LIR » Historique » Version 342
youpi, 19/02/2021 01:18
1 | 328 | # LIR |
|
---|---|---|---|
2 | |||
3 | 330 | sacha | |
4 | ## Activité de LIR Aquilenet |
||
5 | 329 | sacha | |
6 | 331 | sacha | Pour tous les contrats faire signer le document https://atelier.aquilenet.fr/attachments/download/582/Aquilenet_LIR-Stolon-Convention-20180927.odt |
7 | 329 | sacha | |
8 | 332 | youpi | ### Ajouter un admin sur les objets RIPE |
9 | |||
10 | Il suffit d'ajouter un champ auth sur |
||
11 | https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner |
||
12 | |||
13 | 329 | sacha | ### Fourniture d'un ASN |
14 | |||
15 | |||
16 | --- |
||
17 | |||
18 | 328 | https://lirportal.ripe.net/ |
|
19 | https://www.ripe.net/manage-ips-and-asns |
||
20 | https://apps.db.ripe.net/db-web-ui/# |
||
21 | |||
22 | whois -i mnt-by fr-aquilenet-1-mnt |
||
23 | |||
24 | # Préféré, car retour d'erreur immédiat: |
||
25 | gpg --clearsign updates.txt (will produce updates.txt.asA c) |
||
26 | curl --data-urlencode DATA@updates.txt.asc http://syncupdates.db.ripe.net |
||
27 | |||
28 | # Sinon, par mail: |
||
29 | gpg --clearsign updates.txt (will produce updates.txt.asc) |
||
30 | mail -s 'Bulk inetnum update' auto-dbm@ripe.net < updates.txt.asc |
||
31 | # ou alors juste coller dans un mail qu'on signe normalement |
||
32 | |||
33 | ## blabla |
||
34 | |||
35 | Kazar ferme ses portes, on doit donc trouver un autre LIR. Dans les associatifs, il y a |
||
36 | |||
37 | - Gitoyen, qui est LIR pour pas mal d'autres assos de la fédé |
||
38 | - Tetaneutral, qui prône pour la création de nouveaux LIRs |
||
39 | - Web4all, qui n'a pas répondu à nos demandes. |
||
40 | |||
41 | On a demandé sur la liste membres@ffdn, certaines assos pourraient être intéressées: |
||
42 | |||
43 | - Ilico |
||
44 | - AIL-Network (mais plus maintenant: sont en train de se constituer LIR avec CARBODEBIT et WIFI SAINT JULIEN) |
||
45 | - SamesWireless |
||
46 | - tetaneutral peut prendre des parts s'il y a besoin |
||
47 | |||
48 | Par ailleurs, il y a des discussions en cours au RIPE sur la diminution du préfixe attribué aux LIR, on passerait d'un /22 à un /24: |
||
49 | |||
50 | https://www.ripe.net/ripe/mail/archives/address-policy-wg/2017-September/012087.html |
||
51 | |||
52 | On a finalement décidé de devenir LIR |
||
53 | |||
54 | ## Déroulement chronologique |
||
55 | |||
56 | - 31/10/17 Demande envoyée, NCC\#2017106202 |
||
57 | - 02/11/17 Demande de précisions sur le nom de l'association de la part du RIPE |
||
58 | - 06/11/17 Confirmation enregistrement approuvé ticket 11430 |
||
59 | - 13/11/17 Demande du RIPE de confirmation qu'on n'a pas de numéro de TVA |
||
60 | - 14/11/17 Réception de la facture (invoice). **Note:** Malheureusement il y a un délai de 48h pour pouvoir activer un bénéficiaire étranger chez le crédit coop :/ Il aurait fallu demander le numéro de compte plus tôt pour éviter d'attendre. |
||
61 | - 15/11/17 Réception de contrat "RIPE NCC Standard Service Agreement" |
||
62 | - 16/11/17 Règlement invoice |
||
63 | - 17/11/17 Envoi contrat signé via le DHL prépayé. |
||
64 | - 20/11/17 Confirmation par le RIPE du règlement de l'invoice |
||
65 | - 21/11/17 Création de [ORG-AA1915-RIPE](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=ORG-AA1915-RIPE&type=organisation) , [Aquilenet Contact](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AC35087-RIPE&type=person) , [Abuse-C Role](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AR43951-RIPE&type=role) , [fr-aquilenet-1-mnt](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=fr-aquilenet-1-mnt&type=mntner) |
||
