Projet

Général

Profil

LIR » Historique » Version 342

youpi, 19/02/2021 01:18

1 328
# LIR
2
3 330 sacha
4
## Activité de LIR Aquilenet
5 329 sacha
6 331 sacha
Pour tous les contrats faire signer le document https://atelier.aquilenet.fr/attachments/download/582/Aquilenet_LIR-Stolon-Convention-20180927.odt
7 329 sacha
8 332 youpi
### Ajouter un admin sur les objets RIPE
9
10
Il suffit d'ajouter un champ auth sur 
11
https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner
12
13 329 sacha
### Fourniture d'un ASN
14
15
16
---
17
18 328
https://lirportal.ripe.net/  
19
https://www.ripe.net/manage-ips-and-asns  
20
https://apps.db.ripe.net/db-web-ui/#
21
22
    whois -i mnt-by fr-aquilenet-1-mnt
23
    
24
    # Préféré, car retour d'erreur immédiat:
25
    gpg --clearsign updates.txt (will produce updates.txt.asA c)
26
    curl --data-urlencode DATA@updates.txt.asc http://syncupdates.db.ripe.net
27
    
28
    # Sinon, par mail:
29
    gpg --clearsign updates.txt (will produce updates.txt.asc)
30
    mail -s 'Bulk inetnum update' auto-dbm@ripe.net < updates.txt.asc
31
    # ou alors juste coller dans un mail qu'on signe normalement
32
33
## blabla
34
35
Kazar ferme ses portes, on doit donc trouver un autre LIR. Dans les associatifs, il y a
36
37
  - Gitoyen, qui est LIR pour pas mal d'autres assos de la fédé
38
  - Tetaneutral, qui prône pour la création de nouveaux LIRs
39
  - Web4all, qui n'a pas répondu à nos demandes.
40
41
On a demandé sur la liste membres@ffdn, certaines assos pourraient être intéressées:
42
43
  - Ilico
44
  - AIL-Network (mais plus maintenant: sont en train de se constituer LIR avec CARBODEBIT et WIFI SAINT JULIEN)
45
  - SamesWireless
46
  - tetaneutral peut prendre des parts s'il y a besoin
47
48
Par ailleurs, il y a des discussions en cours au RIPE sur la diminution du préfixe attribué aux LIR, on passerait d'un /22 à un /24:
49
50
https://www.ripe.net/ripe/mail/archives/address-policy-wg/2017-September/012087.html
51
52
On a finalement décidé de devenir LIR
53
54
## Déroulement chronologique
55
56
  - 31/10/17 Demande envoyée, NCC\#2017106202
57
  - 02/11/17 Demande de précisions sur le nom de l'association de la part du RIPE
58
  - 06/11/17 Confirmation enregistrement approuvé ticket 11430
59
  - 13/11/17 Demande du RIPE de confirmation qu'on n'a pas de numéro de TVA
60
  - 14/11/17 Réception de la facture (invoice). **Note:** Malheureusement il y a un délai de 48h pour pouvoir activer un bénéficiaire étranger chez le crédit coop :/ Il aurait fallu demander le numéro de compte plus tôt pour éviter d'attendre.
61
  - 15/11/17 Réception de contrat "RIPE NCC Standard Service Agreement"
62
  - 16/11/17 Règlement invoice
63
  - 17/11/17 Envoi contrat signé via le DHL prépayé.
