Projet

Général

Profil

LIR » Historique » Version 350

youpi, 19/02/2021 02:23

1 328
# LIR
2
3 330 sacha
4
## Activité de LIR Aquilenet
5 329 sacha
6 331 sacha
Pour tous les contrats faire signer le document https://atelier.aquilenet.fr/attachments/download/582/Aquilenet_LIR-Stolon-Convention-20180927.odt
7 329 sacha
8 332 youpi
### Ajouter un admin sur les objets RIPE
9
10
Il suffit d'ajouter un champ auth sur 
11
https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner
12
13 329 sacha
### Fourniture d'un ASN
14
15
16
---
17
18 328
https://lirportal.ripe.net/  
19
https://www.ripe.net/manage-ips-and-asns  
20
https://apps.db.ripe.net/db-web-ui/#
21
22
    whois -i mnt-by fr-aquilenet-1-mnt
23
    
24
    # Préféré, car retour d'erreur immédiat:
25
    gpg --clearsign updates.txt (will produce updates.txt.asA c)
26
    curl --data-urlencode DATA@updates.txt.asc http://syncupdates.db.ripe.net
27
    
28
    # Sinon, par mail:
29
    gpg --clearsign updates.txt (will produce updates.txt.asc)
30
    mail -s 'Bulk inetnum update' auto-dbm@ripe.net < updates.txt.asc
31
    # ou alors juste coller dans un mail qu'on signe normalement
32
33
## blabla
34
35
Kazar ferme ses portes, on doit donc trouver un autre LIR. Dans les associatifs, il y a
36
37
  - Gitoyen, qui est LIR pour pas mal d'autres assos de la fédé
38
  - Tetaneutral, qui prône pour la création de nouveaux LIRs
39
  - Web4all, qui n'a pas répondu à nos demandes.
40
41
On a demandé sur la liste membres@ffdn, certaines assos pourraient être intéressées:
42
43
  - Ilico
44
  - AIL-Network (mais plus maintenant: sont en train de se constituer LIR avec CARBODEBIT et WIFI SAINT JULIEN)
45
  - SamesWireless
46
  - tetaneutral peut prendre des parts s'il y a besoin
47
48
Par ailleurs, il y a des discussions en cours au RIPE sur la diminution du préfixe attribué aux LIR, on passerait d'un /22 à un /24:
49
50
https://www.ripe.net/ripe/mail/archives/address-policy-wg/2017-September/012087.html
51
52
On a finalement décidé de devenir LIR
53
54
## Déroulement chronologique
55
56
  - 31/10/17 Demande envoyée, NCC\#2017106202
57
  - 02/11/17 Demande de précisions sur le nom de l'association de la part du RIPE
58
  - 06/11/17 Confirmation enregistrement approuvé ticket 11430
59
  - 13/11/17 Demande du RIPE de confirmation qu'on n'a pas de numéro de TVA
60
  - 14/11/17 Réception de la facture (invoice). **Note:** Malheureusement il y a un délai de 48h pour pouvoir activer un bénéficiaire étranger chez le crédit coop :/ Il aurait fallu demander le numéro de compte plus tôt pour éviter d'attendre.
61
  - 15/11/17 Réception de contrat "RIPE NCC Standard Service Agreement"
62
  - 16/11/17 Règlement invoice
63
  - 17/11/17 Envoi contrat signé via le DHL prépayé.
