Projet

Général

Profil

Routage » Historique » Version 61

Matthieu Herrb, 06/06/2019 07:50
ne parle plus de migration

1 1 Laurent GUERBY
{{>toc}}
2 1 Laurent GUERBY
3 6 Mehdi Abaakouk
h1. Routage
4 1 Laurent GUERBY
5 53 Matthieu Herrb
h2. Configuration
6 1 Laurent GUERBY
7 2 Laurent GUERBY
Coté Adhérent-e :
8 1 Laurent GUERBY
9 1 Laurent GUERBY
<pre>
10 1 Laurent GUERBY
# IPv4 Adherent
11 1 Laurent GUERBY
ip addr add IP/32 dev eth0
12 1 Laurent GUERBY
ip route add default via 91.224.148.0 dev eth0 onlink
13 1 Laurent GUERBY
14 1 Laurent GUERBY
# IPv6 adherent
15 1 Laurent GUERBY
ip -6 addr add fe80::XX:YY/64 dev eth0
16 1 Laurent GUERBY
ip -6 route add default via fe80::31 dev eth0
17 1 Laurent GUERBY
ip -6 addr add IP/NN...
18 1 Laurent GUERBY
</pre>
19 1 Laurent GUERBY
20 2 Laurent GUERBY
Et coté routeur :
21 2 Laurent GUERBY
22 1 Laurent GUERBY
<pre>
23 1 Laurent GUERBY
# IPv4 routeur
24 1 Laurent GUERBY
ip addr add 91.224.148.0/32 dev lo 
25 1 Laurent GUERBY
ip route add IP/32 dev eth0.NNN
26 1 Laurent GUERBY
27 1 Laurent GUERBY
# IPv6 routeur
28 1 Laurent GUERBY
ip -6 addr add fe80::31/64 dev eth0.NNN
29 1 Laurent GUERBY
ip route add IP/56 vi fe80:XX:YY dev eth0.NNN
30 1 Laurent GUERBY
</pre>
31 1 Laurent GUERBY
32 6 Mehdi Abaakouk
h2. Adressage
33 1 Laurent GUERBY
34 55 Matthieu Herrb
HH est la conversion en hexadécimal de DDD
35 47 Laurent GUERBY
36 55 Matthieu Herrb
|_. IPv4 |_.Préfixe v6 |_.Link local v6 |_. Origine v4 |
37 55 Matthieu Herrb
|91.224.148.DDD | 2a03.7220.8080.HH00::/56 | fe80::80:HH | PI tetaneutral.net |
38 55 Matthieu Herrb
|91.224.149.DDD | 2a03.7220.8081.HH00::/56 | fe80::81:HH | PI tetaneutral.net |
39 55 Matthieu Herrb
|89.234.156.DDD | 2a03.7220.8083.HH00::/56 | fe80::83:HH | PA opdop |
40 55 Matthieu Herrb
|89.234.157.DDD | 2a03.7220.8084.HH00::/56 | fe80::84:HH | PA opdop |
41 55 Matthieu Herrb
|185.119.168.DDD | 2a03.7220.8085.HH00::/56 | fe80::85:HH | PA tetaneutral.net |
42 55 Matthieu Herrb
|185.119.169.DDD | 2a03.7220.8086.HH00::/56 | fe80::86:HH | PA tetaneutral.net |
43 55 Matthieu Herrb
|185.119.170.DDD | 2a03.7220.8087.HH00::/56 | fe80::87:HH | PA tetaneutral.net |
44 55 Matthieu Herrb
|185.119.171.DDD | 2a03.7220.8088.HH00::/56 | fe80::88:HH | PA tetaneutral.net |
45 2 Laurent GUERBY
46 61 Matthieu Herrb
h2. Sur VM
47 2 Laurent GUERBY
48 2 Laurent GUERBY
<pre>
49 2 Laurent GUERBY
# cat /etc/network/interfaces
50 2 Laurent GUERBY
auto lo
51 2 Laurent GUERBY
iface lo inet loopback
52 2 Laurent GUERBY
auto eth0
53 2 Laurent GUERBY
iface eth0 inet6 static
54 2 Laurent GUERBY
    pre-up /sbin/sysctl -w net.ipv6.conf.eth0.accept_ra=0
55 2 Laurent GUERBY
