documentation/procédures/gestion_IP_préfixe.md

264 lines
11 KiB
Markdown

# Gestion des préfixes IPv4
## Situation
Libre en Communs dispose de deux préfixes IPv4, fournis par Gitoyen :
- `80.67.160.144/29` attribué à la ligne de `Fontainebleau`
- `80.67.160.152/29` attribué à la ligne de `Le Parc`
### Réservations
#### Site `Fontainebleau` - `80.67.160.144/29`
| **Adresse** | **Projet** | **Usage** | **Détails** |
|---------------|--------------|-------------------------|-------------------------|
| 80.67.160.144 | | (disponible pour NAT) | adresse réseau |
| 80.67.160.145 | Chalec | IP NAT de sous-réseau | 192.168.2.0/24 |
| 80.67.160.146 | | (disponible) | |
| 80.67.160.147 | | (disponible) | |
| 80.67.160.148 | | (disponible) | |
| 80.67.160.149 | | (disponible) | |
| 80.67.160.150 | Speed-Dreams | IP de machine virtuelle | server.speed-dreams.net |
| 80.67.160.151 | Cominfra | inutilisable | adresse broadcast |
#### Site `Le Parc` - `80.67.160.152/29`
| **Adresse** | **Projet** | **Usage** | **Détails** |
|---------------|--------------|-------------------------|-------------------------|
| 80.67.160.152 | Cominfra | IP NAT de sous-réseau | adresse réseau + ns1 |
| 80.67.160.153 | Chalec | IP NAT de sous-réseau | 192.168.2.0/24 |
| 80.67.160.154 | Cominfra | IP NAT de sous-réseau | mail.a-lec.org |
| 80.67.160.155 | | (disponible) | |
| 80.67.160.156 | | (disponible) | |
| 80.67.160.157 | | (disponible) | |
| 80.67.160.158 | | (disponible) | |
| 80.67.160.159 | Cominfra | inutilisable | adresse broadcast |
## Configuration d'un préfixe
La configuration d'un préfixe se fait à plusieurs niveaux :
- routeur du site concerné
- zone rDNS déléguée à Libre en Communs
### Configuration de la zone rDNS
Les zones rDNS sont à mettre en place sur `dns.libre-en-communs.org`.
En l'occurence, il s'agit des zones :
- `144-29.160.67.80.in-addr.arpa` (fichier `80.67.160.144-29::.zone`)
- `152-29.160.67.80.in-addr.arpa` (fichier `80.67.160.152-29::.zone`)
Ces fichiers doivent bien-sûr contenir la déclaration SOA/NS, typiquement :
$TTL 60m
@ IN SOA dns.libre-en-communs.org. contact.a-lec.org. (
2406171328 ; serial
86400 ; refresh (1 day)
3600 ; retry (1 hour)
3600000 ; expire (5 weeks 6 days 16 hours)
300 ; minimum (5 minutes)
)
@ IN NS dns.libre-en-communs.org.
@ IN NS ns0.libre-en-communs.org.
@ IN NS ns1.libre-en-communs.org.
Ensuite, chaque enregistrement inverse est représenté par une ligne de la forme :
suffixe IN PTR domaine.
Par exemple, pour l'adresse 80.67.160.154 :
154 IN PTR mail.a-lec.org.
### Configuration du préfixe sur le routeur
#### Méthode graphique
Pour être en mesure d'utiliser le préfixe sur le site affecté, il faut créer une
interface virtuelle de type WAN dédiée. Sur nos routeurs cela se fait comme suit :