64
  - 20/11/17 Confirmation par le RIPE du règlement de l'invoice
65
  - 21/11/17 Création de [ORG-AA1915-RIPE](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=ORG-AA1915-RIPE&type=organisation) , [Aquilenet Contact](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AC35087-RIPE&type=person) , [Abuse-C Role](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AR43951-RIPE&type=role) , [fr-aquilenet-1-mnt](https://apps.db.ripe.net/search/lookup.html?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
66
  - 21/11/17 Requête du /22 : Your IPv4 allocation request is created successfully , Ticket 18000 , requête du /29: Your IPv6 allocation request is created successfully, Ticket 18003
67
  - 23/11/17 "Today, the RIPE NCC allocated the following IPv4 prefix: 185.233.100.0/22 to AQUILENET (fr.aquilenet)" , "Today, the RIPE NCC allocated the following IPv6 prefix: 2a0c:e300::/29 to AQUILENET (fr.aquilenet)"
68
  - 23/11/17 Création des objets inetnum et inet6num pour notre usage actuel (2 /24 et un /32)
69
  - 23/11/17 Création des objets route et route6 pour déclarer notre routage par notre AS
70
  - 23/11/17 Création des objets domain pour configurer le RDNS
71
72
  - DONE: obtenir d'Anteor qu'il
73
74
* Passe AS198985 sur notre mnt (fr-aquilenet-1-mnt)  
75
76
* Passe la person Alexandre Borrut AB25125-RIPE sur notre mnt (fr-aquilenet-1-mnt)  
77
* Transfère AS198985 à notre LIR ORG-AA1915-RIPE, procédure https://my.ripe.net/#/update-registry/provide-details?onBehalfOfEndUser=false\&updateRegistryRequestType=transfer , https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/required-documents-for-registry-updates https://www.ripe.net/manage-ips-and-asns/resource-transfers-and-mergers/transfers/transfer-agreement-template
78
79
* Didier clapier dit que ça serait plutôt https://www.ripe.net/manage-ips-and-asns/resource-management/number-resources/independent-resources/information-on-independent-resources-for-end-users
80
81
## Objets RIPE
82
83
Liste de nos objets:
84
85
    whois -i mnt-by fr-aquilenet-1-mnt
86
87
  - LIR [ORG-AA1915-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ORG-AA1915-RIPE&type=organisation)
88
  - mnter [fr-aquilenet-1-mnt](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=fr-aquilenet-1-mnt&type=mntner)
89
  - role [AR43951-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AR43951-RIPE&type=role)
90
  - role [AC35116-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35116-RIPE&type=role)
91
  - person Aquilenet Contact [AC35087-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AC35087-RIPE&type=person)
92
  - person Alexandre Borrut [AB25125-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AB25125-RIPE&type=person)
93
  - person Samuel Thibault [ST11379-RIPE](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=ST11379-RIPE&type=person)
94
  - key-cert [PGPKEY-7D069EE6](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/key-cert/PGPKEY-7D069EE6)
95
  - aut-num [AS198985](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=AS198985&type=aut-num)
96 338 youpi
  - as-set [AS-AQUILENET](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-AQUILENET&type=as-set)
97 333 youpi
98 334 youpi
inetnums
99
100 328
  - inetnum [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.103.255&type=inetnum)
101
  - inetnum [185.233.100.0/23](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=185.233.100.0%20-%20185.233.101.255&type=inetnum)
102
  - inetnum [185.233.100.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.100.0%2520-%2520185.233.100.255)
103
  - inetnum [185.233.101.0/24](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.101.0%2520-%2520185.233.101.255)
104
  - inetnum [185.233.102.0/26](https://apps.db.ripe.net/db-web-ui/#/myresources/detail/inetnum/185.233.102.0%2520-%2520185.233.102.63)
105
  - inet6num [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F29&type=inet6num)
106 333 youpi
  - inet6num [2a0c:e300::/32](https://apps.db.ripe.net/db2001:67c:408::/48-web-ui/#/lookup?source=ripe&key=2a0c:e300::%2F32&type=inet6num)
107
108 334 youpi
routes
109
110 328
  - route [185.233.100.0/22](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route/185.233.100.0%252F22AS198985)
