## Configuration du réseau Nous avons utilisé la configuration automatique du réseau (DHCP). Il est temps de configurer manuellement les adresses IP pour avoir des adresses fixes dans le temps (faisable aussi avec DHCP si on a un serveur DHCP configurable) ### Configuration de l'IPV4 Les éléments suivants ont été configurés dans l'interface de configuration de ma box (Freebox dans mon cas) Mon réseau domestique est: **192.168.111.0** Ma passerelle est: **192.168.111.254** J'ai choisi l'adresse suivante pour mon serveur: **192.168.111.160** et j'ai configuré cette adresse comme zone “DMZ” sur ma Freebox (zone démilitarisée, accessible de l'extérieur) La configuration se fait dans le fichier: **/etc/network/interfaces** Nous avons ceci: ```shell source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug enp4s0 iface enp4s0 inet dhcp # This is an autoconfigured IPv6 interface iface enp4s0 inet6 auto ``` Vous noterez que le nom des interfaces a changé ... Modification de l'interface réseau IPV4: Les lignes concernées sont: ```shell # The primary network interface allow-hotplug enp4s0 iface enp4s0 inet dhcp ``` Modifiez ces lignes pour obtenir: ```shell # The primary network interface allow-hotplug enp4s0 # iface enp4s0 inet dhcp (ligne à commenter) # lignes à ajouter iface enp4s0 inet static # IP address address 192.168.111.160 # network address network 192.168.111.0 # subnet mask netmask 255.255.255.0 # broadcast address broadcast 192.168.111.255 # default gateway gateway 192.168.111.254 # name server dns-nameservers 8.8.8.8 8.8.4.4 ``` Explications: * enp4s0: c'est le nom donné par Debian à mon interface réseau * l'adresse IP est l'adresse que j'ai choisie dans mon réseau local pour mon serveur * nous avons ensuite l'adresse réseau * puis le masque * l'adresse de broadcast * et l'adresse de sortie de notre réseau (en fait l'adresse est fixée par notre routeur: la mienne est: 254) * les serveurs de nom: nous allons mettre un serveur de nom **provisoire** avant d'installer notre propre serveur de noms. J'ai pris ici les serveurs de Google. Sauvegarde du fichier et redémarrage du serveur. Vous noterez que la connexion par **ssh** échoue, car l'empreinte du serveur a changé. ```shell @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:w0HKVAyxVFC2t50O6hte6PioCIAjcwxus7Mm8/Q+NBo. Please contact your system administrator. Add correct host key in /home/eric/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/eric/.ssh/known_hosts:14 remove with: ssh-keygen -f "/home/eric/.ssh/known_hosts" -R atom ECDSA host key for atom has changed and you have requested strict checking. Host key verification failed. ``` Suivez les instructions données par le message de **ssh** et reconnectez-vous. ```shell eric@aldebaran:~$ ssh ericadmin@atom The authenticity of host 'atom (192.168.111.160)' can't be established. ECDSA key fingerprint is SHA256:w0HKVAyxVFC2t50O6hte6PioCIAjcwxus7Mm8/Q+NBo. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'atom,192.168.111.160' (ECDSA) to the list of known hosts. Last login: Mon Dec 25 10:57:50 2017 from 192.168.111.150 ericadmin@atom:~$ ``` Test de l'adresse IPV4 (mode super-utilisateur) ```shell root@atom:/home/ericadmin# ifconfig enp4s0: flags=4163 mtu 1500 inet 192.168.111.160 netmask 255.255.255.0 broadcast 192.168.111.255 inet6 2a01:e0a:54:c220:223:54ff:fec6:a07 prefixlen 64 scopeid 0x0 inet6 fe80::223:54ff:fec6:a07 prefixlen 64 scopeid 0x20 ether 00:23:54:c6:0a:07 txqueuelen 1000 (Ethernet) RX packets 1666 bytes 134780 (131.6 KiB) RX errors 0 dropped 2 overruns 0 frame 0 TX packets 432 bytes 39182 (38.2 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73 mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1 (Boucle locale) RX packets 0 bytes 0 (0.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 0 bytes 0 (0.