Project

General

Profile

LIR » History » Version 330

sacha, 09/28/2018 01:32 AM

1 328
# LIR
2
3 330 sacha
4
## Activité de LIR Aquilenet
5 329 sacha
6
Pour tous les contrats faire signer le document
7
8
### Fourniture d'un ASN
9
10
11
---
12
13 328
https://lirportal.ripe.net/  
14
https://www.ripe.net/manage-ips-and-asns  
15
https://apps.db.ripe.net/db-web-ui/#
16
17
    whois -i mnt-by fr-aquilenet-1-mnt
18
    
19
    # Préféré, car retour d'erreur immédiat:
20
    gpg --clearsign updates.txt (will produce updates.txt.asA c)
21
    curl --data-urlencode DATA@updates.txt.asc http://syncupdates.db.ripe.net
22
    
23
    # Sinon, par mail:
24
    gpg --clearsign updates.txt (will produce updates.txt.asc)
25
    mail -s 'Bulk inetnum update' auto-dbm@ripe.net < updates.txt.asc
26
    # ou alors juste coller dans un mail qu'on signe normalement
27
28
## blabla
29
30
Kazar ferme ses portes, on doit donc trouver un autre LIR. Dans les associatifs, il y a
31
32
  - Gitoyen, qui est LIR pour pas mal d'autres assos de la fédé
33
  - Tetaneutral, qui prône pour la création de nouveaux LIRs
34
  - Web4all, qui n'a pas répondu à nos demandes.
35
36
On a demandé sur la liste membres@ffdn, certaines assos pourraient être intéressées:
37
38
  - Ilico
39
  - AIL-Network (mais plus maintenant: sont en train de se constituer LIR avec CARBODEBIT et WIFI SAINT JULIEN)
40
  - SamesWireless
41
  - tetaneutral peut prendre des parts s'il y a besoin
42
43
Par ailleurs, il y a des discussions en cours au RIPE sur la diminution du préfixe attribué aux LIR, on passerait d'un /22 à un /24:
44
45
https://www.ripe.net/ripe/mail/archives/address-policy-wg/2017-September/012087.html
46
47
On a finalement décidé de devenir LIR
48
49
## Déroulement chronologique
50
51
  - 31/10/17 Demande envoyée, NCC\#2017106202
52
  - 02/11/17 Demande de précisions sur le nom de l'association de la part du RIPE
53
  - 06/11/17 Confirmation enregistrement approuvé ticket 11430
54
  - 13/11/17 Demande du RIPE de confirmation qu'on n'a pas de numéro de TVA
55
  - 14/11/17 Réception de la facture (invoice). **Note:** Malheureusement il y a un délai de 48h pour pouvoir activer un bénéficiaire étranger chez le crédit coop :/ Il aurait fallu demander le numéro de compte plus tôt pour éviter d'attendre.
56
  - 15/11/17 Réception de contrat "RIPE NCC Standard Service Agreement"
57
  - 16/11/17 Règlement invoice
58
  - 17/11/17 Envoi contrat signé via le DHL prépayé.