1. Se rendre sur la page de configuration des interfaces du routeur (_Network > Interfaces_)
2. Créer une nouvelle interface (_Add new interface_)
3. Utiliser un nom cohérent (par exemple _wan2_)
4. Choisir le protocole _Static address_
5. Utiliser le périphérique correspondant à l'interface _wan_ (chez nous, _pppoe-wan_)
6. Cliquer sur _Create interface_
7. Dans le champ _IPv4 address_, remplir avec le préfixe en notation CIDR et cliquer sur les "..."
8. Dans l'onglet _Advanced Settings_, désactiver l'option _Delegate IPv6 prefixes_
9. Dans l'onglet _Firewall Settings_, assigner à la zone _wan_
10. Sauvegarder et appliquer les changements
On crée ensuite une interface virtuelle de type LAN dédiée, afin de pouvoir bénéficier
du serveur DHCP plus tard. Sur nos routeurs, cela se fait comme suit :
11. Se rendre sur la page de configuration des interfaces du routeur (_Network > Interfaces_)
12. Créer une nouvelle interface (_Add new interface_)
13. Utiliser un nom cohérent (par exemple _lan2_)
14. Choisir le protocole _Static address_
15. Utiliser le périphérique correspondant à l'interface _lan_ (chez nous, _br-lan_)
16. Cliquer sur _Create interface_
17. Dans le champ _IPv4 address_, remplir avec le préfixe en notation CIDR et cliquer sur les "..."
18. Dans l'onglet _Advanced Settings_, désactiver l'option _Delegate IPv6 prefixes_
19. Dans l'onglet _Firewall Settings_, assigner à la zone _lan_
20. Dans l'onglet _DHCP Server_, cliquer sur _Create DHCP Server_
21. Dans l'onglet _General Setup_, indiquer le premier suffixe dans le champ _Start_ et le nombre
total d'adresses dans le champ _Limit_
22. Dans l'onglet _Advanced Settings_, désactiver l'option _Dynamic DHCP_
23. Sauvegarder et appliquer les changements.
#### Méthode en ligne de commande
Pour être en mesure d'utiliser le préfixe sur le site affecté, il faut créer une
interface virtuelle de type WAN dédiée. Sur nos routeurs cela se fait comme suit :
1. Se connecter en SSH au routeur
2. Ouvrir le fichier `/etc/config/network` et ajouter le bloc de configuration suivant :
config interface '<nom de l'interface>' # par exemple _wan2_
option proto 'static'
option device '<nom du périphérique>' # par exemple, _pppoe-wan_
list ipaddr '<prefixe en notation CIDR>'
option delegate '0'
3. Sauvegarder et valider avec :
uci commit /etc/config/network
/etc/init.d/network reload
On crée ensuite une interface virtuelle de type LAN dédiée, afin de pouvoir bénéficier
du serveur DHCP plus tard. Sur nos routeurs, cela se fait comme suit :
4. Ouvrir le fichier `/etc/config/network` et ajouter le bloc de configuration suivant :
config interface '<nom de l'interface>' # par exemple _lan2_
option proto 'static'
option device '<nom du périphérique>' # par exemple, _br-lan_
list ipaddr '<prefixe en notation CIDR>'
option delegate '0'
5. Ouvrir le fichier `/etc/config/dhcp` et ajouter le bloc de configuration suivant :
config dhcp '<nom de l'interface>' # par exemple _lan2_
option interface '<nom de l'interface>'
option leasetime '12h'
option start '<adresse de départ>' # par exemple 145
option limit '<nombre d adresses>' # par exemple 5
option dynamicdhcp '0'
list ra_flags 'none'
6. Sauvegarder et valider avec :
uci commit /etc/config/network
uci commit /etc/config/dhcp
/etc/init.d/network reload
/etc/init.d/dhcp reload
## Affectation d'IPs
### Affectation d'une IP à un sous-réseau
L'affectation d'une IP à un sous-réseau nécessite la configuration prélable
du préfixe (voir plus haut), puis la création d'une interface virtuelle WAN.