    pre-up /sbin/sysctl -w net.ipv6.conf.eth0.autoconf=0
56 2 Laurent GUERBY
    up ip addr add fe80::YY:XX/64 dev eth0
57 47 Laurent GUERBY
    address 2a03:7220:80YY:XX00::1
58 2 Laurent GUERBY
    netmask 56
59 1 Laurent GUERBY
    gateway fe80::31
60 1 Laurent GUERBY
61 1 Laurent GUERBY
iface eth0 inet manual
62 1 Laurent GUERBY
    up ip link set eth0 up
63 1 Laurent GUERBY
    down ip link set eth0 down
64 1 Laurent GUERBY
    pre-up /sbin/sysctl -w net.ipv6.conf.eth0.accept_ra=0
65 1 Laurent GUERBY
    pre-up /sbin/sysctl -w net.ipv6.conf.eth0.autoconf=0
66 1 Laurent GUERBY
    up ip addr add 91.224.148.DDD/32 dev eth0
67 1 Laurent GUERBY
    up ip route add 91.224.148.0/32 dev eth0
68 1 Laurent GUERBY
    up ip route add default via 91.224.148.0
69 1 Laurent GUERBY
    down ip route flush dev eth0
70 1 Laurent GUERBY
    down ip addr flush dev eth0
71 2 Laurent GUERBY
</pre>
72 53 Matthieu Herrb
73 53 Matthieu Herrb
h2. Étape pour un changement d'adresse ipv6 sans indisponibilité temporaire:
74 53 Matthieu Herrb
75 53 Matthieu Herrb
  * mettre les deux adresses dans /etc/network/interface (ou similaire)
76 53 Matthieu Herrb
  * mettre que la nouvelle adresse dans votre zone DNS (sauf l'enregistrement SPF qui devra contenir l'ancienne et la nouvelle adresse)
77 53 Matthieu Herrb
  * si serveur mail/web mettre l'ancienne et la nouvelle adresse dans le fichier /etc/hosts
78 53 Matthieu Herrb
  * si serveur de mail, mettre à jour les ips du domain local (ie: mynetworks pour postfix)
79 53 Matthieu Herrb
80 53 Matthieu Herrb
On attends ensuite quelque jours que le DNS se propage, puis.
81 53 Matthieu Herrb
82 53 Matthieu Herrb
  * Virer la vielle adresse de partout.
83 53 Matthieu Herrb
  * Nettoyer l'enregistrement SPF
84 2 Laurent GUERBY
85 8 Laurent GUERBY
h2. Configuration openstack/bird
86 6 Mehdi Abaakouk
87 6 Mehdi Abaakouk
openstack ttnn route update <VM_NAME>
88 7 Laurent GUERBY
89 47 Laurent GUERBY
90 8 Laurent GUERBY
91 8 Laurent GUERBY
h2. Courriel
92 8 Laurent GUERBY
93 32 Laurent GUERBY
https://lists.tetaneutral.net/pipermail/technique/2016-February/002208.html
94 34 Laurent GUERBY
https://lists.tetaneutral.net/pipermail/technique/2016-March/002215.html
95 32 Laurent GUERBY
96 8 Laurent GUERBY
<pre>
97 17 Laurent GUERBY
Sujet : Migration adressage IPv6 et changement de routage IPv4 de 91.224.149.DDD
98 14 Laurent GUERBY
99 8 Laurent GUERBY
Bonjour
100 8 Laurent GUERBY
101 14 Laurent GUERBY
Pour la partie adressage IPv6 maintenant que tetaneutral.net a sa plage
102 14 Laurent GUERBY
IPv6 LIR 2a03:7220::/32 il est temps de migrer et rendre la plage 
103 18 Matthieu Herrb
IPv6 historique 2a01:6600:8000::/40 à Fullsave.