59
  - 20/11/17 Confirmation par le RIPE du règlement de l'invoice
60
  - 21/11/17 Création de [ORG-AA1915-RIPE](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=ORG-AA1915-RIPE&type=organisation) , [Aquilenet Contact](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AC35087-RIPE&type=person) , [Abuse-C Role](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AR43951-RIPE&type=role) , [fr-aquilenet-1-mnt](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
61
  - 21/11/17 Requête du /22 : Your IPv4 allocation request is created successfully , Ticket 18000 , requête du /29: Your IPv6 allocation request is created successfully, Ticket 18003
62
  - 23/11/17 "Today, the RIPE NCC allocated the following IPv4 prefix: 185.233.100.0/22 to AQUILENET (fr.aquilenet)" , "Today, the RIPE NCC allocated the following IPv6 prefix: 2a0c:e300::/29 to AQUILENET (fr.aquilenet)"
63
  - 23/11/17 Création des objets inetnum et inet6num pour notre usage actuel (2 /24 et un /32)
64
  - 23/11/17 Création des objets route et route6 pour déclarer notre routage par notre AS
65
  - 23/11/17 Création des objets domain pour configurer le RDNS
66
67
  - DONE: obtenir d'Anteor qu'il
68
69
* Passe AS198985 sur notre mnt (fr-aquilenet-1-mnt)  
70
71
* Passe la person Alexandre Borrut AB25125-RIPE sur notre mnt (fr-aquilenet-1-mnt)  
72
* Transfère AS198985 à notre LIR ORG-AA1915-RIPE, procédure https://my.ripe.net/#/update-registry/provide-details?onBehalfOfEndUser=false\&updateRegistryRequestType=transfer , https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/required-documents-for-registry-updates https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/transfers/transfer-agreement-template
73
74
* Didier clapier dit que ça serait plutôt https://www.ripe.net/manage-ips-and-asns/resource-management/number-resources/independent-resources/information-on-independent-resources-for-end-users
75
76
## Objets RIPE
77
78
Liste de nos objets:
79
80
    whois -i mnt-by fr-aquilenet-1-mnt
81
82
  - LIR [ORG-AA1915-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ORG-AA1915-RIPE&type=organisation)
83
  - mnter [fr-aquilenet-1-mnt](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
84
  - role [AR43951-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AR43951-RIPE&type=role)
85
  - role [AC35116-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35116-RIPE&type=role)
86
  - person Aquilenet Contact [AC35087-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35087-RIPE&type=person)
87
  - person Alexandre Borrut [AB25125-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AB25125-RIPE&type=person)
88
  - person Samuel Thibault [ST11379-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ST11379-RIPE&type=person)
89
  - key-cert [PGPKEY-7D069EE6](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/key-cert/PGPKEY-7D069EE6)
90
  - aut-num [AS198985](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AS198985&type=aut-num)
91
  - inetnum [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.103.255&type=inetnum)
92
  - inetnum [185.233.100.0/23](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.101.255&type=inetnum)
93
  - inetnum [185.233.100.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.100.0%2520-%2520185.233.100.255)
94
  - inetnum [185.233.101.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.101.0%2520-%2520185.233.101.255)
95
  - inetnum [185.233.102.0/26](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.102.0%2520-%2520185.233.102.63)
96
  - inet6num [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F29&type=inet6num)
97
  - inet6num [2a0c:e300::/32](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F32&type=inet6num)
98
  - route [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route/185.233.100.0%252F22AS198985)
99
  - route6 [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route6/2a0c%253Ae300%253A%253A%252F29AS198985)
100
  - domain [100.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=100.233.185.in-addr.arpa&type=domain)
101
  - domain [101.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=101.233.185.in-addr.arpa&type=domain)
102
  - domain [102.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=102.233.185.in-addr.arpa&type=domain)
103
  - domain [103.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=103.233.185.in-addr.arpa&type=domain)
104
