Noël NICOLAS

Se générer une adresse IPv6 avec EUI-64

Posted on by Noël NICOLAS

EUI-64 =

Extended Unique Identifier
– prévu pour générer automatiquement une adresse IPv6

Petit rappel :

Un équipement possède deux adresses IPv6 :

– une adresse Link-Local pour la partie LAN
– une adresse Global Adress pour naviguer sur Internet

IPv6 = 2 adresses IP

 

 

Méthode EUI-64

Cette méthode utilise la règle EUI-64 ( Extended Unique Identifier ). afin de générer automatiquement la partie “Interface-ID” comme ceci :

Étape 1 : Coupe en deux l’adresse MAC de l’interface en question.

Couper l'adresse MAC en deux
Couper l’adresse MAC en deux

 

Étape 2 : Insère le code FF:FE entre les deux parties.

Ajouter FF:FE

 

Étape 3 : Inverse le 7e bit de “Interface-ID”.

Inverser le 7e bit de “Interface-ID”

 

La partie “Interface-ID” générée par la règle EUI-64 est donc : E23F:49FF:FE45:9D7B

 

 

EUI-64 pour l’adresse Link-Local

Activation

R1(config)# interface FastEthernet 0/0
R1(config-if)# ipv6 enable

Cette commande permet d’activer le protocole IPv6 sur une interface.
Grâce à elle, notre routeur va commencer à se générer une adresse IPv6 de type Link-local avec l’EUI-64.

 

Vérification

R1# show ipv6 interface FastEthernet 0/0
IPv6 is enabled, link-local address is FE80::E23F:49FF:FE45:9D7B
Adresse Link-local + EUI64

 

 

EUI-64 pour l’adresse Global address

Activation

Router(config-if)# ipv6 address 2001:DB8:0:1::/64 eui-64

Cette commande va permettre de dire à notre interface :
Voici le réseau dans le quel tu dois appartenir, après à toi de te choisir une adresse.

 

Vérification

R1# show ipv6 interface FastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::E23F:49FF:FE45:9D7B
  No Virtual link-local address(es):
  Global unicast address(es):
    2001:DB8:0:1::E23F:49FF:FE45:9D7B, subnet is 2001:DB8:0:1::/64 [EUI]
Global-Adress + EUI64

 

 

Noël NICOLAS

Le routage Statique vu par CISCO

Posted on by Noël NICOLAS
Chapitre 1

Introduction au routage statique

Le routage statique permet de rajouter des informations dans la table de routage de façon manuel.

Route = Par où je passe pour joindre ce réseau ?
Table de routage = Endroit où notre routeur stocke toutes les informations concernant le routage.

Le cours en vidéo

Chapitre 2

Présentation des routeurs

C'est quoi un routeur ?

Objectif d’un routeur : Distribuer les paquets IP sur le réseau.

À quoi peut-on comparer un routeur : au facteur de votre quartier.

  • il connait les adresses de son secteur et peut donc directement livrer ses paquets
  • il sait que pour les autres quartiers, villes et pays, il faudra donner le paquet à son centre de tri
  • ce qui se passe après ? Cela ne le regarde pas, ce n’est pas son boulot !

Un routeur remonte jusqu’à quelle couche du modèle OSI ? Jusqu’à la couche 3 (IP).

Petites particularités concernant les routeurs : 

  • un routeur ne peut pas avoir deux interfaces dans le même réseau
  • toutes les interfaces d’un routeur sont shutdown par défaut

Comment fonctionne un routeur ?

BOB veut joindre ALICE

Que se passe-t-il lorsque BOB veut échanger des informations avec ALICE :

  1. BOB veut joindre ALICE
  2. ALICE n’est pas dans le même réseau IP que BOB
  3. BOB envoie donc ses paquets à sa gateway (passerelle par défaut)
  4. la gateway de BOB est l’adresse IP du routeur R1
  5. le travail du routeur R1 est de trouver une solution pour joindre ALICE
Que vas faire R1 ?
Que va faire R1 ?