66 | - 21/11/17 Requête du /22 : Your IPv4 allocation request is created successfully , Ticket 18000 , requête du /29: Your IPv6 allocation request is created successfully, Ticket 18003 |
||
67 | - 23/11/17 "Today, the RIPE NCC allocated the following IPv4 prefix: 185.233.100.0/22 to AQUILENET (fr.aquilenet)" , "Today, the RIPE NCC allocated the following IPv6 prefix: 2a0c:e300::/29 to AQUILENET (fr.aquilenet)" |
||
68 | - 23/11/17 Création des objets inetnum et inet6num pour notre usage actuel (2 /24 et un /32) |
||
69 | - 23/11/17 Création des objets route et route6 pour déclarer notre routage par notre AS |
||
70 | - 23/11/17 Création des objets domain pour configurer le RDNS |
||
71 | |||
72 | - DONE: obtenir d'Anteor qu'il |
||
73 | |||
74 | * Passe AS198985 sur notre mnt (fr-aquilenet-1-mnt) |
||
75 | |||
76 | * Passe la person Alexandre Borrut AB25125-RIPE sur notre mnt (fr-aquilenet-1-mnt) |
||
77 | * Transfère AS198985 à notre LIR ORG-AA1915-RIPE, procédure https://my.ripe.net/#/update-registry/provide-details?onBehalfOfEndUser=false\&updateRegistryRequestType=transfer , https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/required-documents-for-registry-updates https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/transfers/transfer-agreement-template |
||
78 | |||
79 | * Didier clapier dit que ça serait plutôt https://www.ripe.net/manage-ips-and-asns/resource-management/number-resources/independent-resources/information-on-independent-resources-for-end-users |
||
80 | |||
81 | ## Objets RIPE |
||
82 | |||
83 | Liste de nos objets: |
||
84 | |||
85 | whois -i mnt-by fr-aquilenet-1-mnt |
||
86 | |||
87 | - LIR [ORG-AA1915-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ORG-AA1915-RIPE&type=organisation) |
||
88 | - mnter [fr-aquilenet-1-mnt](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner) |
||
89 | - role [AR43951-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AR43951-RIPE&type=role) |
||
90 | - role [AC35116-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35116-RIPE&type=role) |
||
91 | - person Aquilenet Contact [AC35087-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35087-RIPE&type=person) |
||
92 | - person Alexandre Borrut [AB25125-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AB25125-RIPE&type=person) |
||
93 | - person Samuel Thibault [ST11379-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ST11379-RIPE&type=person) |
||
94 | - key-cert [PGPKEY-7D069EE6](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/key-cert/PGPKEY-7D069EE6) |
||
95 | - aut-num [AS198985](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AS198985&type=aut-num) |
||
96 | 338 | youpi | - as-set [AS-AQUILENET](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-AQUILENET&type=as-set) |
97 | 333 | youpi | |
98 | 334 | youpi | inetnums |
99 | |||
100 | 328 | - inetnum [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.103.255&type=inetnum) |
|
101 | - inetnum [185.233.100.0/23](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.101.255&type=inetnum) |
||
102 | - inetnum [185.233.100.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.100.0%2520-%2520185.233.100.255) |
||
103 | - inetnum [185.233.101.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.101.0%2520-%2520185.233.101.255) |
||
104 | - inetnum [185.233.102.0/26](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.102.0%2520-%2520185.233.102.63) |
||
105 | - inet6num [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F29&type=inet6num) |
||
106 | 333 | youpi | - inet6num [2a0c:e300::/32](https://apps.db.ripe.net/db2001:67c:408::/48-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F32&type=inet6num) |
107 | |||
108 | 334 | youpi | routes |
109 | |||
