« Atelier SysRes SE4 2024/2025 E6 » : différence entre les versions
| (22 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
= | =Configuration machine de service Jinx= | ||
==Partitions LVM== | ==Partitions LVM== | ||
assigner les partitions dans le /etc/xen/SE4.Jinx (disk) | assigner les partitions dans le /etc/xen/SE4.Jinx (disk) | ||
| Ligne 36 : | Ligne 36 : | ||
==Réseau== | ==Réseau== | ||
===eth0=== | |||
adresse ipv4 locale et adresse ipv6 routée | adresse ipv4 locale et adresse ipv6 routée | ||
| Ligne 50 : | Ligne 51 : | ||
[[Fichier:Jinx_ping.png|vignette|alt=vérification ping|Ping de la l'autre machine service SE4.Vi]] | [[Fichier:Jinx_ping.png|vignette|alt=vérification ping|Ping de la l'autre machine service SE4.Vi]] | ||
<br style="clear: both;" /> | <br style="clear: both;" /> | ||
On configure la deuxième interface pour se connecter au routeur avec la machine de service en IPv6. | |||
===eth1=== | |||
On doit rajouter une vif dans le .cfg de la même manière que Vander (Mandataire). | |||
On doit renseigner que sur eth1, il y aura de l'IPv6 : | |||
iface eth1 inet6 auto | |||
<br style="clear: both;" /> | |||
On peut alors ping google.com en forçant l'IPv6. | |||
[[Fichier:ping_ipv6.png|vignette|alt=Ping google en IPv6|Ping google en IPv6]] | |||
<br style="clear: both;" /> | |||
==Serveur DNS== | |||
On configure la deuxième interface pour se connecter | =Configuration machine de service Vander= | ||
==Réseau== | |||
On configure la deuxième interface pour se connecter au routeur avec la machine mandataire. | |||
On ajoute une interface virtuel dans notre .cfg de VM : | On ajoute une interface virtuel dans notre .cfg de VM : | ||
| Ligne 59 : | Ligne 72 : | ||
[[Fichier:Jinx_ip2.png|vignette|alt=affichage de ip a|ip a]] | [[Fichier:Jinx_ip2.png|vignette|alt=affichage de ip a|ip a]] | ||
<br style="clear: both;" /> | <br style="clear: both;" /> | ||
A expliquer. | |||
==Mascarade== | |||
Nous faisons une mascarade pour que nos machines de services puisse avoir accés à internet en passant par la mandataire en IPv4. | |||
En mettant, le ipv4 routing forward à 1 dans le sysctl, on permet notre machine mandataire à agir tel un routeur pour les machines de services. | |||
Avec la commande suivante : | |||
iptables -t nat -A POSTROUTING -j MASQUERADE | |||
Sans oublier de rendre cela persistant avec iptables-persistent. | |||
=Configuration du routeur Cisco= | =Configuration du routeur Cisco= | ||
Premièrement, à l'aide de mes gentils camarades de classe nous avons reliés le routeur de promo avec capbreton à l'aide d'un cable fibre. | |||
==Séance improvisée du 4 Février== | |||
Nous avons créer plusieurs Vlan, le Vlan 1 de service, le Vlan 50 ou il y aura toutes les machines XEN. Ensuite, tout les VlanX (X = 100 + n) pour les machines de services (1 par personne). Enfin, le Vlan530 permet d'être relié au SR52 de l'école et de pouvoir sortir sur internet. | |||
[[Fichier:show_run_vlan.png|vignette|alt=affichage des vlan à l'aide de show run|affichage des vlan à l'aide de show run]] | |||
<br style="clear: both;" /> | |||
Après plusieurs erreurs, nous avons respecter les conditions données par le cahier des charges sur le sujet. Exemple d'erreur, le réseau IPV4 routé sur le vlan1 | |||
===SSH=== | |||
Pour le SSH, il fallait que le routeur accepte les connexions SSH de nos machines uniquement. Nous avons donc créé une access-list acceptant (permit) le réseau 193.48.57.160 0.0.0.15 et refusant les autres (deny any). On rajoute cette access-list dans l'access-class de la line vty 0 15. | |||
[[Fichier:access_list_kevan.png|vignette|alt=affichage de l'access-list|affichage de l'access-list]] | |||
<br style="clear: both;" /> | |||
[[Fichier:access_class_kevan.png|vignette|alt=affichage de l'access-class|affichage de l'access-class]] | |||
<br style="clear: both;" /> | |||
Peux pas mettre de photo pour access-class présente dans line vty car mdp présent. | |||