Ce que va faire le routeur R1 :

  • R10 sait comment joindre ALICE
  • R20 sait comment joindre PIERRE et PAUL
  • R30 sait comment joindre JACQUES 

Comment se remplit une table de routage ? Pour ce faire, trois façons :

  1. Par déduction Si une de mes interfaces est dans le réseau 10.10.10.0/24, c’est que je sais comment le joindre
  2. Manuellement Via des lignes de commandes
  3. Dynamiquement Via des protocoles de routages dynamiques comme RIP, OSPF, EIGRP et BGP
Chapitre 3

Les routes statique

Créer une route statique 

R1(config)# ip route 192.168.1.0 255.255.255.0 1.1.1.2 name Agence_1

ou

R1(config)# ip route 192.168.1.0 255.255.255.0 FastEthernet 1/0 name Agence_1

192.168.1.0 = Réseau de destination
255.255.255.0 = masque
1.1.1.2 = Adresse IP du routeur voisin
FastEthernet 1/0 = Interface Ethernet où est branché le routeur voisin.

Nous avons donc dit à notre routeur que le réseau 192.168.1.0 /24 est disponible via le routeur ayant comme adresse 1.1.1.2 cette adresse doit être directement connectée au routeur.

Name = Comme je l’ai dit dans mes articles précédents, les descriptions sont importantes !! Aujourd’hui vous savez qui correspond à quoi. Demain ce sera un autre administrateur qui va venir sur votre équipement actif, et si vous avez 30 routes statiques… il sera perdu !!!

Supprimer une route statique

Il suffit juste de rajouter un “no” devant notre route statique :

R1(config)# no ip route 192.168.1.0 255.255.255.0 1.1.1.2 name Agence_1

Créer une route par défaut 

R1(config)# ip route 0.0.0.0 0.0.0.0 2.2.2.1 name DEFAULT_GATEWAY

Le réseau 0.0.0.0 /0 englobe toutes les adresses possibles en IPv4. Tout le monde va être redirigé vers l’adresse 2.2.2.1 s’il n’y a pas d’autres solutions.

Chapitre 4

La table de routage

Visualisation de la table de routage

Pour visualiser la table de routage , entrez la commande :

Router# show ip route 
Résultat :
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 2.2.2.1 to network 0.0.0.0

1.1.1.0/24 is subnetted, 1 subnets

C 1.1.1.0 is directly connected, FastEthernet1/0
S 192.168.1.0/24 [1/0] via 1.1.1.2
C 192.168.0.0/24 is directly connected, FastEthernet2/0
S* 0.0.0.0/0 [1/0] via 2.2.2.1

Étape 1 : Administrative Distance

Nous avons vu précédemment que nos routeurs interrogent leurs tables de routages pour savoir à quel routeur distribuer les paquets reçus. Dans cette table de routage, il y a une chose importante qui est prise en compte : la distance administrative.

Cette valeur comprise entre 0 et 255 permet de savoir quelle route choisir si notre table de routage nous indique plusieurs chemins possibles.

La distance administrative prioritaire est la 0.

La distance administrative qui sera choisie dans le pire des cas sera la 255.

Route SourceDistance Administrative 
Interface connecté0
Route Statique1
EIGRP summary route5
E-BGP20
Internal EIGRP90
IGRP100
OSPF110
IS-IS115
RIP120
EGP140
External EIGRP170
Internal BGP200
Unknown*255

Source : https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/15986-admin-distance.html

Étape 2 : Le masque le plus restrictif

Conditions :

  • administrative distance identique !

Imaginons que nous avons les deux routes statiques suivantes :

R1(config)# ip route 192.168.0.0 255.255.255.0 1.1.1.1 name VERS_R1
R1(config)# ip route 192.168.0.0 255.255.0.0 2.2.2.1 name VERS_R2

Notre routeur doit router un paquet vers l’adresse 192.168.0.1 -> Ce paquet va être envoyé vers R1 ou R2 ?

Il va être envoyé vers R1 vu que le masque /24 (255.255.255.0) est plus restrictif que le masque /16 (255.255.0.0).

Étape 3 : En cas d'égalité

Conditions :

  • administrative distance identique !
  • masque de sous réseau identique !

Résultat :

  • Load Balancing
Chapitre 5

L'apprentissage des "routes"

Apprentissage par déduction

Architecture de base : 

Apprentissage par déduction
Apprentissage par déduction

Configuration : 

R1(config)# interface FastEthernet 0/0
R1(config-if)# ip address 10.10.10.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface FastEthernet 0/1
R1(config-if)# ip address 20.20.20.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface FastEthernet 0/2
R1(config-if)# ip address 30.30.30.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit

Vérification :

R1# show ip route

Gateway of last resort is not set

C       10.10.10.0 is directly connected, FastEthernet0/1
C       20.20.20.0 is directly connected, FastEthernet0/2
C       30.30.30.0 is directly connected, FastEthernet0/3

Notre routeur sait comment joindre ces trois réseaux !