  - domain [0.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=0.0.3.e.c.0.a.2.ip6.arpa&type=domain)
105
  - domain [1.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=1.0.3.e.c.0.a.2.ip6.arpa&type=domain)
106
  - domain [2.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2.0.3.e.c.0.a.2.ip6.arpa&type=domain)
107
  - domain [3.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=3.0.3.e.c.0.a.2.ip6.arpa&type=domain)
108
  - domain [4.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=4.0.3.e.c.0.a.2.ip6.arpa&type=domain)
109
  - domain [5.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=5.0.3.e.c.0.a.2.ip6.arpa&type=domain)
110
  - domain [6.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=6.0.3.e.c.0.a.2.ip6.arpa&type=domain)
111
  - domain [7.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=7.0.3.e.c.0.a.2.ip6.arpa&type=domain)
112
113
Tout se passe maintenant sur https://lirportal.ripe.net https://www.ripe.net/manage-ips-and-asns https://apps.db.ripe.net/db-web-ui/#
114
115 329 sacha
---
116
---
117
118
## *vieux pour les archives: Migration de LIR & IP*
119 328
120
  - {background:lightgreen} DONE : mise à jour bgpd.conf
121
  - {background:lightgreen} DONE : mise à jour bgpd blackhole
122
  - {background:lightgreen} DONE : mise à jour bgpd nlnog =\> mail
123
  - {background:lightgreen} DONE : mise à jour firewall
124
  - {background:lightgreen} DONE : mise à jour RDNS
125
  - {background:lightgreen} DONE : mise à jour carp cerbere
126
  - {background:lightgreen} DONE : mise à jour scripts Xen
127
  - mise à jour des machines une par une... configuration /etc/network/interfaces, firewall, conf serveurs
128
  - VMs Apollon
129
      - acaqb =\> mail
130
      - {background:lightgreen} DONE : agatas-aqui-vm1 =\> mail
131
      - <span style="background:lightgreen;">DONE agatasTeT =\> mail</span>
132
      - {background:lightgreen} DONE : alcyon \[04/12/17 - 23:25\]
133
      - ~~ate~~
134
      - bayonnet =\> mail
135
      - bayonnet2 =\> mail
136
      - {background:lightgreen} DONE : cpprod
137
      - {background:lightgreen} DONE cpprod-dev
138
      - {background:lightgreen} DONE :dev-cortex =\> mail
139
      - ~~dev-iidre =\> mail~~
140
      - {background:lightgreen} DONE :dev-sacha
141
      - {background:lightgreen} DONE: dionysos
142
      - {background:lightgreen} DONE :duniter
143
      - ecce-info
144
      - {background:lightgreen} DONE :embedded-freedom =\> mail
145
      - {background:lightgreen} DONE :f1te =\> mail
146
      - {background:lightgreen} DONE : griffith =\> mail
147
      - {background:lightgreen} DONE : guilarr =\> mail
148
      - ~~guzel~~
149
      - {background:lightgreen} DONE hades (à finir en dernier pour garder les IPs DNS récursif disponibles)
150
      - {background:lightgreen} DONE :hermes
151
      - {background:lightgreen} DONE iidre
152
      - {background:lightgreen} DONE iris
153
      - {background:lightgreen} DONE janus
154
      - motv =\> mail
155
      - {background:lightgreen} DONE : natha =\> mail
156
      - {background:lightgreen} DONE neutral
157
      - {background:lightgreen} DONE nlnog =\> mail
158
      - {background:lightgreen} DONE : sanssoucis =\> mail
159
      - {background:lightgreen} DONE : tchaikovski =\> irc fx
160
      - {background:lightgreen} DONE : tdn =\> mail
161
      - ~~test~~ \<= ???
162
      - ~~triton~~
163
      - tyche
164
      - {background:lightgreen} DONE : web.openbeelab
165
  - VMs artemis
166
      - {background:lightgreen} DONE : athena (à finir en dernier pour garder la supervision)
167
      - {background:lightgreen} DONE : demeter
168
      - {background:lightgreen} DONE : eos
169
      - {background:lightgreen} DONE : gaia (à finir en dernier pour garder les IPs DNS récursif disponibles)
170
      - {background:lightgreen} DONE hera (à finir en dernier pour le ldap & such)
171
      - {background:lightgreen} DONE hestia
172
      - {background:lightgreen} DONE labx-ipmi =\> mail
173
      - {background:lightgreen} DONE persephone
174
      - ~~test~~
175
  - Elidee =\> mail+ relance 21/12
176
  - {background:lightgreen} DONE : Sayanet
177
  - ENCOURS: Zeus
178
  - Guix =\> mail (machine pas au dc en ce moment)
179
  - {background:lightgreen} DONE : Poseidon
180
  - {background:lightgreen} DONE : L@BX
181
  - {background:lightgreen} DONE : PDU 7920
182
  - PDU 7821: pas réussi à m'y connecter: mot de passe invalide...