64
  - 20/11/17 Confirmation par le RIPE du règlement de l'invoice
65
  - 21/11/17 Création de [ORG-AA1915-RIPE](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=ORG-AA1915-RIPE&type=organisation) , [Aquilenet Contact](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AC35087-RIPE&type=person) , [Abuse-C Role](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AR43951-RIPE&type=role) , [fr-aquilenet-1-mnt](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
66
  - 21/11/17 Requête du /22 : Your IPv4 allocation request is created successfully , Ticket 18000 , requête du /29: Your IPv6 allocation request is created successfully, Ticket 18003
67
  - 23/11/17 "Today, the RIPE NCC allocated the following IPv4 prefix: 185.233.100.0/22 to AQUILENET (fr.aquilenet)" , "Today, the RIPE NCC allocated the following IPv6 prefix: 2a0c:e300::/29 to AQUILENET (fr.aquilenet)"
68
  - 23/11/17 Création des objets inetnum et inet6num pour notre usage actuel (2 /24 et un /32)
69
  - 23/11/17 Création des objets route et route6 pour déclarer notre routage par notre AS
70
  - 23/11/17 Création des objets domain pour configurer le RDNS
71
72
  - DONE: obtenir d'Anteor qu'il
73
74
* Passe AS198985 sur notre mnt (fr-aquilenet-1-mnt)  
75
76
* Passe la person Alexandre Borrut AB25125-RIPE sur notre mnt (fr-aquilenet-1-mnt)  
77
* Transfère AS198985 à notre LIR ORG-AA1915-RIPE, procédure https://my.ripe.net/#/update-registry/provide-details?onBehalfOfEndUser=false\&updateRegistryRequestType=transfer , https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/required-documents-for-registry-updates https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/transfers/transfer-agreement-template
78
79
* Didier clapier dit que ça serait plutôt https://www.ripe.net/manage-ips-and-asns/resource-management/number-resources/independent-resources/information-on-independent-resources-for-end-users
80
81
## Objets RIPE
82
83
Liste de nos objets:
84
85
    whois -i mnt-by fr-aquilenet-1-mnt
86
87
  - LIR [ORG-AA1915-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ORG-AA1915-RIPE&type=organisation)
88
  - mnter [fr-aquilenet-1-mnt](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
89
  - role [AR43951-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AR43951-RIPE&type=role)
90
  - role [AC35116-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35116-RIPE&type=role)
91
  - person Aquilenet Contact [AC35087-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35087-RIPE&type=person)
92
  - person Alexandre Borrut [AB25125-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AB25125-RIPE&type=person)
93
  - person Samuel Thibault [ST11379-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ST11379-RIPE&type=person)
94
  - key-cert [PGPKEY-7D069EE6](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/key-cert/PGPKEY-7D069EE6)
95
  - aut-num [AS198985](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AS198985&type=aut-num)
96 338 youpi
  - as-set [AS-AQUILENET](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-AQUILENET&type=as-set)
97 333 youpi
98 334 youpi
inetnums
99
100 328
  - inetnum [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.103.255&type=inetnum)
101
  - inetnum [185.233.100.0/23](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.101.255&type=inetnum)
102
  - inetnum [185.233.100.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.100.0%2520-%2520185.233.100.255)
103
  - inetnum [185.233.101.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.101.0%2520-%2520185.233.101.255)
104
  - inetnum [185.233.102.0/26](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.102.0%2520-%2520185.233.102.63)
105
  - inet6num [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F29&type=inet6num)
106 333 youpi
  - inet6num [2a0c:e300::/32](https://apps.db.ripe.net/db2001:67c:408::/48-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F32&type=inet6num)
107
108 334 youpi
routes
109
110 328
  - route [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route/185.233.100.0%252F22AS198985)
111
  - route6 [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route6/2a0c%253Ae300%253A%253A%252F29AS198985)
112 340 youpi
  - route yaal [45.67.80.0/23](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=45.67.80.0%20-%2045.67.83.255&type=inetnum)
113
  - route6 yaal [2a09:7340::/29](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2a09:7340::%2F29&type=inet6num)
114
  - route etienne [46.231.240.0/22](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=46.231.240.0%20-%2046.231.243.255&type=inetnum)
115 334 youpi
116
RDNS
117 333 youpi
118 328
  - domain [100.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=100.233.185.in-addr.arpa&type=domain)
119
  - domain [101.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=101.233.185.in-addr.arpa&type=domain)
120
  - domain [102.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=102.233.185.in-addr.arpa&type=domain)
121
  - domain [103.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=103.233.185.in-addr.arpa&type=domain)