Apprentissage manuel

Architecture de base : 

Apprentissage des routes manuellement
Apprentissage des routes manuellement

Configuration des interfaces : 

R1(config)# interface FastEthernet 0/0
R1(config-if)# description LAN
R1(config-if)# ip address 10.10.10.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface FastEthernet 0/1
R1(config-if)# description WAN
R1(config-if)# ip address 1.1.1.1 255.255.255.248
R1(config-if)# no shutdown
R1(config-if)# exit
R2(config)# interface FastEthernet 0/0
R2(config-if)# description LAN
R2(config-if)# ip address 20.20.20.254 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# exit

R2(config)# interface FastEthernet 0/1
R2(config-if)# description WAN
R2(config-if)# ip address 1.1.1.2 255.255.255.248
R2(config-if)# no shutdown
R2(config-if)# exit

Configuration du routage statique :

R1(config)# ip route 20.20.20.0 255.255.255.0 1.1.1.2 name LAN_R2
R2(config)# ip route 10.10.10.0 255.255.255.0 1.1.1.1 name LAN_R1

Vérification : 

R1# show ip route

Gateway of last resort is not set

C       10.10.10.0 is directly connected, FastEthernet0/0
S       20.20.20.0/24 [1/0] via 1.1.1.2 
C       1.1.1.0    is directly connected, FastEthernet0/1


R2# show ip route

Gateway of last resort is not set

S       10.10.10.0/24 [1/0] via 1.1.1.1 
C       20.20.20.0 is directly connected, FastEthernet0/0
C       1.1.1.0    is directly connected, FastEthernet0/1

R1 et R2 connaissent maintenant les réseaux 10.10.10.0/24 et 20.20.20.0/24

Apprentissage dynamique

La suite au prochain cours les amis 😉

Chapitre 6

Exercice routage statique

Packet Tracer – Exercice 1 : Routage Statique

Packet Tracer – Exercice 2 : Routage Statique

Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

OpenVPN sous Pfsense

Posted on by Noël NICOLAS

INTRODUCTION

Problématique de base :

Imaginons que nous ayons une entreprise avec plusieurs sites géographiques.

Chaque site géographique possède sa propre liaison Internet.

Au niveau de la législation française, nous sommes obligés d’authentifier et d’archiver l’activité de nos utilisateurs.

Pour ce faire, nous avons décidé d’installer sur chaque site un serveur PfSense.

Tous nos administrateurs sont au niveau du site principal. Il faut donc que nos administrateurs puissent accéder à distance à chaque serveur PfSense Distant.

Nous allons donc mettre en place une liaison VPN entre notre site principal et nos sites isolés. Cela nous permettra :

– de pouvoir administrer nos sites distants de manière sécurisés
– d’avoir un échange de donnée possible entre nos LAN Internet (enregistrement centralisé des Logs, intégration de nos ordinateurs distants dans un domaine unique, etc.)

 

Avec un serveur PfSense, nous pouvons mettre en place plusieurs types de VPN :

IPSec (nécessite 2 IP WAN fixes)
L2TP (nécessite 2 IP WAN fixes)
OpenVPN (nécessite un seul IP WAN fixe)
PPTP (nécessite 2 IP WAN fixes)

 

Dans notre cas, nous allons partir sur la mise en place d’un OpenVPN.

Pourquoi ? Car ce VPN à l’avantage de fonctionner en mode client/serveur et donc ne nécessite qu’une seul IP WAN Fixe sur un de nos sites.

 

Vu que nous allons raccorder plusieurs OpenVPN sur notre site principal, le plus judicieux est de mettre l’adresse IP publique de notre site principale en fixe.

Tout fournisseur d’accès proposent ce service (généralement payant).

 

 

 

Configuration de notre liaison OpenVPN

Pour ce faire, nous allons configurer ce dernier étape par étape.

Afin de mieux comprendre comment le mettre en place, nous allons commencer au niveau de notre poste d’administration (situé sur la partie serveur).