111
  - route6 [2a0c:e300::/29](https://apps.db.ripe.net/db-web-ui/#/webupdates/display/RIPE/route6/2a0c%253Ae300%253A%253A%252F29AS198985)
112 334 youpi
113
RDNS
114 333 youpi
115 328
  - domain [100.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=100.233.185.in-addr.arpa&type=domain)
116
  - domain [101.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=101.233.185.in-addr.arpa&type=domain)
117
  - domain [102.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=102.233.185.in-addr.arpa&type=domain)
118
  - domain [103.233.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=103.233.185.in-addr.arpa&type=domain)
119
  - domain [0.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=0.0.3.e.c.0.a.2.ip6.arpa&type=domain)
120
  - domain [1.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=1.0.3.e.c.0.a.2.ip6.arpa&type=domain)
121
  - domain [2.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=2.0.3.e.c.0.a.2.ip6.arpa&type=domain)
122
  - domain [3.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=3.0.3.e.c.0.a.2.ip6.arpa&type=domain)
123
  - domain [4.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=4.0.3.e.c.0.a.2.ip6.arpa&type=domain)
124
  - domain [5.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=5.0.3.e.c.0.a.2.ip6.arpa&type=domain)
125
  - domain [6.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=6.0.3.e.c.0.a.2.ip6.arpa&type=domain)
126
  - domain [7.0.3.e.c.0.a.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=7.0.3.e.c.0.a.2.ip6.arpa&type=domain)
127 346 youpi
128
Yaal
129
130
  - route yaal [45.67.80.0/23](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=45.67.80.0%20-%2045.67.83.255&type=inetnum)
131
  - route6 yaal [2a09:7340::/29](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2a09:7340::%2F29&type=inet6num)
132
  - domain [80.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=80.67.45.in-addr.arpa&type=domain)
133
  - domain [81.67.45.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=81.67.45.in-addr.arpa&type=domain)
134
135
Etienne
136
137
  - route etienne [46.231.240.0/22](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=46.231.240.0%20-%2046.231.243.255&type=inetnum)
138 350 youpi
  - inetnum [46.231.240.0/22](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=46.231.240.0%20-%2046.231.243.255&type=inetnum)
139 346 youpi
  - domain [240.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=240.231.46.in-addr.arpa&type=domain)
140
  - domain [241.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=241.231.46.in-addr.arpa&type=domain)
141
  - domain [242.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=242.231.46.in-addr.arpa&type=domain)
142
  - domain [243.231.46.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=243.231.46.in-addr.arpa&type=domain)
143 345 youpi
144
Stolon
145
146 347 youpi
  - aut-num [AS 213135](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS213135&type=aut-num)
147 348 youpi
  - inetnum [185.1.169.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.169.0%20-%20185.1.169.255&type=inetnum)
148 349 youpi
  - inet6num [2001:7f8:f4::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:7f8:f4::%2F48&type=inet6num)
149 345 youpi
  - domain [169.1.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=169.1.185.in-addr.arpa&type=domain)
150 344 youpi
  - domain [4.f.0.0.8.f.7.0.1.0.0.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=4.f.0.0.8.f.7.0.1.0.0.2.ip6.arpa&type=domain)
151 336 youpi
152
Girondix
153
154 337 youpi
  - organisation [Aquitaine Reseau](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ORG-AAR4-RIPE&type=organisation)
155 336 youpi
  - aut-num [AS 62118](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS62118&type=aut-num)
156 328
  - as-set [AS-GIRONDIX](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS-GIRONDIX&type=as-set)
157 341 youpi
  - inetnum [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%20-%20185.1.3.255&type=inetnum)
158 336 youpi
  - inet6num [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48&type=inet6num)
159 345 youpi
  - domain [3.1.185.in-addr.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=3.1.185.in-addr.arpa&type=domain)