110 | 328 | - route [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route/185.233.100.0%252F22AS198985) |
|
111 | - route6 [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route6/2a0c%253Ae300%253A%253A%252F29AS198985) |
||
112 | 340 | youpi | - route yaal [45.67.80.0/23](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=45.67.80.0%20-%2045.67.83.255&type=inetnum) |
113 | - route6 yaal [2a09:7340::/29](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2a09:7340::%2F29&type=inet6num) |
||
114 | - route etienne [46.231.240.0/22](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=46.231.240.0%20-%2046.231.243.255&type=inetnum) |
||
115 | 334 | youpi | |
116 | RDNS |
||
117 | 333 | youpi | |
118 | 328 | - domain [100.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=100.233.185.in-addr.arpa&type=domain) |
|
119 | - domain [101.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=101.233.185.in-addr.arpa&type=domain) |
||
120 | - domain [102.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=102.233.185.in-addr.arpa&type=domain) |
||
121 | - domain [103.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=103.233.185.in-addr.arpa&type=domain) |
||
122 | 335 | youpi | - domain [1.3.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=3.1.185.in-addr.arpa&type=domain) |
123 | 342 | youpi | - domain [80.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=80.67.45.in-addr.arpa&type=domain) |
124 | - domain [81.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=81.67.45.in-addr.arpa&type=domain) |
||
125 | - domain [240.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=240.231.46.in-addr.arpa&type=domain) |
||
126 | - domain [241.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=241.231.46.in-addr.arpa&type=domain) |
||
127 | - domain [242.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=242.231.46.in-addr.arpa&type=domain) |
||
128 | - domain [243.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=243.231.46.in-addr.arpa&type=domain) |
||
129 | 328 | - domain [0.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=0.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
|
130 | - domain [1.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=1.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
131 | - domain [2.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
132 | - domain [3.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=3.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
133 | - domain [4.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=4.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
134 | - domain [5.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=5.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
135 | - domain [6.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=6.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
136 | - domain [7.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=7.0.3.e.c.0.a.2.ip6.arpa&type=domain) |
||
137 | 336 | youpi | |
138 | Girondix |
||
139 | |||
140 | 337 | youpi | - organisation [Aquitaine Reseau](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ORG-AAR4-RIPE&type=organisation) |
141 | 336 | youpi | - aut-num [AS 62118](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS62118&type=aut-num) |
142 | 341 | youpi | - as-set [AS-GIRONDIX](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-GIRONDIX&type=as-set) |
143 | 336 | youpi | - inetnum [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%20-%20185.1.3.255&type=inetnum) |
144 | - inet6num [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48&type=inet6num) |
||
145 | 328 | - domain [8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa&type=domain) |