 

 

Configuration PfSense du site principale

 

Configuration de l’OpenVPN

Jusqu’ici, rien de compliqué. Nous avons un Lan qui va être NATé via l’IP Wan de notre box pour qu’il puisse naviguer sur internet.

La première chose à faire sur notre PfSense c’est de créer notre partie « Serveur ».

Pour ce faire, nous devons aller dans l’onglet « VPN > OpenVPN ».

Dans l’onglet « Serveur », nous allons cliquer sur le petit “+” afin de créer notre serveur OpenVPN.

 

 

Les paramètres à mettre en place sont les suivants :

 

Server Mode : Peer to Peer (Shared Key).

Pour monter notre VPN, nous allons utiliser un secret partagé (shared key).

Ce secret va être commun à tous nos clients ainsi qu’avec notre serveur. Il va falloir le copier-coller à chaque fois que nous allons paramétrer une connexion OpenVPN.

Ce secret est automatiquement généré par le serveur.

Interface : Interface WAN.

IPv4 Tunnel Network : Mettez une adresse réseau type 10.10.10.0 /24 (ce réseau est un réseau privé de classe A).

Le tunnel OpenVPN a besoin de cette information pour fonctionner, il faut juste faire attention à ce que le réseau choisi soit assez grand pour d’accueillir tous nos clients OpenVPN et qu’il ne soit pas utilisé autre part.

Une fois le paramétrage fini, cliquez sur « Save ».

Notre serveur OpenVPN est configuré !

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin.

 

Configuration du Firewall

Pour ce faire, aller dans l’onglet « Firewall > Rules ».

On peut voir que chaque interface possède un firewall.

Par défaut, personne ne peut emprunter notre tunnel et toutes les demandes de connexion VPN venant de l’extérieur sont bloquées par le firewall WAN. Nous allons donc autoriser ces flux.

 

Au niveau du firewall OpenVPN :

 

Au niveau du firewall WAN :

 

 

Configuration de notre accès Internet

Par défaut, une box refuse toutes demandes de connexion venant de l’extérieur vu qu’elle ne sait pas à qui cette demande est destinée (vu que la box fait du NAT).

Nous allons donc indiquer à la box que si une demande de connexion VPN vient de l’extérieur, sur le port par défaut utilisé par OpenVPN (UDP 1194), elle devra la rediriger vers notre Pfsense.

Pour ce faire, nous allons mettre en place du port-forwarding (redirection de port).

Vu le nombre de box différentes présentes sur le marché, le mieux est de faire une recherche sur Google avec la référence de la box ainsi que le mot “port-forwarding”.

 

 

Configuration PfSense de nos sites isolés

 

Configuration de l’OpenVPN

La première chose à faire sur notre PfSense c’est de créer notre partie « Client » (vous trouverez la configuration sur l’image ci-dessous).

 

 

 

 

 

 

Server host or address 

Il va falloir mettre l’adresse IP du serveur OpenVPN telle qu’elle est vue sur Internet. Ce sera donc l’adresse IP de la patte WAN de la box « maison mère ».

Comment obtenir cette adresse ? Il faut aller sur le site www.mon-ip.com à partir d’un poste de la maison mère et le tour est joué !

Shared Key

Copier-coller le secret partagé du serveur ici.

IPv4 Tunnel Network

Mettre le même Network que le serveur.

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin !

 

Configuration du Firewall

Pour ce faire, aller dans l’onglet « Firewall > Rules ».

Comme c’est le client qui doit faire la demande de connexion, il n’est pas nécessaire d’ajouter une règle au niveau du firewall WAN. Nous allons uniquement intervenir sur le firewall OpenVPN pour ajouter les mêmes règles que la partie serveur :

 

Configuration de notre accès INTERNET

Il n’y à pas d’action à mener sur les BOX Internet de nos sites isolés vu qu’ils sont en mode “Client”. Ce sont eux qui font faire la demande d’ouverture du tunnel OpenVPN.

 

 

Test de bon fonctionnement

Pour tester votre connexion VPN, essayerzd’accéder à la page d’administration du PfSense distant depuis un poste du site principal.

Si cela ne fonctionne pas, il va falloir vérifier les logs de nos firewalls ou si l’un de nos flux n’a pas été bloqué.

Ce schéma de principe peut vous aider dans votre recherche de panne :

 

 

En espérant que vous avez apprécié cet article !

N’hésitez pas à me la faire savoir !!

FingerInTheNet.com