160 328
  - domain [8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=8.0.4.0.c.7.6.0.1.0.0.2.ip6.arpa&type=domain)
161 341 youpi
  - route [185.1.3.0/24](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=185.1.3.0%2F24AS198985&type=route)
162
  - route6 [2001:67c:408::/48](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=2001:67c:408::%2F48AS198985&type=route6)
163 347 youpi
164
Misc
165
166
  - aut-num [AS212760](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS212760&type=aut-num)
167
  - aut-num [AS211858](https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=AS211858&type=aut-num)
168 336 youpi
169 328
170
Tout se passe maintenant sur https://lirportal.ripe.net https://www.ripe.net/manage-ips-and-asns https://apps.db.ripe.net/db-web-ui/#
171
172 329 sacha
---
173
---
174
175
## *vieux pour les archives: Migration de LIR & IP*
176 328
177
  - {background:lightgreen} DONE : mise à jour bgpd.conf
178
  - {background:lightgreen} DONE : mise à jour bgpd blackhole
179
  - {background:lightgreen} DONE : mise à jour bgpd nlnog =\> mail
180
  - {background:lightgreen} DONE : mise à jour firewall
181
  - {background:lightgreen} DONE : mise à jour RDNS
182
  - {background:lightgreen} DONE : mise à jour carp cerbere
183
  - {background:lightgreen} DONE : mise à jour scripts Xen
184
  - mise à jour des machines une par une... configuration /etc/network/interfaces, firewall, conf serveurs
185
  - VMs Apollon
186
      - acaqb =\> mail
187
      - {background:lightgreen} DONE : agatas-aqui-vm1 =\> mail
188
      - <span style="background:lightgreen;">DONE agatasTeT =\> mail</span>
189
      - {background:lightgreen} DONE : alcyon \[04/12/17 - 23:25\]
190
      - ~~ate~~
191
      - bayonnet =\> mail
192
      - bayonnet2 =\> mail
193
      - {background:lightgreen} DONE : cpprod
194
      - {background:lightgreen} DONE cpprod-dev
195
      - {background:lightgreen} DONE :dev-cortex =\> mail
196
      - ~~dev-iidre =\> mail~~
197
      - {background:lightgreen} DONE :dev-sacha
198
      - {background:lightgreen} DONE: dionysos
199
      - {background:lightgreen} DONE :duniter
200
      - ecce-info
201
      - {background:lightgreen} DONE :embedded-freedom =\> mail
202
      - {background:lightgreen} DONE :f1te =\> mail
203
      - {background:lightgreen} DONE : griffith =\> mail
204
      - {background:lightgreen} DONE : guilarr =\> mail
205
      - ~~guzel~~
206
      - {background:lightgreen} DONE hades (à finir en dernier pour garder les IPs DNS récursif disponibles)
207
      - {background:lightgreen} DONE :hermes
208
      - {background:lightgreen} DONE iidre
209
      - {background:lightgreen} DONE iris
210
      - {background:lightgreen} DONE janus
211
      - motv =\> mail
212
      - {background:lightgreen} DONE : natha =\> mail
213
      - {background:lightgreen} DONE neutral
214
      - {background:lightgreen} DONE nlnog =\> mail
215
      - {background:lightgreen} DONE : sanssoucis =\> mail
216
      - {background:lightgreen} DONE : tchaikovski =\> irc fx
217
      - {background:lightgreen} DONE : tdn =\> mail
218
      - ~~test~~ \<= ???
219
      - ~~triton~~
220
      - tyche
221
      - {background:lightgreen} DONE : web.openbeelab
222
  - VMs artemis
223
      - {background:lightgreen} DONE : athena (à finir en dernier pour garder la supervision)
224
      - {background:lightgreen} DONE : demeter
225
      - {background:lightgreen} DONE : eos
226
      - {background:lightgreen} DONE : gaia (à finir en dernier pour garder les IPs DNS récursif disponibles)
227
      - {background:lightgreen} DONE hera (à finir en dernier pour le ldap & such)
228
      - {background:lightgreen} DONE hestia
229
      - {background:lightgreen} DONE labx-ipmi =\> mail
230
      - {background:lightgreen} DONE persephone
231
      - ~~test~~
232
  - Elidee =\> mail+ relance 21/12
233
  - {background:lightgreen} DONE : Sayanet
234
  - ENCOURS: Zeus
235
  - Guix =\> mail (machine pas au dc en ce moment)
236
  - {background:lightgreen} DONE : Poseidon
237
  - {background:lightgreen} DONE : L@BX
238
  - {background:lightgreen} DONE : PDU 7920
239
  - PDU 7821: pas réussi à m'y connecter: mot de passe invalide...