122 335 youpi
  - domain [1.3.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=3.1.185.in-addr.arpa&type=domain)
123 342 youpi
  - domain [80.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=80.67.45.in-addr.arpa&type=domain)
124
  - domain [81.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=81.67.45.in-addr.arpa&type=domain)
125
  - domain [240.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=240.231.46.in-addr.arpa&type=domain)
126
  - domain [241.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=241.231.46.in-addr.arpa&type=domain)
127
  - domain [242.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=242.231.46.in-addr.arpa&type=domain)
128
  - domain [243.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=243.231.46.in-addr.arpa&type=domain)
129 328
  - domain [0.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=0.0.3.e.c.0.a.2.ip6.arpa&type=domain)
130
  - domain [1.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=1.0.3.e.c.0.a.2.ip6.arpa&type=domain)
131
  - domain [2.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2.0.3.e.c.0.a.2.ip6.arpa&type=domain)
132
  - domain [3.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=3.0.3.e.c.0.a.2.ip6.arpa&type=domain)
133
  - domain [4.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=4.0.3.e.c.0.a.2.ip6.arpa&type=domain)
134
  - domain [5.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=5.0.3.e.c.0.a.2.ip6.arpa&type=domain)
135
  - domain [6.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=6.0.3.e.c.0.a.2.ip6.arpa&type=domain)
136
  - domain [7.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=7.0.3.e.c.0.a.2.ip6.arpa&type=domain)
137 336 youpi
138
Girondix
139
140 337 youpi
  - organisation [Aquitaine Reseau](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ORG-AAR4-RIPE&type=organisation)
141 336 youpi
  - aut-num [AS 62118](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS62118&type=aut-num)
142 341 youpi
  - as-set [AS-GIRONDIX](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-GIRONDIX&type=as-set)
143 336 youpi
  - inetnum [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%20-%20185.1.3.255&type=inetnum)
144
  - inet6num [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48&type=inet6num)
145 328
  - domain [8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa&type=domain)
146 341 youpi
  - route [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%2F24AS198985&type=route)
147
  - route6 [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48AS198985&type=route6)
148 336 youpi
149 328
150
Tout se passe maintenant sur https://lirportal.ripe.net https://www.ripe.net/manage-ips-and-asns https://apps.db.ripe.net/db-web-ui/#
151
152 329 sacha
---
153
---
154
155
## *vieux pour les archives: Migration de LIR & IP*
156 328
157
  - {background:lightgreen} DONE : mise à jour bgpd.conf
158
  - {background:lightgreen} DONE : mise à jour bgpd blackhole
159
  - {background:lightgreen} DONE : mise à jour bgpd nlnog =\> mail
160
  - {background:lightgreen} DONE : mise à jour firewall
161
  - {background:lightgreen} DONE : mise à jour RDNS
162
  - {background:lightgreen} DONE : mise à jour carp cerbere
163
  - {background:lightgreen} DONE : mise à jour scripts Xen
164
  - mise à jour des machines une par une... configuration /etc/network/interfaces, firewall, conf serveurs
165
  - VMs Apollon
166
      - acaqb =\> mail
167
      - {background:lightgreen} DONE : agatas-aqui-vm1 =\> mail
168
      - <span style="background:lightgreen;">DONE agatasTeT =\> mail</span>
169
      - {background:lightgreen} DONE : alcyon \[04/12/17 - 23:25\]
170
      - ~~ate~~
171
      - bayonnet =\> mail
172
      - bayonnet2 =\> mail
173
      - {background:lightgreen} DONE : cpprod
174
      - {background:lightgreen} DONE cpprod-dev
175
      - {background:lightgreen} DONE :dev-cortex =\> mail
176
      - ~~dev-iidre =\> mail~~
177
      - {background:lightgreen} DONE :dev-sacha
178
      - {background:lightgreen} DONE: dionysos
179
      - {background:lightgreen} DONE :duniter
180
      - ecce-info
181
      - {background:lightgreen} DONE :embedded-freedom =\> mail
182
      - {background:lightgreen} DONE :f1te =\> mail
183
      - {background:lightgreen} DONE : griffith =\> mail
184
      - {background:lightgreen} DONE : guilarr =\> mail
185
      - ~~guzel~~
186
      - {background:lightgreen} DONE hades (à finir en dernier pour garder les IPs DNS récursif disponibles)
187
      - {background:lightgreen} DONE :hermes
188
      - {background:lightgreen} DONE iidre
189
      - {background:lightgreen} DONE iris
190
      - {background:lightgreen} DONE janus
191
      - motv =\> mail
192
      - {background:lightgreen} DONE : natha =\> mail
193
      - {background:lightgreen} DONE neutral
194
      - {background:lightgreen} DONE nlnog =\> mail
195
      - {background:lightgreen} DONE : sanssoucis =\> mail
196
      - {background:lightgreen} DONE : tchaikovski =\> irc fx
197
      - {background:lightgreen} DONE : tdn =\> mail
198
      - ~~test~~ \<= ???
