« Atelier SysRes SE4 2024/2025 E6 » : différence entre les versions
Aucun résumé des modifications |
|||
| Ligne 115 : | Ligne 115 : | ||
[[Fichier:ping_google_kevan.png|vignette|alt=ping google machine mandataire|ping google machine mandataire]] | [[Fichier:ping_google_kevan.png|vignette|alt=ping google machine mandataire|ping google machine mandataire]] | ||
<br style="clear: both;" /> | <br style="clear: both;" /> | ||
==Séance du 5 Février== | |||
Pendant que mon camarade demande les certificats avec openssl, j'ai décidé d'avancer sur le routage IPv6 du site et son interconnexion avec internet toujours en IPv6. | |||
Mr.Redon avait déjà bien entamé le routage du site en IPv6 en configurant le Vlan 50. J'ai alors continué en réalisant le routeur rip IPv6 en respectant ce qu'il y a dans le sujet, j'ai décidé de le nommer "sysres" sans jamais avoir sollicité les personnes de le classe (désolé). | |||
[[Fichier:router_rip_ipv6.png|vignette|alt=router rip ipv6|router rip ipv6]] | |||
<br style="clear: both;" /> | |||
Ensuite, j'ai, avec l'aide de monsieur Redon, activé et ajouté une adresse IPv6 locale fe80::100. Pour vérifier le bon fonctionnement, nous avons ping fe80::1 avec succés. Puis, il ne fallait pas oublier : | |||
ipv6 rip tpse enable | |||
Afin d'activer le protocole d'échange RIP IPv6. | |||
Voici la configuration du Vlan530 après ces changements : | |||
[[Fichier:vlan530_ipv6.png|vignette|alt=vlan530 après changements|vlan530 après changements]] | |||
<br style="clear: both;" /> | |||
Il est alors possible de ping le routeur (et google) avec nos machines mandataires et services (si bonne configuration des vif dans le .cfg il y a). | |||
Version du 5 février 2025 à 16:33
Machine de service Jinx
Partitions LVM
assigner les partitions dans le /etc/xen/SE4.Jinx (disk)
'phy:/dev/virtual/SE4.Jinx-home,xvda3,w', 'phy:/dev/virtual/SE4.Jinx-var,xvdb1,w',
modifier le /etc/fstab
var et home
pour var (critique) :
mkfs -t ext4 /dev/xvdb1 mount /dev/xvdb1 /mnt mv /var/* /mnt umount /mnt mount -a
pour home :
mkfs -t ext4 /dev/xvda3 mount -a
Réseau
adresse ipv4 locale et adresse ipv6 routée
On rajoute une addresse ipv4 du réseau local a la machine mandataire.
On peut maintenant ping les autres machines de notre réseau privé.
On configure la deuxième interface pour se connecter au routeur avec la machine de service en IPv6.
Machine de service Vander
Réseau
On configure la deuxième interface pour se connecter au routeur avec la machine mandataire.
On ajoute une interface virtuel dans notre .cfg de VM :
Puis on change /etc/network/interfaces :
A expliquer.
Mascarade
Nous faisons une mascarade pour que nos machines de services puisse avoir accés à internet en passant par la mandataire en IPv4.
En mettant, le ipv4 routing forward à 1 dans le sysctl, on permet notre machine mandataire à agir tel un routeur pour les machines de services. Avec la commande suivante :
iptables -t nat -A POSTROUTING -j MASQUERADE
Sans oublier de rendre cela persistant avec iptables-persistent.
Configuration du routeur Cisco
Premièrement, à l'aide de mes gentils camarades de classe nous avons reliés le routeur de promo avec capbreton à l'aide d'un cable fibre.
Séance improvisée du 4 Février
Nous avons créer plusieurs Vlan, le Vlan 1 de service, le Vlan 50 ou il y aura toutes les machines XEN. Ensuite, tout les VlanX (X = 100 + n) pour les machines de services (1 par personne). Enfin, le Vlan530 permet d'être relié au SR52 de l'école et de pouvoir sortir sur internet.
Après plusieurs erreurs, nous avons respecter les conditions données par le cahier des charges sur le sujet. Exemple d'erreur, le réseau IPV4 routé sur le vlan1
SSH
Pour le SSH, il fallait que le routeur accepte les connexions SSH de nos machines uniquement. Nous avons donc créé une access-list acceptant (permit) le réseau 193.48.57.160 0.0.0.15 et refusant les autres (deny any). On rajoute cette access-list dans l'access-class de la line vty 0 15.
Maintenant, à l'aide de la commande suivante, nous pouvons nous connecter en SSH :
ssh admin@193.48.57.161 -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 -o HostKeyAlgorithms=ssh-rsa
Routeur OSPF
Pour échanger les tables avec le SR52, nous utilisons le protocole OSPF.
En respectant le cahier des charges cela donne ceci :
Il ne faut pas oublier de mettre les réseaux locaux en no-advertise, ceux des vlan individuels sans oublier celui du vlan1 qu'on ne veut pas partager.
On remarque bien que des routes sont avec le code O (pour ospf) au début.
Ainsi, on peut ping google avec le routeur !
Internet sur la machine mandataire
Il faut alors rajouter une gateway sur eth1 qui sera l'adresse du routeur sur le Vlan50 :
Nous pouvons maintenant sortir sur internet et ping google avec la machine mandataire !
Séance du 5 Février
Pendant que mon camarade demande les certificats avec openssl, j'ai décidé d'avancer sur le routage IPv6 du site et son interconnexion avec internet toujours en IPv6. Mr.Redon avait déjà bien entamé le routage du site en IPv6 en configurant le Vlan 50. J'ai alors continué en réalisant le routeur rip IPv6 en respectant ce qu'il y a dans le sujet, j'ai décidé de le nommer "sysres" sans jamais avoir sollicité les personnes de le classe (désolé).
Ensuite, j'ai, avec l'aide de monsieur Redon, activé et ajouté une adresse IPv6 locale fe80::100. Pour vérifier le bon fonctionnement, nous avons ping fe80::1 avec succés. Puis, il ne fallait pas oublier :
ipv6 rip tpse enable
Afin d'activer le protocole d'échange RIP IPv6.
Voici la configuration du Vlan530 après ces changements :
Il est alors possible de ping le routeur (et google) avec nos machines mandataires et services (si bonne configuration des vif dans le .cfg il y a).