104 8 Laurent GUERBY
105 18 Matthieu Herrb
Pour simplifier la migration nous avons juste substitué les 32 
106 18 Matthieu Herrb
premiers bits du préfixe sans autre changement :
107 14 Laurent GUERBY
108 8 Laurent GUERBY
2a01:6600 => 2a03:7220
109 8 Laurent GUERBY
110 18 Matthieu Herrb
Les deux plages IPv6 sont actuellement routées en même temps, si vous
111 18 Matthieu Herrb
avez un hébergement à tetaneutral.net il vous faut donc :
112 8 Laurent GUERBY
113 8 Laurent GUERBY
1/ Ajouter l'adresse 2a03:7220:xxx en plus de votre 2a01:6600:xxx
114 18 Matthieu Herrb
par exemple sous debian votre /etc/network/interfaces doit ressembler à :
115 8 Laurent GUERBY
116 8 Laurent GUERBY
iface eth0 inet6 static
117 22 Laurent GUERBY
 pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
118 22 Laurent GUERBY
 pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
119 8 Laurent GUERBY
 address 2a03:7220:808X:YZ00::1
120 10 Laurent GUERBY
 netmask 56
121 1 Laurent GUERBY
 gateway fe80::31
122 1 Laurent GUERBY
 up ip -6 addr add fe80::8X:YZ/64 dev $IFACE
123 1 Laurent GUERBY
 up ip -6 addr add 2a01:6600:808X:YZ00::1/56 dev $IFACE preferred_lft 0 # Legacy a enlever des que DNS ok
124 1 Laurent GUERBY
125 14 Laurent GUERBY
Au passage un petit détail vous pouvez ajouter dans /etc/resolv.conf
126 18 Matthieu Herrb
ou via dns-nameservers les IPv6 des resolveurs récursifs  :
127 14 Laurent GUERBY
128 1 Laurent GUERBY
nameserver 2a03:7220:8081:fe00::1
129 15 Laurent GUERBY
nameserver 2a03:7220:8080:0a00::1
130 14 Laurent GUERBY
131 20 Matthieu Herrb
Et rappel en IPv4 les résolveurs sont :
132 1 Laurent GUERBY
133 1 Laurent GUERBY
nameserver 91.224.149.254
134 15 Laurent GUERBY
nameserver 91.224.148.10
135 15 Laurent GUERBY
136 14 Laurent GUERBY
137 8 Laurent GUERBY
2/ Migrer vos DNS forward AAAA toto.chezmoi.net de 2a01:6600:xxx vers 2a03:7220:xxx
138 8 Laurent GUERBY
139 20 Matthieu Herrb
3/ Si vous gérez vos reverse DNS il faut créer une nouvelle zone reverse 2a03:7220:xxx
140 19 Matthieu Herrb
identique à celle 2a01:6600:xxx. La délégation de cette nouvelle zone à été faite vers 
141 19 Matthieu Herrb
les mêmes serveurs que pour l'ancienne.
142 8 Laurent GUERBY
143 18 Matthieu Herrb
4/ Une fois la propagation DNS terminée vous pouvez enlever 2a01:6600:xxx de vos
144 1 Laurent GUERBY
AAAA et enlever la zone reverse 2a01:6600:xxx
145 8 Laurent GUERBY
146 20 Matthieu Herrb
Pour les VM nous allons faire l'étape 1 automatiquement (ce qui implique un reboot), 
147 18 Matthieu Herrb
restera 2 à 4 à faire à votre charge
148 1 Laurent GUERBY
149 18 Matthieu Herrb
Pour les accès internet nous allons mettre à jour votre routeur OpenWRT à distance
150 18 Matthieu Herrb
quand nous y avons accès.