|
146 | 341 | youpi | - route [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%2F24AS198985&type=route) |
147 | - route6 [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48AS198985&type=route6) |
||
148 | 336 | youpi | |
149 | 328 | ||
150 | Tout se passe maintenant sur https://lirportal.ripe.net https://www.ripe.net/manage-ips-and-asns https://apps.db.ripe.net/db-web-ui/# |
||
151 | |||
152 | 329 | sacha | --- |
153 | --- |
||
154 | |||
155 | ## *vieux pour les archives: Migration de LIR & IP* |
||
156 | 328 | ||
157 | - {background:lightgreen} DONE : mise à jour bgpd.conf |
||
158 | - {background:lightgreen} DONE : mise à jour bgpd blackhole |
||
159 | - {background:lightgreen} DONE : mise à jour bgpd nlnog =\> mail |
||
160 | - {background:lightgreen} DONE : mise à jour firewall |
||
161 | - {background:lightgreen} DONE : mise à jour RDNS |
||
162 | - {background:lightgreen} DONE : mise à jour carp cerbere |
||
163 | - {background:lightgreen} DONE : mise à jour scripts Xen |
||
164 | - mise à jour des machines une par une... configuration /etc/network/interfaces, firewall, conf serveurs |
||
165 | - VMs Apollon |
||
166 | - acaqb =\> mail |
||
167 | - {background:lightgreen} DONE : agatas-aqui-vm1 =\> mail |
||
168 | - <span style="background:lightgreen;">DONE agatasTeT =\> mail</span> |
||
169 | - {background:lightgreen} DONE : alcyon \[04/12/17 - 23:25\] |
||
170 | - ~~ate~~ |
||
171 | - bayonnet =\> mail |
||
172 | - bayonnet2 =\> mail |
||
173 | - {background:lightgreen} DONE : cpprod |
||
174 | - {background:lightgreen} DONE cpprod-dev |
||
175 | - {background:lightgreen} DONE :dev-cortex =\> mail |
||
176 | - ~~dev-iidre =\> mail~~ |
||
177 | - {background:lightgreen} DONE :dev-sacha |
||
178 | - {background:lightgreen} DONE: dionysos |
||
179 | - {background:lightgreen} DONE :duniter |
||
180 | - ecce-info |
||
181 | - {background:lightgreen} DONE :embedded-freedom =\> mail |
||
182 | - {background:lightgreen} DONE :f1te =\> mail |
||
183 | - {background:lightgreen} DONE : griffith =\> mail |
||
184 | - {background:lightgreen} DONE : guilarr =\> mail |
||
185 | - ~~guzel~~ |
||
186 | - {background:lightgreen} DONE hades (à finir en dernier pour garder les IPs DNS récursif disponibles) |
||
187 | - {background:lightgreen} DONE :hermes |
||
188 | - {background:lightgreen} DONE iidre |
||
189 | - {background:lightgreen} DONE iris |
||
190 | - {background:lightgreen} DONE janus |
||
191 | - motv =\> mail |
||
192 | - {background:lightgreen} DONE : natha =\> mail |
||
193 | - {background:lightgreen} DONE neutral |
||
194 | - {background:lightgreen} DONE nlnog =\> mail |
||
195 | - {background:lightgreen} DONE : sanssoucis =\> mail |
||
196 | - {background:lightgreen} DONE : tchaikovski =\> irc fx |
||
197 | - {background:lightgreen} DONE : tdn =\> mail |
||
198 | - ~~test~~ \<= ??? |
||
199 | - ~~triton~~ |
||
200 | - tyche |
||
201 | - {background:lightgreen} DONE : web.openbeelab |
||
202 | - VMs artemis |
||
203 | - {background:lightgreen} DONE : athena (à finir en dernier pour garder la supervision) |
||
204 | - {background:lightgreen} DONE : demeter |
||
205 | - {background:lightgreen} DONE : eos |
||
206 | - {background:lightgreen} DONE : gaia (à finir en dernier pour garder les IPs DNS récursif disponibles) |
||
207 | - {background:lightgreen} DONE hera (à finir en dernier pour le ldap & such) |
||
208 | - {background:lightgreen} DONE hestia |
||
209 | - {background:lightgreen} DONE labx-ipmi =\> mail |
||
210 | - {background:lightgreen} DONE persephone |
||
211 | - ~~test~~ |
||
212 | - Elidee =\> mail+ relance 21/12 |
||
213 | - {background:lightgreen} DONE : Sayanet |