#### Méthode graphique
On crée d'abord l'interface WAN virtuelle :
1. Se rendre sur la page de configuration des interfaces du routeur (_Network > Interfaces_)
2. Créer une nouvelle interface (_Add new interface_)
3. Utiliser un nom cohérent (par exemple _wan3_)
4. Choisir le protocole _Static address_
5. Utiliser le périphérique correspondant à l'interface _wan_ (chez nous, _pppoe-wan_)
6. Cliquer sur _Create interface_
7. Dans le champ _IPv4 address_, remplir avec l'IP en notation CIDR (**avec /32**)
et cliquer sur les "..."
8. Dans l'onglet _Advanced Settings_, désactiver l'option _Delegate IPv6 prefixes_
9. Dans l'onglet _Firewall Settings_, assigner à la zone _wan_
10. Sauvegarder et appliquer les changements
On crée ensuite une règle NAT pour le sous-réseau :
11. Se rendre sur la page de configuration du pare-feu du routeur (_Network > Firewall_)
12. Aller à l'onglet _NAT Rules_
13. Créer une nouvelle règle (_Add_) et paramétrer :
- _Name_ : mettre un nom cohérent
- _Protocol_ : laisser à _Any_
- _Outbound zone_ : choisir _wan_
- _Source address_ : utiliser le préfixe du sous-réseau en notation CIDR
- _Destination address_ : choisir _Any_
- _Action_ : laisser _SNAT_
- _Rewrite IP address_ : indiquer l'IP correspondant à l'interface WAN
virtuelle créée plus tôt.
14. Sauvegarder et appliquer les changements.
#### Méthode en ligne de commande
On crée d'abord l'interface WAN virtuelle :
1. Se connecter en SSH au routeur
2. Ouvrir le fichier `/etc/config/network` et ajouter le bloc de configuration suivant :
config interface '<nom de l'interface>' # par exemple _wan2_
option proto 'static'
option device '<nom du périphérique>' # par exemple, _pppoe-wan_
list ipaddr '<adresse IP en notation CIDR>' # avec /32
option delegate '0'
3. Sauvegarder et valider avec :
uci commit /etc/config/network
/etc/init.d/network reload
On crée ensuite une règle NAT pour le sous-réseau :
4. Ouvrir le fichier `/etc/config/firewall` et ajouter le bloc de configuration suivant :
config nat
option name '<nom de la règle>'
option src '<nom de la zone>' # par exemple, _wan_
option target 'SNAT'
option src_ip '<adresse IP du sous-réseau en CIDR>'
option snat_ip '<adresse IP attribuée, sans CIDR>'
list proto 'all'
5. Sauvegarder et valider avec :
uci commit /etc/config/firewall
/etc/init.d/firewall reload
### Affectation d'une IP à une machine virtuelle
L'affectation d'une IP à une machine virtuelle ne nécessite que la configuration
d'une règle DHCP.
#### Méthode graphique
1. Se rendre sur la page de configuration des interfaces du routeur (_Network > DHCP_)
2. Se rendre dans l'onglet _Static Leases_
13. Créer une nouvelle règle (_Add_) et paramétrer :
- _Hostname_ : indiquer le nom de domaine de la machine virtuelle
- _MAC-Address_ : indiquer l'adresse MAC de la machine virtuelle
- _IPv4-Address_ : indiquer l'IP attribuée
- _DUID_ : choisir le DUID de la machine virtuelle
- _IPv6 Suffix_ : choisir un suffixe pour l'IPv6 s'il y a lieu
14. Sauvegarder et appliquer les changements.
#### Méthode en ligne de commande
1. Se connecter en SSH au routeur
2. Ouvrir le fichier `/etc/config/dhcp` et ajouter le bloc de configuration suivant :
config host
option name '<nom de domaine de la machine>'
option dns '1'
option mac '<adresse MAC de la machine>'
option hostid '<suffixe IPv6 si besoin>'
option duid '<DUID de la machine>'
option ip '<IP attribuée>'
3. Sauvegarder et valider avec :
uci commit /etc/config/dhcp
/etc/init.d/dhcp reload