240
  - {background:lightgreen} DONE : styx
241
  - mise à jour des VPNs: nouvelles IPs activées, on attend les confirmations des gens avant de les basculer sur la nouvelle IP
242
  - {background:lightgreen} DONE : corriger doc compta IP fixe VPN
243
  - {background:lightgreen} DONE : mise à jour dhcp
244
  - mise à jour DNS au fur et à mesure, refaire une passe complète pour vérifier.
245
  - {background:lightgreen} DONE Prévenir les abonnés qu'on a changé le DNS: ce n'est plus 141.255.128.100 / 101, mais 185.233.100.100 / 101
246
  - Finir de corriger le wiki
247
248
## Mise à jour d'une VM
249
250
Tout le réseau 141.255.128.0/24 devient 185.233.100.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
251
252
Dans cet exemple, on travaille sur la VM gaia (141.255.128.2 -\> 185.233.100.2)
253
254
### Conf réseau
255
256
Pour une transition en douceur, on peut dans un premier temps juste ajouter la nouvelle IP à côté de l'ancienne. Sous Debian, on peut par exemple ajouter à /etc/network/interfaces:
257
258
    auto eth0:1
259
    iface eth0:1 inet static
260
     address 185.233.100.2
261
     #gateway 185.233.100.126
262
     netmask 255.255.255.128
263
    iface eth0:1 inet6 static
264
     address 2a0c:e300::2
265
     #gateway 2a0c:e300::126
266
     netmask 48
267
268
et lancer `ifup eth0:1` pour avoir la nouvelle IP.
269
270
Si ce n'est pas déjà fait, il faut corriger `/etc/resolv.conf`:
271
272
    nameserver 185.233.100.100
273
    nameserver 185.233.100.101
274
    nameserver 80.67.169.12
275
    nameserver 2a0c:e300::100
276
    nameserver 2a0c:e300::101
277
278
Si ce n'est pas déjà fait, il faut corriger `/etc/nagios/nrpe.d/aquilenet.cfg` le `allowed_hosts` et lancer `service nagios-nrpe-server reload`
279
280
Si ce n'est pas déjà fait, il faut corriger `/etc/hosts` pour mettre le nom de la machine elle-même sur la nouvelle IP aussi.
281
282
Si ce n'est pas déjà fait, il faut corriger l'IP dans `/etc/motd`
283
284
### Conf firewall
285
286
Il faut éventuellement corriger le firewall, typiquement corriger `/etc/iptables/rules*` et relancer `netfilter-persistent start` ou `/etc/init.d/iptables-persistent start`
287
288
### Conf service
289
290
On peut alors vérifier que les services de la VM sont accessibles avec la nouvelle IP: dans /etc/hosts sur son propre ordi, on peut mettre
291
292
    185.233.100.2 www.aquilenet.fr
293
    2a0c:e300::2 www.aquilenet.fr
294
295
et vérifier que ça fonctionne bien à la fois en v4 et v6. Ça peut ne pas fonctionner si le service est bindé explicitement sur les anciennes IP (cas de bind9 par exemple), il faut alors binder sur à la fois les anciennes et les nouvelles. En général on écoute sur toutes les IPs donc pas de souci. On peut le vérifier assez facilement avec netstat:
296
297
    netstat -Ainet -Ainet6 -anp | grep LISTEN
298
299
Si ça indique 0.0.0.0 et :: c'est que ça écoute sur toutes les IPs. Si c'est 141.255.128.x, c'est qu'il écoute explicitement sur les IPs, et il faut configurer ça. S'il y a du 127.0.0.1 ou ::1, c'est normal, c'est les services en interne seulement. Cette même commande permet de vérifier facilement que le service écoute maintenant sur les nouvelles IPs aussi :)
300
301
On peut aussi faire un gros `grep -r 141.255.128 /etc` et `grep -ri 2a01:474 /etc`
302
303
### Basculement DNS
304
305
Une fois qu'on est sûr que le service fonctionne sur la nouvelle IP, on peut basculer dans DNS: sur gaia, /etc/ns2/db.aquilenet, changer les IPv4 et v6 (chercher \[:.\]2$ par exemple), mettre à jour le serial, et lancer `service ns2 reload` . IL faut au même moment regarder l'heure: le TTL est par défaut 28800s, donc 8h, donc pendant 8h il peut y avoir des machines qui ont encore en cache l'ancien enregistrement DNS.