||
214 | - ENCOURS: Zeus |
||
215 | - Guix =\> mail (machine pas au dc en ce moment) |
||
216 | - {background:lightgreen} DONE : Poseidon |
||
217 | - {background:lightgreen} DONE : L@BX |
||
218 | - {background:lightgreen} DONE : PDU 7920 |
||
219 | - PDU 7821: pas réussi à m'y connecter: mot de passe invalide... |
||
220 | - {background:lightgreen} DONE : styx |
||
221 | - mise à jour des VPNs: nouvelles IPs activées, on attend les confirmations des gens avant de les basculer sur la nouvelle IP |
||
222 | - {background:lightgreen} DONE : corriger doc compta IP fixe VPN |
||
223 | - {background:lightgreen} DONE : mise à jour dhcp |
||
224 | - mise à jour DNS au fur et à mesure, refaire une passe complète pour vérifier. |
||
225 | - {background:lightgreen} DONE Prévenir les abonnés qu'on a changé le DNS: ce n'est plus 141.255.128.100 / 101, mais 185.233.100.100 / 101 |
||
226 | - Finir de corriger le wiki |
||
227 | |||
228 | ## Mise à jour d'une VM |
||
229 | |||
230 | Tout le réseau 141.255.128.0/24 devient 185.233.100.0/24 et 2a01:474::/32 devient 2a0c:e300::/32 |
||
231 | |||
232 | Dans cet exemple, on travaille sur la VM gaia (141.255.128.2 -\> 185.233.100.2) |
||
233 | |||
234 | ### Conf réseau |
||
235 | |||
236 | Pour une transition en douceur, on peut dans un premier temps juste ajouter la nouvelle IP à côté de l'ancienne. Sous Debian, on peut par exemple ajouter à /etc/network/interfaces: |
||
237 | |||
238 | auto eth0:1 |
||
239 | iface eth0:1 inet static |
||
240 | address 185.233.100.2 |
||
241 | #gateway 185.233.100.126 |
||
242 | netmask 255.255.255.128 |
||
243 | iface eth0:1 inet6 static |
||
244 | address 2a0c:e300::2 |
||
245 | #gateway 2a0c:e300::126 |
||
246 | netmask 48 |
||
247 | |||
248 | et lancer `ifup eth0:1` pour avoir la nouvelle IP. |
||
249 | |||
250 | Si ce n'est pas déjà fait, il faut corriger `/etc/resolv.conf`: |
||
251 | |||
252 | nameserver 185.233.100.100 |
||
253 | nameserver 185.233.100.101 |
||
254 | nameserver 80.67.169.12 |
||
255 | nameserver 2a0c:e300::100 |
||
256 | nameserver 2a0c:e300::101 |
||
257 | |||
258 | Si ce n'est pas déjà fait, il faut corriger `/etc/nagios/nrpe.d/aquilenet.cfg` le `allowed_hosts` et lancer `service nagios-nrpe-server reload` |
||
259 | |||
260 | Si ce n'est pas déjà fait, il faut corriger `/etc/hosts` pour mettre le nom de la machine elle-même sur la nouvelle IP aussi. |
||
261 | |||
262 | Si ce n'est pas déjà fait, il faut corriger l'IP dans `/etc/motd` |
||
263 | |||
264 | ### Conf firewall |
||
265 | |||
266 | Il faut éventuellement corriger le firewall, typiquement corriger `/etc/iptables/rules*` et relancer `netfilter-persistent start` ou `/etc/init.d/iptables-persistent start` |
||
267 | |||
268 | ### Conf service |
||
269 | |||
270 | On peut alors vérifier que les services de la VM sont accessibles avec la nouvelle IP: dans /etc/hosts sur son propre ordi, on peut mettre |
||
271 | |||
272 | 185.233.100.2 www.aquilenet.fr |
||
273 | 2a0c:e300::2 www.aquilenet.fr |
||
274 | |||
275 | et vérifier que ça fonctionne bien à la fois en v4 et v6. Ça peut ne pas fonctionner si le service est bindé explicitement sur les anciennes IP (cas de bind9 par exemple), il faut alors binder sur à la fois les anciennes et les nouvelles. En général on écoute sur toutes les IPs donc pas de souci. On peut le vérifier assez facilement avec netstat: |
||
276 | |||
277 | netstat -Ainet -Ainet6 -anp | grep LISTEN |
||
278 | |||
279 | Si ça indique 0.0.0.0 et :: c'est que ça écoute sur toutes les IPs. Si c'est 141.255.128.x, c'est qu'il écoute explicitement sur les IPs, et il faut configurer ça. S'il y a du 127.0.0.1 ou ::1, c'est normal, c'est les services en interne seulement. Cette même commande permet de vérifier facilement que le service écoute maintenant sur les nouvelles IPs aussi :) |