151 8 Laurent GUERBY
152 14 Laurent GUERBY
Nous visons au plus tard dimanche 20 mars 2016 soit dans un peu moins d'un mois 
153 8 Laurent GUERBY
pour la suppression de l'ancienne plage 2a01:6600:8000::/40 
154 20 Matthieu Herrb
et son retour à Fullsave, ce qui laisse un mois pour
155 8 Laurent GUERBY
faire la migration IPv6.
156 12 Laurent GUERBY
157 14 Laurent GUERBY
Coté routage en IPv4 nous allons profiter de cette migration pour passer 
158 14 Laurent GUERBY
les IP actuellement en 91.224.149.DDD/24 avec gateway 91.224.149.254 
159 18 Matthieu Herrb
à un routage "/32" avec 91.224.149.DDD/32 et gateway 91.224.148.0 "onlink" 
160 14 Laurent GUERBY
comme pour le reste des IPv4 tetaneutral.net
161 12 Laurent GUERBY
162 12 Laurent GUERBY
iface eth0 inet manual
163 12 Laurent GUERBY
    up ip link set eth0 up
164 1 Laurent GUERBY
    up ip addr add 91.224.149.DDD/32 dev eth0
165 1 Laurent GUERBY
    up ip route add default via 91.224.148.0 dev eth0 onlink
166 1 Laurent GUERBY
167 17 Laurent GUERBY
Nous allons faire automatiquement pour les VMs et OpenWRT ou nous
168 18 Matthieu Herrb
avons accès, il restera à faire par les adhérent-e-s la où nous 
169 18 Matthieu Herrb
n'avons pas accès et sur les machines en hébergement
170 17 Laurent GUERBY
171 18 Matthieu Herrb
Nous allons démarrer les travaux tôt le matin du lundi 29 février 2016
172 8 Laurent GUERBY
</pre>
173 23 Laurent GUERBY
174 23 Laurent GUERBY
h2. Questions
175 23 Laurent GUERBY
176 40 Laurent GUERBY
h3. Attention aux fichiers de configuration reseau
177 40 Laurent GUERBY
178 40 Laurent GUERBY
https://lists.tetaneutral.net/pipermail/technique/2016-March/002217.html
179 40 Laurent GUERBY
180 33 Mathieu Goessens
h3. Gmail
181 33 Mathieu Goessens
182 33 Mathieu Goessens
Attention, gmail risque de refuser vos mails en vous criant dessus si vous
183 33 Mathieu Goessens
envoyez des mails depuis vos VM après ce changement, tant que les étapes 
184 33 Mathieu Goessens
suivantes ne sont pas faites :
185 33 Mathieu Goessens
186 33 Mathieu Goessens
https://support.google.com/mail/answer/81126?p=ipv6_authentication_error&rd=1#authentication
187 33 Mathieu Goessens
188 33 Mathieu Goessens
(Ok, plus une remarque qu'une question :) )
189 33 Mathieu Goessens
190 31 Laurent GUERBY
h3. Sans reboot
191 31 Laurent GUERBY
192 24 Laurent GUERBY
* Je veux eviter un reboot ou le risqué /etc/init.d/network restart comment faire ?
