ZAO / Dakar / Projet / IPv6 / Migration

prochaine action

Configuration sur fw.refer.sn

Serveurs accessibles en ipv6

réseau

serveur

ipv4

ipv6

services configurés en ipv6

dmz

mail-dakar

oui

oui

postfix (envoi/reception), dns (clients)

dmz

www-dakar

oui

oui

apache2

dmz

xen-dakar

oui, mais à virer

oui

néant (serveur xen)

dmz

trac.sn.auf.org

oui (grmpfl :-D)

oui

apache2

bas

bas1.sn.auf.org

oui (à virer)

oui

bas

bas2.sn.auf.org

non

oui

néant, serveur xen

DNS

tini@bas2:~$ cat /etc/resolv.conf
search bas.sn.auf.org sn.auf.org refer.sn
nameserver 2001:4278:1002:b01:204:75ff:feed:e9e

Status des applications par rapport à ipv6

application

ipv6

commentaire

openssh

oui

ras

openvpn

non

en mode serveur en tout cas. mais on peut faire du v4tunnel dans openvpn :-D

bind9

oui

à activer dans la conf : documenter. Faire à gaffe à ::ffff:81.80.122.2#55419: zone transfer 'refer.sn/IN' denied

apache

non

passer à apache2

apache2

oui

facile

smokeping

oui

à activer/documenter l'activation

postfix

oui

syntaxe des ipv6 : [addr:esse:ipv6::]

amavisd-new

non (version sarge)

pas grave, tourne sur localhost

postgrey

oui (pour la partie "contrôle de l'ip de connexion")

à vérifier pour la partie "listen"

xen

oui

leurs scripts sont merdeux en configuration "ipv6 seulement"

openvz

oui

*aucun* soucis, même en ipv6 seulement

netfilter

partiel

soucis sur conntrack, à creuser

arpwatch

non

à remplacer : http://ndpmon.sourceforge.net/ ?

ntp 4.2.2.p4+dfsg-1

oui

semble déconner en environnement "ipv6" seul : à voir

ntpdate

oui

backuppc

non

mysql-server

non ???

prévu dans le Google SoC 2007

php4-imap

non

horde3/imp4:smtp

non

soucis et questions

allow-hotplug eth0
iface eth0 inet6 manual
        up ifconfig eth0 up

c'est pas un bug, c'est "comme ça" : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=205583

Nov 30 06:39:02 www-dakar postfix/smtp[28977]: 9D12348250: to=<XXXX@refer.sn>, relay=smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e], delay=0, status=bounced (host smtp.refer.sn[2001:4278:1002:b01:204:75ff:feed:e9e] said: 550 <XXXX@refer.sn>: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command))

# (cat mail.log;zcat mail.log*gz)|perl -ne 'print "$1\n" if(/\W(2[0-9a-f]{3}:[a-f0-9:]{1,34})\W/);' |egrep -v '^2(001:4278:1002:|002:ac4:3c9:)'|sort | uniq|wc -l
27

en regardant plus en détail : quasiment que des universités françaises

Avancement


Bilan par mail envoyé le 25/11/2006 aux techs de la Sonatel concernés par la question.

Bonjour

Ci-joint un petit point sur notre avancement au niveau de la configuration ipv6 sur notre réseau Sénégal :

- une branche séparée de notre réseau dédiée aux expérimentations ipv6 - quelques serveurs (miroirs.refer.sn, trac.sn.auf.org) accessibles en ipv6, nous pensons basculer les autres dans un futur trés proche - quelques postes utilisateurs en ipv6 - les adresses '6to4' fonctionnent sans soucis, en entrée et sortie

Les problèmes rencontrés : - l'instabilité actuelle de notre liaison nous gêne considérablement dans nos tests, difficile d'évaluer réellement la connexion ipv6 quand à chaque fois, nous avons des doutes quant à la connexion ipv4 qui nous sert de reference - un problème avec le parefeu de la sonatel ? lorsque nous tentons d'accéder à une ipv6 de notre réseau qui n'a pas encore générés de traffic vers l'exterieur, le trafic semble être bloqué dans le sens exterieur->sonatel. toutefois, dès que l'ip génère du trafic vers l'extérieur, le problème semble résolu. est-ce une configuration volontaire à votre niveau ? - nous avons des difficultés à bien configurer notre parefeu en ipv6 : c'est le principal facteur bloquant, mais nous espérons régler cela très rapidement.

Les étapes suivantes, pour nous, d'ici la mi-décembre : - ajouter des adresses ipv6 au niveau de notre DNS - ajouter des adresses ipv6 au niveau de notre service mail - déployer à st-louis (nous avons rapidement tester le tunnel et le routage jeudi soir, et cela semblait fonctionnel sans soucis) - début 2007 : acheter des cartes "serial" sangoma, afin de faire aboutir nos LS Sonatel directement sur nos routeurs linux, et demander une connexion ipv6 native, sans tunnel.

Comme je vous l'avais signalé par téléphone : je dois me rendre à Bamako à la mi-décembre pour travailler sur notre réseau sur place. Nous sommes actuellement connecté via ikatel. Pourriez-vous me donner les contacts appropriés chez ikatel Mali pour évoquer ce sujet avec eux ? J'aimerai éventuellement pouvoir contacter les personnes dès maintenant.

Cordialement,

ZAO/Dakar/Projet/IPv6/Migration (dernière édition le 2008-02-21 22:09:49 par localhost)