306
307
Bien sûr, s'il y a d'autres nom de domaines hors aquilenet.fr qui pointent sur nos IPs, il faut les mettre à jour aussi...
308
309
### Supervision shinken
310
311
Sans attendre, sur athena, dans /etc/shinken/hosts/aquilenet/aquilenet.cfg, corriger l'adresse, et faire un `service shinken reload`
312
313
### Fin conf réseau
314
315
Noter dans la liste des VMs ci-dessus la date et heure de basculement DNS
316
317
8h après le basculement DNS, le TTL est expiré, personne n'est plus censé utiliser l'ancienne IP, on peut alors la supprimer, en virant la section eth0 et en renommant eth0:1 en eth0 et en décommentant les lignes gateway et un ptit reboot est utile pour être sûr que ça fonctionne vraiment au poil.
318
319
## VPN
320
321
Tout le réseau 141.255.130.0/24 devient 185.233.101.0/24 et 2a01:474::/32 devient 2a0c:e300::/32
322
323
Pour ceux qui ont des IPs fixes, on préfère éviter de leur changer la configuration de manière impromptue. On a donc pour l'instant mis (par exemple pour le VPN 42):
324
325
    ifconfig-push 141.255.130.42 255.255.255.0
326
    push route-gateway 141.255.130.254
327
    iroute 185.233.101.42
328
    ifconfig-ipv6-push 2a01:474:4:42:: 2a01:474:4:80::1
329
    iroute-ipv6 2a01:474:4:42::/64
330
    iroute-ipv6 2a0c:e300:4:42::/64
331
332
Ce qui permet de faire fonctionner à la fois l'ancienne et la nouvelle IP, même si c'est encore l'ancienne qui est configurée automatiquement par openvpn côté client (on est obligé de forcer le route-gateway car malgré le ifconfig-push cet idiot d'openvpn utilise pour route-gateway l'IP du serveur dans 185.233.101.0/24...). L'abonné peut utiliser de son côté
333
334
    ip addr add dev tun0 185.233.100.42
335
336
pour activer à la main la nouvelle IP, puis vérifier que l'on peut effectivement accéder à son serveur avec la nouvelle IP. Une fois confirmé, on peut basculer sur la nouvelle IP:
337
338
    ifconfig-push 185.233.101.42 255.255.255.0
339
    iroute 141.255.130.42
340
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
341
    iroute-ipv6 2a01:474:4:42::/64
342
    iroute-ipv6 2a0c:e300:4:42::/64
343
344
i.e. on bascule ifconfig-push, on enlève push route-gateway, on bascule iroute, et on bascule ifconfig-ipv6-push. On ne touche pas à iroute-ipv6: on garde les deux routes pour l'instant.
345
346
Et une fois que l'adhérent n'utilise plus l'ancienne IP (parce que le TTLS DNS de ses noms de domaine est expiré par exemple), on peut virer l'ancienne IP:
347
348
    ifconfig-push 185.233.101.42 255.255.255.0
349
    ifconfig-ipv6-push 2a0c:e300:4:42:: 2a0c:e300:4:80::1
350
    iroute-ipv6 2a0c:e300:4:42::/64
351
352
i.e. on enlève les iroute et iroute-ipv6 vers les anciennes IPs