||
280 | |||
281 | On peut aussi faire un gros `grep -r 141.255.128 /etc` et `grep -ri 2a01:474 /etc` |
||
282 | |||
283 | ### Basculement DNS |
||
284 | |||
285 | Une fois qu'on est sûr que le service fonctionne sur la nouvelle IP, on peut basculer dans DNS: sur gaia, /etc/ns2/db.aquilenet, changer les IPv4 et v6 (chercher \[:.\]2$ par exemple), mettre à jour le serial, et lancer `service ns2 reload` . IL faut au même moment regarder l'heure: le TTL est par défaut 28800s, donc 8h, donc pendant 8h il peut y avoir des machines qui ont encore en cache l'ancien enregistrement DNS. |
||
286 | |||
287 | Bien sûr, s'il y a d'autres nom de domaines hors aquilenet.fr qui pointent sur nos IPs, il faut les mettre à jour aussi... |
||
288 | |||
289 | ### Supervision shinken |
||
290 | |||
291 | Sans attendre, sur athena, dans /etc/shinken/hosts/aquilenet/aquilenet.cfg, corriger l'adresse, et faire un `service shinken reload` |
||
292 | |||
293 | ### Fin conf réseau |
||
294 | |||
295 | Noter dans la liste des VMs ci-dessus la date et heure de basculement DNS |
||
296 | |||
297 | 8h après le basculement DNS, le TTL est expiré, personne n'est plus censé utiliser l'ancienne IP, on peut alors la supprimer, en virant la section eth0 et en renommant eth0:1 en eth0 et en décommentant les lignes gateway et un ptit reboot est utile pour être sûr que ça fonctionne vraiment au poil. |
||
298 | |||
299 | ## VPN |
||
300 | |||
301 | Tout le réseau 141.255.130.0/24 devient 185.233.101.0/24 et 2a01:474::/32 devient 2a0c:e300::/32 |
||
302 | |||
303 | Pour ceux qui ont des IPs fixes, on préfère éviter de leur changer la configuration de manière impromptue. On a donc pour l'instant mis (par exemple pour le VPN 42): |
||
304 | |||
305 | ifconfig-push 141.255.130.42 255.255.255.0 |
||
306 | push route-gateway 141.255.130.254 |
||
307 | iroute 185.233.101.42 |
||
308 | ifconfig-ipv6-push 2a01:474:4:42:: 2a01:474:4:80::1 |
||
309 | iroute-ipv6 2a01:474:4:42::/64 |
||
310 | iroute-ipv6 2a0c:e300:4:42::/64 |
||
311 | |||
312 | Ce qui permet de faire fonctionner à la fois l'ancienne et la nouvelle IP, même si c'est encore l'ancienne qui est configurée automatiquement par openvpn côté client (on est obligé de forcer le route-gateway car malgré le ifconfig-push cet idiot d'openvpn utilise pour route-gateway l'IP du serveur dans 185.233.101.0/24...). L'abonné peut utiliser de son côté |
||
313 | |||
314 | ip addr add dev tun0 185.233.100.42 |
||
315 | |||
316 | pour activer à la main la nouvelle IP, puis vérifier que l'on peut effectivement accéder à son serveur avec la nouvelle IP. Une fois confirmé, on peut basculer sur la nouvelle IP: |
||
317 | |||
318 | ifconfig-push 185.233.101.42 255.255.255.0 |
||
319 | iroute 141.255.130.42 |
||
320 | ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1 |
||
321 | iroute-ipv6 2a01:474:4:42::/64 |
||
322 | iroute-ipv6 2a0c:e300:4:42::/64 |
||
323 | |||
324 | i.e. on bascule ifconfig-push, on enlève push route-gateway, on bascule iroute, et on bascule ifconfig-ipv6-push. On ne touche pas à iroute-ipv6: on garde les deux routes pour l'instant. |
||
325 | |||
326 | Et une fois que l'adhérent n'utilise plus l'ancienne IP (parce que le TTLS DNS de ses noms de domaine est expiré par exemple), on peut virer l'ancienne IP: |
||
327 | |||
328 | ifconfig-push 185.233.101.42 255.255.255.0 |
||
329 | ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1 |
||
330 | iroute-ipv6 2a0c:e300:4:42::/64 |
||
331 | |||
332 | i.e. on enlève les iroute et iroute-ipv6 vers les anciennes IPs |