183
  - {background:lightgreen} DONE : styx
184
  - mise à jour des VPNs: nouvelles IPs activées, on attend les confirmations des gens avant de les basculer sur la nouvelle IP
185
  - {background:lightgreen} DONE : corriger doc compta IP fixe VPN
186
  - {background:lightgreen} DONE : mise à jour dhcp
187
  - mise à jour DNS au fur et à mesure, refaire une passe complète pour vérifier.
188
  - {background:lightgreen} DONE Prévenir les abonnés qu'on a changé le DNS: ce n'est plus 141.255.128.100 / 101, mais 185.233.100.100 / 101
189
  - Finir de corriger le wiki
190
191
## Mise à jour d'une VM
192
193
Tout le réseau 141.255.128.0/24 devient 185.233.100.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
194
195
Dans cet exemple, on travaille sur la VM gaia (141.255.128.2 -\> 185.233.100.2)
196
197
### Conf réseau
198
199
Pour une transition en douceur, on peut dans un premier temps juste ajouter la nouvelle IP à côté de l'ancienne. Sous Debian, on peut par exemple ajouter à /etc/network/interfaces:
200
201
    auto eth0:1
202
    iface eth0:1 inet static
203
     address 185.233.100.2
204
     #gateway 185.233.100.126
205
     netmask 255.255.255.128
206
    iface eth0:1 inet6 static
207
     address 2a0c:e300::2
208
     #gateway 2a0c:e300::126
209
     netmask 48
210
211
et lancer `ifup eth0:1` pour avoir la nouvelle IP.
212
213
Si ce n'est pas déjà fait, il faut corriger `/etc/resolv.conf`:
214
215
    nameserver 185.233.100.100
216
    nameserver 185.233.100.101
217
    nameserver 80.67.169.12
218
    nameserver 2a0c:e300::100
219
    nameserver 2a0c:e300::101
220
221
Si ce n'est pas déjà fait, il faut corriger `/etc/nagios/nrpe.d/aquilenet.cfg` le `allowed_hosts` et lancer `service nagios-nrpe-server reload`
222
223
Si ce n'est pas déjà fait, il faut corriger `/etc/hosts` pour mettre le nom de la machine elle-même sur la nouvelle IP aussi.
224
225
Si ce n'est pas déjà fait, il faut corriger l'IP dans `/etc/motd`
226
227
### Conf firewall
228
229
Il faut éventuellement corriger le firewall, typiquement corriger `/etc/iptables/rules*` et relancer `netfilter-persistent start` ou `/etc/init.d/iptables-persistent start`
230
231
### Conf service
232
233
On peut alors vérifier que les services de la VM sont accessibles avec la nouvelle IP: dans /etc/hosts sur son propre ordi, on peut mettre
234
235
    185.233.100.2 www.aquilenet.fr
236
    2a0c:e300::2 www.aquilenet.fr
237
238
et vérifier que ça fonctionne bien à la fois en v4 et v6. Ça peut ne pas fonctionner si le service est bindé explicitement sur les anciennes IP (cas de bind9 par exemple), il faut alors binder sur à la fois les anciennes et les nouvelles. En général on écoute sur toutes les IPs donc pas de souci. On peut le vérifier assez facilement avec netstat:
239
240
    netstat -Ainet -Ainet6 -anp | grep LISTEN
241
242
Si ça indique 0.0.0.0 et :: c'est que ça écoute sur toutes les IPs. Si c'est 141.255.128.x, c'est qu'il écoute explicitement sur les IPs, et il faut configurer ça. S'il y a du 127.0.0.1 ou ::1, c'est normal, c'est les services en interne seulement. Cette même commande permet de vérifier facilement que le service écoute maintenant sur les nouvelles IPs aussi :)
243
244
On peut aussi faire un gros `grep -r 141.255.128 /etc` et `grep -ri 2a01:474 /etc`
245
246
### Basculement DNS
247
248
Une fois qu'on est sûr que le service fonctionne sur la nouvelle IP, on peut basculer dans DNS: sur gaia, /etc/ns2/db.aquilenet, changer les IPv4 et v6 (chercher \[:.\]2$ par exemple), mettre à jour le serial, et lancer `service ns2 reload` . IL faut au même moment regarder l'heure: le TTL est par défaut 28800s, donc 8h, donc pendant 8h il peut y avoir des machines qui ont encore en cache l'ancien enregistrement DNS.