Maintenant, à l'aide de la commande suivante, nous pouvons nous connecter en SSH : | |||
ssh admin@193.48.57.161 -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 -o HostKeyAlgorithms=ssh-rsa | |||
===Routeur OSPF=== | |||
Pour échanger les tables avec le SR52, nous utilisons le protocole OSPF. | |||
En respectant le cahier des charges cela donne ceci : | |||
[[Fichier:ospf_kevan.png|vignette|alt=affichage du routeur ospf|affichage du routeur ospf]] | |||
<br style="clear: both;" /> | |||
Il ne faut pas oublier de mettre les réseaux locaux en no-advertise, ceux des vlan individuels sans oublier celui du vlan1 qu'on ne veut pas partager. | |||
On remarque bien que des routes sont avec le code O (pour ospf) au début. | |||
[[Fichier:ospf_kevan_ipr.png|vignette|alt=affichage du routeur ospf (ip route)|affichage du routeur ospf (ip route)]] | |||
<br style="clear: both;" /> | |||
Ainsi, on peut ping google avec le routeur ! | |||
[[Fichier:ping_kevan_routeur.png|vignette|alt=ping google avec le routeur|ping google avec le routeur]] | |||
<br style="clear: both;" /> | |||
===Internet sur la machine mandataire=== | |||
Il faut alors rajouter une gateway sur eth1 qui sera l'adresse du routeur sur le Vlan50 : | |||
[[Fichier:gateway_kevan.png|vignette|alt=gateway ipv4 routée|gateway ipv4 routée]] | |||
<br style="clear: both;" /> | |||
Nous pouvons maintenant sortir sur internet et ping google avec la machine mandataire ! | |||
[[Fichier:ping_google_kevan.png|vignette|alt=ping google machine mandataire|ping google machine mandataire]] | |||
<br style="clear: both;" /> | |||
==Séance du 5 Février== | |||
===Interconnexion et routage IPv6=== | |||
Pendant que mon camarade demande les certificats avec openssl, j'ai décidé d'avancer sur le routage IPv6 du site et son interconnexion avec internet toujours en IPv6. | |||
Mr.Redon avait déjà bien entamé le routage du site en IPv6 en configurant le Vlan 50. J'ai alors continué en réalisant le routeur rip IPv6 en respectant ce qu'il y a dans le sujet, j'ai décidé de le nommer "sysres" sans jamais avoir sollicité les personnes de le classe (désolé). | |||
[[Fichier:router_rip_ipv6.png|vignette|alt=router rip ipv6|router rip ipv6]] | |||
<br style="clear: both;" /> | |||
Ensuite, j'ai, avec l'aide de monsieur Redon, activé et ajouté une adresse IPv6 locale fe80::100. Pour vérifier le bon fonctionnement, nous avons ping fe80::1 avec succés. Puis, il ne fallait pas oublier : | |||
ipv6 rip tpse enable | |||
Afin d'activer le protocole d'échange RIP IPv6. | |||
Voici la configuration du Vlan530 après ces changements : | |||
[[Fichier:vlan530_ipv6.png|vignette|alt=vlan530 après changements|vlan530 après changements]] | |||
<br style="clear: both;" /> | |||
Il est alors possible de ping le routeur (et google) avec nos machines mandataires et services (si bonne configuration des vif dans le .cfg il y a). | |||
=Serveur SSH= | |||
Nous voulons que l'utilisateur root de Vander soit accessible par SSH ainsi que celui de Jinx. Pour Vander c'est assez simple il suffit de rajouter cette ligne dans /etc/ssh/sshd_config | |||
PermitRootLogin yes | |||
Je peux alors accéder à la machine Vander avec son IP routée avec mon ordinateur personnel : | |||
[[Fichier:sshvander.png|vignette|alt=SSH root sur Vander|SSH root sur Vander]] | |||
<br style="clear: both;" /> | |||
Pour Jinx, il faut rediriger le port 2201. J'ai décidé d'utiliser iptables afin d'y arriver. Il faut alors taper les commandes suivantes sans oublier de rendre cela persistant : | |||
iptables -t nat -A PREROUTING -p tcp --dport 2202 -j DNAT --to-destination 192.168.1.2:22 | |||
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT | |||
[[Fichier:sshjinx.png|vignette|alt=SSH root sur Jinx avec redirection|SSH root sur Jinx avec redirection]] | |||
<br style="clear: both;" /> | |||
=Serveur DNS= | |||