199
      - ~~triton~~
200
      - tyche
201
      - {background:lightgreen} DONE : web.openbeelab
202
  - VMs artemis
203
      - {background:lightgreen} DONE : athena (à finir en dernier pour garder la supervision)
204
      - {background:lightgreen} DONE : demeter
205
      - {background:lightgreen} DONE : eos
206
      - {background:lightgreen} DONE : gaia (à finir en dernier pour garder les IPs DNS récursif disponibles)
207
      - {background:lightgreen} DONE hera (à finir en dernier pour le ldap & such)
208
      - {background:lightgreen} DONE hestia
209
      - {background:lightgreen} DONE labx-ipmi =\> mail
210
      - {background:lightgreen} DONE persephone
211
      - ~~test~~
212
  - Elidee =\> mail+ relance 21/12
213
  - {background:lightgreen} DONE : Sayanet
214
  - ENCOURS: Zeus
215
  - Guix =\> mail (machine pas au dc en ce moment)
216
  - {background:lightgreen} DONE : Poseidon
217
  - {background:lightgreen} DONE : L@BX
218
  - {background:lightgreen} DONE : PDU 7920
219
  - PDU 7821: pas réussi à m'y connecter: mot de passe invalide...
220
  - {background:lightgreen} DONE : styx
221
  - mise à jour des VPNs: nouvelles IPs activées, on attend les confirmations des gens avant de les basculer sur la nouvelle IP
222
  - {background:lightgreen} DONE : corriger doc compta IP fixe VPN
223
  - {background:lightgreen} DONE : mise à jour dhcp
224
  - mise à jour DNS au fur et à mesure, refaire une passe complète pour vérifier.
225
  - {background:lightgreen} DONE Prévenir les abonnés qu'on a changé le DNS: ce n'est plus 141.255.128.100 / 101, mais 185.233.100.100 / 101
226
  - Finir de corriger le wiki
227
228
## Mise à jour d'une VM
229
230
Tout le réseau 141.255.128.0/24 devient 185.233.100.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
231
232
Dans cet exemple, on travaille sur la VM gaia (141.255.128.2 -\> 185.233.100.2)
233
234
### Conf réseau
235
236
Pour une transition en douceur, on peut dans un premier temps juste ajouter la nouvelle IP à côté de l'ancienne. Sous Debian, on peut par exemple ajouter à /etc/network/interfaces:
237
238
    auto eth0:1
239
    iface eth0:1 inet static
240
     address 185.233.100.2
241
     #gateway 185.233.100.126
242
     netmask 255.255.255.128
243
    iface eth0:1 inet6 static
244
     address 2a0c:e300::2
245
     #gateway 2a0c:e300::126
246
     netmask 48
247
248
et lancer `ifup eth0:1` pour avoir la nouvelle IP.
249
250
Si ce n'est pas déjà fait, il faut corriger `/etc/resolv.conf`:
251
252
    nameserver 185.233.100.100
253
    nameserver 185.233.100.101
254
    nameserver 80.67.169.12
255
    nameserver 2a0c:e300::100
256
    nameserver 2a0c:e300::101
257
258
Si ce n'est pas déjà fait, il faut corriger `/etc/nagios/nrpe.d/aquilenet.cfg` le `allowed_hosts` et lancer `service nagios-nrpe-server reload`
259
260
Si ce n'est pas déjà fait, il faut corriger `/etc/hosts` pour mettre le nom de la machine elle-même sur la nouvelle IP aussi.