193 29 Laurent GUERBY
194 29 Laurent GUERBY
=> Comme suit :
195 24 Laurent GUERBY
<pre>
196 24 Laurent GUERBY
ip addr add 2a03:7220:80YY:XX00::1/56 dev eth0
197 1 Laurent GUERBY
ip addr add fe80::8X:YZ/64 dev eth0 # si pas deja present
198 25 Laurent GUERBY
ip addr del 2a01:6600:80YY:XX00::1/56 dev eth0
199 25 Laurent GUERBY
</pre>
200 26 Nicolas BERTRAND
201 31 Laurent GUERBY
h3. Interfaces
202 31 Laurent GUERBY
203 26 Nicolas BERTRAND
* Je veux etre bien sur d'avoir compris comment modifier mon /etc/network/interfaces :
204 26 Nicolas BERTRAND
<pre>
205 26 Nicolas BERTRAND
AVANT
206 26 Nicolas BERTRAND
-----
207 26 Nicolas BERTRAND
iface eth0 inet static
208 26 Nicolas BERTRAND
    address 91.224.149.40
209 26 Nicolas BERTRAND
    netmask 255.255.255.0
210 26 Nicolas BERTRAND
    network 91.224.149.0
211 26 Nicolas BERTRAND
    broadcast 91.224.149.255
212 26 Nicolas BERTRAND
    gateway 91.224.149.254
213 26 Nicolas BERTRAND
    dns-* options are implemented by the resolvconf package, if installed
214 26 Nicolas BERTRAND
    dns-nameservers 91.224.149.254
215 26 Nicolas BERTRAND
216 26 Nicolas BERTRAND
217 26 Nicolas BERTRAND
APRES? (changement de routage)
218 26 Nicolas BERTRAND
------------------------------
219 26 Nicolas BERTRAND
iface eth0 inet manual
220 26 Nicolas BERTRAND
    up ip link set eth0 up
221 26 Nicolas BERTRAND
    up ip addr add 91.224.149.40/32 dev eth0
222 26 Nicolas BERTRAND
    up ip route add default via 91.224.148.0 dev eth0 onlink
223 26 Nicolas BERTRAND
    dns-nameservers 91.224.149.254 91.224.148.10
224 26 Nicolas BERTRAND
</pre>
225 1 Laurent GUERBY
226 28 Laurent GUERBY
=> Oui c'est bon :)
227 28 Laurent GUERBY
228 31 Laurent GUERBY
h3. pre-up ou up
229 31 Laurent GUERBY
230 27 bikepunk bikepunk
* équivalence des commandes pre-up
231 27 bikepunk bikepunk
232 27 bikepunk bikepunk
pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
233 27 bikepunk bikepunk
pre-up echo 0 > /proc/sys/net/ipv6/conf/$IFACE/autoconf
234 27 bikepunk bikepunk
et
235 27 bikepunk bikepunk
pre-up /sbin/sysctl -w net.ipv6.conf.eth0.accept_ra=0
236 27 bikepunk bikepunk
pre-up /sbin/sysctl -w net.ipv6.conf.eth0.autoconf=0
237 27 bikepunk bikepunk
238 28 Laurent GUERBY
semblent équivalent, y a t'il un avantage à en utiliser une forme plutot que l'autre ?
239 28 Laurent GUERBY
240 28 Laurent GUERBY
=> c'est identique, on peut aussi les mettre dans sysctl.conf suivant le systeme
241 30 yannick deroche
=> au passage $IFACE est un peu plus generique que eth0 sinon
242 30 yannick deroche
243 1 Laurent GUERBY
244 31 Laurent GUERBY
h3. pfsense
245 31 Laurent GUERBY
246 30 yannick deroche
* Et si je suis avec un frontal pfSense devant mes VMs, je fais comment pour IPv4? (Yannick)
247 30 yannick deroche
248 30 yannick deroche
=> Je réponds à ma question, car cette histoire m'a bien pris le choux. (Yannick)
249 30 yannick deroche
Vous avez des explications dans le lien qui suit.
250 30 yannick deroche
http://blog.magiksys.net/pfsense-firewall-default-gateway-different-subnet
251 30 yannick deroche
252 30 yannick deroche
Mais en gros, ça se configure via le shell de la console pfSense, en utilisant une partie des commandes qui ont été citées plus haut.
253 45 yannick deroche
-Pas vu par contre d'option "onlink", si quelqu'un pouvait m'éclairer sur le sujet...- Trouvé, c'est l'option "-link" à rajouter. Pour spécifier que c'est directement accessible via l'interface configurée.
