n'est pas résolu : les postes doivent être configurés en statique
- configuration filtrage de paquet : à reprendre completement, en intégrant ipv6 à la base
- baser sur un fichier de configuration pour chaque serveur, listant, de manière optionnelle
- son ipv4
- son ipv6
- services udp
- services tcp
- baser sur un fichier de configuration pour chaque serveur, listant, de manière optionnelle
Serveurs accessibles en ipv6
réseau |
serveur |
ipv4 |
ipv6 |
services configurés en ipv6 |
dmz |
mail-dakar |
oui |
oui |
postfix (envoi/reception), dns (clients) |
dmz |
www-dakar |
oui |
oui |
apache2 |
dmz |
xen-dakar |
oui, mais à virer |
oui |
néant (serveur xen) |
dmz |
trac.sn.auf.org |
oui (grmpfl :-D) |
oui |
apache2 |
bas |
bas1.sn.auf.org |
oui (à virer) |
oui |
|
bas |
bas2.sn.auf.org |
non |
oui |
néant, serveur xen |
DNS
tini@bas2:~$ cat /etc/resolv.conf search bas.sn.auf.org sn.auf.org refer.sn nameserver 2001:4278:1002:b01:204:75ff:feed:e9e
Status des applications par rapport à ipv6
application |
ipv6 |
commentaire |
openssh |
oui |
ras |
openvpn |
non |
en mode serveur en tout cas. mais on peut faire du v4tunnel dans openvpn :-D |
bind9 |
oui |
à activer dans la conf : documenter. Faire à gaffe à ::ffff:81.80.122.2#55419: zone transfer 'refer.sn/IN' denied |
apache |
non |
passer à apache2 |
apache2 |
oui |
facile |
smokeping |
oui |
à activer/documenter l'activation |
postfix |
oui |
syntaxe des ipv6 : [addr:esse:ipv6::] |
amavisd-new |
non (version sarge) |
pas grave, tourne sur localhost |
postgrey |
oui (pour la partie "contrôle de l'ip de connexion") |
à vérifier pour la partie "listen" |
xen |
oui |
leurs scripts sont merdeux en configuration "ipv6 seulement" |
openvz |
oui |
*aucun* soucis, même en ipv6 seulement |
netfilter |
partiel |
soucis sur conntrack, à creuser |
arpwatch |
non |
à remplacer : http://ndpmon.sourceforge.net/ ? |
ntp 4.2.2.p4+dfsg-1 |
oui |
semble déconner en environnement "ipv6" seul : à voir |
ntpdate |
oui |
|
backuppc |
non |
|
mysql-server |
non ??? |
prévu dans le Google SoC 2007 |
php4-imap |
non |
|
horde3/imp4:smtp |
non |
soucis et questions
- un peu paradoxal : pour avoir une configuration ipv6 seule, sans ipv4, automatique, je n'ai pas trouvé plus simple que :
allow-hotplug eth0
iface eth0 inet6 manual
up ifconfig eth0 upc'est pas un bug, c'est "comme ça" : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=205583
- bug logcheck-database à signaler : conf par défaut sur /etc/logcheck/violations.ignore.d/logcheck-postfix, signale ça : (erreur dans le format "adresse ip"
Nov 30 06:39:02 www-dakar postfix/smtp[28977]: 9D12348250: to=<XXXX@refer.sn>, relay=smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e], delay=0, status=bounced (host smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e] said: 550 <XXXX@refer.sn>: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command))
des adresses > 2002:FF... allouées dans les derniers mois. Accessibles ou pas depuis la sonatel ? www.ietf.org (2610:a0:c779:b::d1ad:35b4) non accessible en ipv6 depuis la sonatel, ok depuis ovh !?!? vérifier avec d'autres ip > 2002:FF...
pas beaucoup de correspondant ipv6. quasi rien dans les logs apache. par contre, côté mail, il y en a un peu :
# (cat mail.log;zcat mail.log*gz)|perl -ne 'print "$1\n" if(/\W(2[0-9a-f]{3}:[a-f0-9:]{1,34})\W/);' |egrep -v '^2(001:4278:1002:|002:ac4:3c9:)'|sort | uniq|wc -l
27en regardant plus en détail : quasiment que des universités françaises
Avancement
- début de configuration reverse ipv6
- en place sur ns.refer.sn et ns1.ca.auf.org
toutes nos ipv6 attribuées sont configurées (c'est allé vite :-D)
note : sipcalc -r 2001:4278:1002:b01:204:75ff:feed:e9e rend bien service, les fautes de frappes sont facile à faire
- mail de demande envoyé à sonatel, pour la mise en place.
Bilan par mail envoyé le 25/11/2006 aux techs de la Sonatel concernés par la question.
Bonjour
Ci-joint un petit point sur notre avancement au niveau de la configuration ipv6 sur notre réseau Sénégal :
- une branche séparée de notre réseau dédiée aux expérimentations ipv6 - quelques serveurs (miroirs.refer.sn, trac.sn.auf.org) accessibles en ipv6, nous pensons basculer les autres dans un futur trés proche - quelques postes utilisateurs en ipv6 - les adresses '6to4' fonctionnent sans soucis, en entrée et sortie
Les problèmes rencontrés : - l'instabilité actuelle de notre liaison nous gêne considérablement dans nos tests, difficile d'évaluer réellement la connexion ipv6 quand à chaque fois, nous avons des doutes quant à la connexion ipv4 qui nous sert de reference - un problème avec le parefeu de la sonatel ? lorsque nous tentons d'accéder à une ipv6 de notre réseau qui n'a pas encore générés de traffic vers l'exterieur, le trafic semble être bloqué dans le sens exterieur->sonatel. toutefois, dès que l'ip génère du trafic vers l'extérieur, le problème semble résolu. est-ce une configuration volontaire à votre niveau ? - nous avons des difficultés à bien configurer notre parefeu en ipv6 : c'est le principal facteur bloquant, mais nous espérons régler cela très rapidement.
Les étapes suivantes, pour nous, d'ici la mi-décembre : - ajouter des adresses ipv6 au niveau de notre DNS - ajouter des adresses ipv6 au niveau de notre service mail - déployer à st-louis (nous avons rapidement tester le tunnel et le routage jeudi soir, et cela semblait fonctionnel sans soucis) - début 2007 : acheter des cartes "serial" sangoma, afin de faire aboutir nos LS Sonatel directement sur nos routeurs linux, et demander une connexion ipv6 native, sans tunnel.
Comme je vous l'avais signalé par téléphone : je dois me rendre à Bamako à la mi-décembre pour travailler sur notre réseau sur place. Nous sommes actuellement connecté via ikatel. Pourriez-vous me donner les contacts appropriés chez ikatel Mali pour évoquer ce sujet avec eux ? J'aimerai éventuellement pouvoir contacter les personnes dès maintenant.
Cordialement,