261
262
Si ce n'est pas déjà fait, il faut corriger l'IP dans `/etc/motd`
263
264
### Conf firewall
265
266
Il faut éventuellement corriger le firewall, typiquement corriger `/etc/iptables/rules*` et relancer `netfilter-persistent start` ou `/etc/init.d/iptables-persistent start`
267
268
### Conf service
269
270
On peut alors vérifier que les services de la VM sont accessibles avec la nouvelle IP: dans /etc/hosts sur son propre ordi, on peut mettre
271
272
    185.233.100.2 www.aquilenet.fr
273
    2a0c:e300::2 www.aquilenet.fr
274
275
et vérifier que ça fonctionne bien à la fois en v4 et v6. Ça peut ne pas fonctionner si le service est bindé explicitement sur les anciennes IP (cas de bind9 par exemple), il faut alors binder sur à la fois les anciennes et les nouvelles. En général on écoute sur toutes les IPs donc pas de souci. On peut le vérifier assez facilement avec netstat:
276
277
    netstat -Ainet -Ainet6 -anp | grep LISTEN
278
279
Si ça indique 0.0.0.0 et :: c'est que ça écoute sur toutes les IPs. Si c'est 141.255.128.x, c'est qu'il écoute explicitement sur les IPs, et il faut configurer ça. S'il y a du 127.0.0.1 ou ::1, c'est normal, c'est les services en interne seulement. Cette même commande permet de vérifier facilement que le service écoute maintenant sur les nouvelles IPs aussi :)
280
281
On peut aussi faire un gros `grep -r 141.255.128 /etc` et `grep -ri 2a01:474 /etc`
282
283
### Basculement DNS
284
285
Une fois qu'on est sûr que le service fonctionne sur la nouvelle IP, on peut basculer dans DNS: sur gaia, /etc/ns2/db.aquilenet, changer les IPv4 et v6 (chercher \[:.\]2$ par exemple), mettre à jour le serial, et lancer `service ns2 reload` . IL faut au même moment regarder l'heure: le TTL est par défaut 28800s, donc 8h, donc pendant 8h il peut y avoir des machines qui ont encore en cache l'ancien enregistrement DNS.
286
287
Bien sûr, s'il y a d'autres nom de domaines hors aquilenet.fr qui pointent sur nos IPs, il faut les mettre à jour aussi...
288
289
### Supervision shinken
290
291
Sans attendre, sur athena, dans /etc/shinken/hosts/aquilenet/aquilenet.cfg, corriger l'adresse, et faire un `service shinken reload`
292
293
### Fin conf réseau
294
295
Noter dans la liste des VMs ci-dessus la date et heure de basculement DNS
296
297
8h après le basculement DNS, le TTL est expiré, personne n'est plus censé utiliser l'ancienne IP, on peut alors la supprimer, en virant la section eth0 et en renommant eth0:1 en eth0 et en décommentant les lignes gateway et un ptit reboot est utile pour être sûr que ça fonctionne vraiment au poil.
298
299
## VPN
300
301
Tout le réseau 141.255.130.0/24 devient 185.233.101.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
302
303
Pour ceux qui ont des IPs fixes, on préfère éviter de leur changer la configuration de manière impromptue. On a donc pour l'instant mis (par exemple pour le VPN 42):
304
305
    ifconfig-push 141.255.130.42 255.255.255.0
306
    push route-gateway 141.255.130.254
307
    iroute 185.233.101.42
308
    ifconfig-ipv6-push 2a01:474:4:42:: 2a01:474:4:80::1
309
    iroute-ipv6 2a01:474:4:42::/64
310
    iroute-ipv6 2a0c:e300:4:42::/64
311
312
Ce qui permet de faire fonctionner à la fois l'ancienne et la nouvelle IP, même si c'est encore l'ancienne qui est configurée automatiquement par openvpn côté client (on est obligé de forcer le route-gateway car malgré le ifconfig-push cet idiot d'openvpn utilise pour route-gateway l'IP du serveur dans 185.233.101.0/24...). L'abonné peut utiliser de son côté
313
314
    ip addr add dev tun0 185.233.100.42
315
316
pour activer à la main la nouvelle IP, puis vérifier que l'on peut effectivement accéder à son serveur avec la nouvelle IP. Une fois confirmé, on peut basculer sur la nouvelle IP:
317
318
    ifconfig-push 185.233.101.42 255.255.255.0
319
    iroute 141.255.130.42
320
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
321
    iroute-ipv6 2a01:474:4:42::/64
322
    iroute-ipv6 2a0c:e300:4:42::/64
323
324
i.e. on bascule ifconfig-push, on enlève push route-gateway, on bascule iroute, et on bascule ifconfig-ipv6-push. On ne touche pas à iroute-ipv6: on garde les deux routes pour l'instant.
325
326
Et une fois que l'adhérent n'utilise plus l'ancienne IP (parce que le TTLS DNS de ses noms de domaine est expiré par exemple), on peut virer l'ancienne IP:
327
328
    ifconfig-push 185.233.101.42 255.255.255.0
329
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
330
    iroute-ipv6 2a0c:e300:4:42::/64
331
332
i.e. on enlève les iroute et iroute-ipv6 vers les anciennes IPs