254 1 Laurent GUERBY
255 45 yannick deroche
EN PREMIER LIEU, IL FAUT EFFACER TOUTES SES ROUTES PAR DEFAUT (en shell, option 8)
256 45 yannick deroche
<pre>
257 45 yannick deroche
ifconfig em0 91.224.XXX.YYY 255.255.255.255 (remplacer em0 par son nom d'interface WAN)
258 45 yannick deroche
</pre>
259 30 yannick deroche
260 1 Laurent GUERBY
Il faut figer son interface WAN en shell: (option 8)
261 30 yannick deroche
262 30 yannick deroche
<pre>
263 45 yannick deroche
route del default
264 30 yannick deroche
</pre>
265 1 Laurent GUERBY
266 30 yannick deroche
Il faut ensuite ajouter le chemin d'accès à la GW, car avec une @IP en /32, la GW est "unreachable":
267 30 yannick deroche
268 30 yannick deroche
<pre>
269 45 yannick deroche
route add -net 91.224.148.0/32 -link -iface em0 (remplacer em0 par son nom d'interface WAN)
270 30 yannick deroche
</pre>
271 30 yannick deroche
272 30 yannick deroche
Il faut enfin définir sa GW par défaut:
273 30 yannick deroche
274 30 yannick deroche
<pre>
275 30 yannick deroche
route add default 91.224.148.0
276 30 yannick deroche
</pre>
277 30 yannick deroche
278 30 yannick deroche
NE PLUS MODIFIER LES PARAMETRES RESEAUX DE L'INTERFACE WAN PAR LA CONSOLE OU LA WEB-UI (uniquement en shell)
279 30 yannick deroche
280 30 yannick deroche
Si vous aller dans la web UI puis dans "diagnostique>routage", vous devriez voir votre oeuvre.
281 35 Matthieu Herrb
282 35 Matthieu Herrb
h3. OpenBSD
283 35 Matthieu Herrb
284 51 Matthieu Herrb
_<if>_ représente le nom de l'interface à configurer.
285 48 Matthieu Herrb
286 58 Matthieu Herrb
Pour IPv4 il faut ajouter la route explicite (/32) vers le routeur dans @/etc/hostname.<if>@:
287 51 Matthieu Herrb
288 1 Laurent GUERBY
<pre>
289 1 Laurent GUERBY
inet 91.224.149.DDD 255.255.255.255 NONE
290 58 Matthieu Herrb
inet6 2a03:7220:80XX:HH00::1 64
291 58 Matthieu Herrb
inet6 alias fe80::XX:HH
292 1 Laurent GUERBY
! route add 91.224.148.0/32 -link -iface <if>
293 51 Matthieu Herrb
</pre>
294 51 Matthieu Herrb
295 58 Matthieu Herrb
et dans @/etc/mygate@ :
296 51 Matthieu Herrb
<pre>
297 51 Matthieu Herrb
91.224.148.0
298 58 Matthieu Herrb
fe80::31%<if>
299 51 Matthieu Herrb
</pre>
300 46 Aymeric APLU
301 46 Aymeric APLU
h3. CentOS/RHEL
302 46 Aymeric APLU
303 46 Aymeric APLU
Modif IPv4 :
304 46 Aymeric APLU
305 46 Aymeric APLU
Dans : /etc/sysconfig/network-scripts/ifcfg-eth0 
306 46 Aymeric APLU
307 46 Aymeric APLU
<pre>
308 46 Aymeric APLU
NETMASK=255.255.255.255
309 46 Aymeric APLU
IPADDR=91.224.149.XXX
310 46 Aymeric APLU
</pre>
311 46 Aymeric APLU
312 46 Aymeric APLU
Dans : /etc/sysconfig/network-scripts/route-eth0 
313 46 Aymeric APLU
<pre>
314 46 Aymeric APLU
default via 91.224.148.0 dev eth0 onlink
315 46 Aymeric APLU
</pre>
316 46 Aymeric APLU
317 46 Aymeric APLU
h3. Windows (on ne sait jamais :-D)
318 46 Aymeric APLU
319 46 Aymeric APLU
<pre>
320 46 Aymeric APLU
route -p add GATEWAY mask 255.255.255.255 0.0.0.0 if INTERFACENUMBER
321 46 Aymeric APLU
route -p add 0.0.0.0 mask 0.0.0.0 GATEWAY
322 46 Aymeric APLU
</pre>