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 root@atom:/home/ericadmin# ``` Mon adresse IPV4 est la bonne: **192.168.111.160** ### Configuration de l'IPV6 Nous allons utiliser la configuration automatique. Un préfixe IPV6 nous est attribué par notre fournisseur d'accès. Nous disposons d'un pool gigantesque d'adresses IPV6 utilisables comme bon nous semble. Avec la configuration automatique, une adresse ipv6 est fabriquée à partir de l'adresse mac de notre interface réseau. C'est une adresse fixe qui ne changera pas tant que nous ne changerons pas le matériel réseau du serveur. En configuration manuelle, nous pouvons attribuer l'adresse de notre choix, comprise bien sûr dans le pool d'adresses. Nous allons ajouter une option qui permet d'augmenter la protection de la vie privée. Du fait du pool d'adresses disponibles, il est possible de demander au système de changer régulièrement d'adresses pour les requêtes extérieures. L'interface réseau de notre serveur peut être dotée de plusieurs adresses IPV6 simultanément. L'option à rajouter est: **privext 2**. > Note: nous devrons changer cette configuration ensuite car il faut que l'adresse unique renvoyée par le serveur DNS soit la même que l'adresse d'émission ... > L'adresse d'émission change avec le paramètre **privext 2** et cette adresse ne correspond pas avec celle renvoyée par le serveur DNS. Il nous faudra employer une adresse statique, et unique pour notre serveur (en IPV4 et IPV6.) ```shell #This is an autoconfigured IPv6 interface iface enp2s0 inet6 auto privext 2 ``` Le résultat est le suivant: ```shell enp2s0: flags=4163 mtu 1500 inet 192.168.111.240 netmask 255.255.255.0 broadcast 192.168.111.255 inet6 2a01:e0a:54:c220:e128:ec57:4b1a:b078 prefixlen 64 scopeid 0x0 inet6 fe80::3aea:a7ff:fea6:cf93 prefixlen 64 scopeid 0x20 inet6 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93 prefixlen 64 scopeid 0x0 ether 38:ea:a7:a6:cf:93 txqueuelen 1000 (Ethernet) RX packets 7753 bytes 551016 (538.1 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 1579 bytes 152907 (149.3 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 18 ``` Vous noterez la présence de 3 adresses ipv6. * Une adresse commençant par inet6 fe80: Cette adresse n'est pas routée sur le réseau internet. Elle ne sert que pour le réseau local. Elle est marquée: «link». * 2 autres adresses ipv6 marquées «global»: l'une d'elle est l'adresse basée sur l'adresse mac de la carte réseau, l'autre a été générée par le système. Ces 3 adresses sont dans le pool d'adresses attribué par le FAI, et donc, les 64 premiers bits de l'adresse constituent le préfixe ipv6. Le pool d'adresses peu être de 64 bits ou 56 suivant les fournisseurs, ou moins encore. ### Tester la configuration réseau Je teste la connexion IPV6 à partir de ma machine de bureau. Première adresse ipv6: ```shell eric@aldebaran:~$ ping6 2a01:e0a:54:c220:e128:ec57:4b1a:b078 PING 2a01:e0a:54:c220:e128:ec57:4b1a:b078(2a01:e0a:54:c220:e128:ec57:4b1a:b078) 56 data bytes 64 bytes from 2a01:e0a:54:c220:e128:ec57:4b1a:b078: icmp_seq=1 ttl=64 time=0.487 ms 64 bytes from 2a01:e0a:54:c220:e128:ec57:4b1a:b078: icmp_seq=2 ttl=64 time=0.339 ms 64 bytes from 2a01:e0a:54:c220:e128:ec57:4b1a:b078: icmp_seq=3 ttl=64 time=0.322 ms ^C 2a01:e0a:54:c220:e128:ec57:4b1a:b078 ping statistics 3 packets transmitted, 3 received, 0% packet loss, time 2046ms rtt min/avg/max/mdev = 0.322/0.382/0.487/0.077 ms eric@aldebaran:~$ ``` 2ème adresse ipv6: ```shell eric@aldebaran:~$ ping6 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93 PING 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93(2a01:e0a:54:c220:3aea:a7ff:fea6:cf93) 56 data bytes 64 bytes from 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93: icmp_seq=1 ttl=64 time=0.571 ms 64 bytes from 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93: icmp_seq=2 ttl=64 time=0.424 ms ^C 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93 ping statistics 2 packets transmitted, 2 received, 0% packet loss, time 1020ms rtt min/avg/max/mdev = 0.424/0.497/0.571/0.076 ms ``` 3ème adresse ipv6: ```shell root@aldebaran:/home/eric# ping6 -I enp4s0 fe80:0:0:0:3aea:a7ff:fea6:cf93 PING fe80:0:0:0:3aea:a7ff:fea6:cf93(fe80::3aea:a7ff:fea6:cf93) from fe80::1e6f:65ff:fe92:dd1f%enp4s0 enp4s0: 56 data bytes 64 bytes from fe80::3aea:a7ff:fea6:cf93%enp4s0: icmp_seq=1 ttl=64 time=0.336 ms 64 bytes from fe80::3aea:a7ff:fea6:cf93%enp4s0: icmp_seq=2 ttl=64 time=0.357 ms ^C fe80:0:0:0:3aea:a7ff:fea6:cf93 ping statistics 2 packets transmitted, 2 received, 0% packet loss, time 1026ms rtt min/avg/max/mdev = 0.336/0.346/0.357/0.021 ms ``` Vous noterez que pour l'adresse «link» commençant par Fe80::, il faut spécifier l'interface réseau. (-i enp4s0 ) Vous pouvez constater que tout marche comme il se doit. Il faut bien sûr tester la connectivité dans les 2 sens: serveur -> autre machine **ET** autre machine -> serveur. Quelques liens: * [Linux France en français](http://www.linux-france.org/~openingault/gulliveripv6/theorie/addr.html#umacast) * [Cyberciti IPV6 Howto en anglais](https://www.cyberciti.biz/faq/howto-test-ipv6-network-with-ping6-command/)