Mon binôme Augustin DJADJA a récupérer les certificats et clés privées lors de la séance du 5 Février avec openssl pendant que je travaillais sur l'interconnexion IPv6 du routeur Cisco. | |||
Il faut maintenant essayé de mettre en place mon serveur DNS . | |||
J'ai d'abord esssayé de travailler chez moi pour récupérer le retard. | |||
J'ai alors fait plusieurs erreurs, dans un premier temps j'ai déclarer mon secondaire dans ma zone au lieu de juste le référencer avec un ns2.caitlyn.eu. | |||
Ensuite, j'ai également oublier quelques '.' à la fin des noms de domaines... | |||
Pendant la séance du 11/02/2025, j'ai alors régler quelques soucis de ce que j'ai fait à la maison puis rajouter le DNSSEC. | |||
Ma zone "ekko.my" se trouve qui semble opérationnel pour le moment ressemble à ceci : | |||
/etc/bind/zones/ekko.my.zone | |||
[[Fichier:ekkozone.png|vignette|alt=Zone Ekko 11/02|Zone Ekko 11/02]] | |||
<br style="clear: both;" /> | |||
CNAME va servir pour pouvoir taper www.ekko.my, j'avais oublier le '.' donc on ne pouvait pas y accéder. | |||
Sans oublier l'initialistion dans | |||
/etc/bind/named.conf.local | |||
[[Fichier:localjinx.png|vignette|alt=Local Jinx 11/02|Local Jinx 11/02]] | |||
<br style="clear: both;" /> | |||
Il faut alors dire à Gandi qu'on va gérer tout seul ce serveur DNS et renseigné nos adresses IP. | |||
[[Fichier:ekkogandiglue.png|vignette|alt=Glue|Glue]] | |||
<br style="clear: both;" /> | |||
[[Fichier:NameServerEkko.png|vignette|alt=Gandi Ekko|Gandi Ekko]] | |||
<br style="clear: both;" /> | |||
A l'aide d'un outil comme DNSChecker, on peut alors voir que notre serveur DNS est en train de se propager ! | |||
[[Fichier:jinxdnschecker1.png|vignette|alt=DNS IPv4|DNS IPv4]] | |||
<br style="clear: both;" /> | |||
[[Fichier:jinxdnschecker2.png|vignette|alt=DNS IPv6|DNS IPv6]] | |||
<br style="clear: both;" /> | |||
Version actuelle datée du 11 février 2025 à 16:47
Configuration machine de service Jinx
Partitions LVM
assigner les partitions dans le /etc/xen/SE4.Jinx (disk)
'phy:/dev/virtual/SE4.Jinx-home,xvda3,w', 'phy:/dev/virtual/SE4.Jinx-var,xvdb1,w',
modifier le /etc/fstab
var et home
pour var (critique) :
mkfs -t ext4 /dev/xvdb1 mount /dev/xvdb1 /mnt mv /var/* /mnt umount /mnt mount -a
pour home :
mkfs -t ext4 /dev/xvda3 mount -a
Réseau
eth0
adresse ipv4 locale et adresse ipv6 routée
On rajoute une addresse ipv4 du réseau local a la machine mandataire.
On peut maintenant ping les autres machines de notre réseau privé.
On configure la deuxième interface pour se connecter au routeur avec la machine de service en IPv6.
eth1
On doit rajouter une vif dans le .cfg de la même manière que Vander (Mandataire). On doit renseigner que sur eth1, il y aura de l'IPv6 :
iface eth1 inet6 auto
On peut alors ping google.com en forçant l'IPv6.
Serveur DNS
Configuration machine de service Vander
Réseau
On configure la deuxième interface pour se connecter au routeur avec la machine mandataire.
On ajoute une interface virtuel dans notre .cfg de VM :
Puis on change /etc/network/interfaces :
A expliquer.
Mascarade
Nous faisons une mascarade pour que nos machines de services puisse avoir accés à internet en passant par la mandataire en IPv4.
En mettant, le ipv4 routing forward à 1 dans le sysctl, on permet notre machine mandataire à agir tel un routeur pour les machines de services. Avec la commande suivante :
iptables -t nat -A POSTROUTING -j MASQUERADE
Sans oublier de rendre cela persistant avec iptables-persistent.
Configuration du routeur Cisco
Premièrement, à l'aide de mes gentils camarades de classe nous avons reliés le routeur de promo avec capbreton à l'aide d'un cable fibre.
Séance improvisée du 4 Février
Nous avons créer plusieurs Vlan, le Vlan 1 de service, le Vlan 50 ou il y aura toutes les machines XEN. Ensuite, tout les VlanX (X = 100 + n) pour les machines de services (1 par personne). Enfin, le Vlan530 permet d'être relié au SR52 de l'école et de pouvoir sortir sur internet.