249
250
Bien sûr, s'il y a d'autres nom de domaines hors aquilenet.fr qui pointent sur nos IPs, il faut les mettre à jour aussi...
251
252
### Supervision shinken
253
254
Sans attendre, sur athena, dans /etc/shinken/hosts/aquilenet/aquilenet.cfg, corriger l'adresse, et faire un `service shinken reload`
255
256
### Fin conf réseau
257
258
Noter dans la liste des VMs ci-dessus la date et heure de basculement DNS
259
260
8h après le basculement DNS, le TTL est expiré, personne n'est plus censé utiliser l'ancienne IP, on peut alors la supprimer, en virant la section eth0 et en renommant eth0:1 en eth0 et en décommentant les lignes gateway et un ptit reboot est utile pour être sûr que ça fonctionne vraiment au poil.
261
262
## VPN
263
264
Tout le réseau 141.255.130.0/24 devient 185.233.101.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
265
266
Pour ceux qui ont des IPs fixes, on préfère éviter de leur changer la configuration de manière impromptue. On a donc pour l'instant mis (par exemple pour le VPN 42):
267
268
    ifconfig-push 141.255.130.42 255.255.255.0
269
    push route-gateway 141.255.130.254
270
    iroute 185.233.101.42
271
    ifconfig-ipv6-push 2a01:474:4:42:: 2a01:474:4:80::1
272
    iroute-ipv6 2a01:474:4:42::/64
273
    iroute-ipv6 2a0c:e300:4:42::/64
274
275
Ce qui permet de faire fonctionner à la fois l'ancienne et la nouvelle IP, même si c'est encore l'ancienne qui est configurée automatiquement par openvpn côté client (on est obligé de forcer le route-gateway car malgré le ifconfig-push cet idiot d'openvpn utilise pour route-gateway l'IP du serveur dans 185.233.101.0/24...). L'abonné peut utiliser de son côté
276
277
    ip addr add dev tun0 185.233.100.42
278
279
pour activer à la main la nouvelle IP, puis vérifier que l'on peut effectivement accéder à son serveur avec la nouvelle IP. Une fois confirmé, on peut basculer sur la nouvelle IP:
280
281
    ifconfig-push 185.233.101.42 255.255.255.0
282
    iroute 141.255.130.42
283
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
284
    iroute-ipv6 2a01:474:4:42::/64
285
    iroute-ipv6 2a0c:e300:4:42::/64
286
287
i.e. on bascule ifconfig-push, on enlève push route-gateway, on bascule iroute, et on bascule ifconfig-ipv6-push. On ne touche pas à iroute-ipv6: on garde les deux routes pour l'instant.
288
289
Et une fois que l'adhérent n'utilise plus l'ancienne IP (parce que le TTLS DNS de ses noms de domaine est expiré par exemple), on peut virer l'ancienne IP:
290
291
    ifconfig-push 185.233.101.42 255.255.255.0
292
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
293
    iroute-ipv6 2a0c:e300:4:42::/64
294
295
i.e. on enlève les iroute et iroute-ipv6 vers les anciennes IPs