Après plusieurs erreurs, nous avons respecter les conditions données par le cahier des charges sur le sujet. Exemple d'erreur, le réseau IPV4 routé sur le vlan1
SSH
Pour le SSH, il fallait que le routeur accepte les connexions SSH de nos machines uniquement. Nous avons donc créé une access-list acceptant (permit) le réseau 193.48.57.160 0.0.0.15 et refusant les autres (deny any). On rajoute cette access-list dans l'access-class de la line vty 0 15.
Peux pas mettre de photo pour access-class présente dans line vty car mdp présent.
Maintenant, à l'aide de la commande suivante, nous pouvons nous connecter en SSH :
ssh admin@193.48.57.161 -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 -o HostKeyAlgorithms=ssh-rsa
Routeur OSPF
Pour échanger les tables avec le SR52, nous utilisons le protocole OSPF.
En respectant le cahier des charges cela donne ceci :
Il ne faut pas oublier de mettre les réseaux locaux en no-advertise, ceux des vlan individuels sans oublier celui du vlan1 qu'on ne veut pas partager.
On remarque bien que des routes sont avec le code O (pour ospf) au début.
Ainsi, on peut ping google avec le routeur !
Internet sur la machine mandataire
Il faut alors rajouter une gateway sur eth1 qui sera l'adresse du routeur sur le Vlan50 :
Nous pouvons maintenant sortir sur internet et ping google avec la machine mandataire !
Séance du 5 Février
Interconnexion et routage IPv6
Pendant que mon camarade demande les certificats avec openssl, j'ai décidé d'avancer sur le routage IPv6 du site et son interconnexion avec internet toujours en IPv6. Mr.Redon avait déjà bien entamé le routage du site en IPv6 en configurant le Vlan 50. J'ai alors continué en réalisant le routeur rip IPv6 en respectant ce qu'il y a dans le sujet, j'ai décidé de le nommer "sysres" sans jamais avoir sollicité les personnes de le classe (désolé).
Ensuite, j'ai, avec l'aide de monsieur Redon, activé et ajouté une adresse IPv6 locale fe80::100. Pour vérifier le bon fonctionnement, nous avons ping fe80::1 avec succés. Puis, il ne fallait pas oublier :
ipv6 rip tpse enable
Afin d'activer le protocole d'échange RIP IPv6.
Voici la configuration du Vlan530 après ces changements :
Il est alors possible de ping le routeur (et google) avec nos machines mandataires et services (si bonne configuration des vif dans le .cfg il y a).
Serveur SSH
Nous voulons que l'utilisateur root de Vander soit accessible par SSH ainsi que celui de Jinx. Pour Vander c'est assez simple il suffit de rajouter cette ligne dans /etc/ssh/sshd_config
PermitRootLogin yes
Je peux alors accéder à la machine Vander avec son IP routée avec mon ordinateur personnel :
Pour Jinx, il faut rediriger le port 2201. J'ai décidé d'utiliser iptables afin d'y arriver. Il faut alors taper les commandes suivantes sans oublier de rendre cela persistant :
iptables -t nat -A PREROUTING -p tcp --dport 2202 -j DNAT --to-destination 192.168.1.2:22 iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
Serveur DNS
Mon binôme Augustin DJADJA a récupérer les certificats et clés privées lors de la séance du 5 Février avec openssl pendant que je travaillais sur l'interconnexion IPv6 du routeur Cisco.
Il faut maintenant essayé de mettre en place mon serveur DNS .
J'ai d'abord esssayé de travailler chez moi pour récupérer le retard.
J'ai alors fait plusieurs erreurs, dans un premier temps j'ai déclarer mon secondaire dans ma zone au lieu de juste le référencer avec un ns2.caitlyn.eu.
Ensuite, j'ai également oublier quelques '.' à la fin des noms de domaines...
Pendant la séance du 11/02/2025, j'ai alors régler quelques soucis de ce que j'ai fait à la maison puis rajouter le DNSSEC.
Ma zone "ekko.my" se trouve qui semble opérationnel pour le moment ressemble à ceci :
/etc/bind/zones/ekko.my.zone
CNAME va servir pour pouvoir taper www.ekko.my, j'avais oublier le '.' donc on ne pouvait pas y accéder.
Sans oublier l'initialistion dans
/etc/bind/named.conf.local
Il faut alors dire à Gandi qu'on va gérer tout seul ce serveur DNS et renseigné nos adresses IP.
A l'aide d'un outil comme DNSChecker, on peut alors voir que notre serveur DNS est en train de se propager !
