formations/modules_EOLE_envole/sphynx/01-arv.tex

209 lines
6.1 KiB
TeX
Raw Normal View History

2013-03-10 21:07:54 +01:00
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
2013-05-03 19:58:11 +02:00
\item Réseau Privé Virtuel en étoile et en maillage ;
2013-03-10 21:07:54 +01:00
\item application centralisée ;
\item ARV : Administration de Réseaux Virtuels ;
\item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
2014-06-06 16:09:12 +02:00
\item possibilité d'inter-établissement ;
\item prévu pour fonctionner avec un Zéphir.
2013-03-10 21:07:54 +01:00
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Connexion ARV}
\begin{itemize}
2014-05-16 17:48:09 +02:00
\item Autorisation nécessaire pour les comptes:
2013-03-10 21:07:54 +01:00
\begin{itemize}
\item locaux,
\item Zéphir :
\begin{itemize}
\item avec droit "Lecture" et "Configuration vpn" ;
2013-05-03 19:58:11 +02:00
\item permet d'importer des serveurs Amon et Sphynx enregistrés ;
2013-03-10 21:07:54 +01:00
\item générer les configurations RVP => Zéphir ;
\end{itemize}
\end{itemize}
\item https://<IP\_Sphynx>:8088
2014-06-02 17:18:36 +02:00
\item testé principalement sur Firefox ;
2013-03-10 21:07:54 +01:00
\item déconnexion en bas à droite de l'application.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Eléments d'un RVP}
\begin{itemize}
\item une extrémité : serveur :
\begin{itemize}
\item un concentrateur RVP : fonctionnement en étoile,
\item un pare-feu Amon : établissement,
\end{itemize}
\item un réseau local : station/sous-réseau derrière les extrémités ;
\item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
\item un tunnel : relie deux réseaux locaux.
\end{itemize}
\end{frame}
2014-06-06 17:15:36 +02:00
\begin{frame}
\frametitle{Schéma}
\includegraphics[width=10cm]{modules_EOLE_envole/sphynx/ConceptualModel2.png}
\end{frame}
2013-03-10 21:07:54 +01:00
\begin{frame}
2014-05-16 17:48:09 +02:00
\frametitle{Différence: auto-signés ou signés}
2013-03-10 21:07:54 +01:00
\begin{itemize}
2014-06-06 16:09:12 +02:00
\item signés : nécessite une autorité de certification (AGRIATES) ;
\item auto-signés : fonctionne avec une CA locale ;
2013-03-10 21:07:54 +01:00
\item permet de mixer les deux ;
\item pré-configuré par défaut pour AGRIATES.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Modèles ARV}
\begin{itemize}
2013-05-03 19:58:11 +02:00
\item Configuration abstraite et commune des réseaux ;
2015-06-17 15:01:19 +02:00
\item peut être lié à Zéphir :
2013-05-03 19:58:11 +02:00
\begin{itemize}
\item peut utiliser des variables Creole ;
2015-06-17 15:01:19 +02:00
\item support des multi-valuées (nom\_variable[X]);
2013-05-03 19:58:11 +02:00
\end{itemize}
2013-03-10 21:07:54 +01:00
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
2019-10-10 12:27:43 +02:00
\item Enregistrement Zéphir de l'Amon et du Sphynx ;
\item activer RVP : "services" / "activer le réseau virtuel privé RVP" ;
2015-06-17 15:01:19 +02:00
\item \large{initialisation : init\_sphynx (seulement si Zéphir) ;}
2013-05-03 19:58:11 +02:00
\item créer un modèle :
2013-03-10 21:07:54 +01:00
\begin{itemize}
\item lien sécurisé ;
\item tunnel ;
2013-05-03 19:58:11 +02:00
\item réseau local.
2013-03-10 21:07:54 +01:00
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Serveur RVP}
\begin{itemize}
\item Serveur de type Amon/Sphynx :
\begin{itemize}
\item manuellement,
\item importation Zéphir ;
\end{itemize}
\item création des réseaux locaux (lié au modèle) ;
\item ajout des certificats ;
\item ajout des IP externes des serveurs RVP (par exemple alias).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Création d'un serveur manuellement ;
\item création d'un serveur depuis Zéphir ;
\item en modifiant, peut recharger la configuration ;
\item création des réseaux locaux ;
\item ajout d'un certificat auto-signé ;
\item ajout de l'IP externe.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Création des tunnels}
\begin{itemize}
\item Lien sécurisé entre deux serveurs RVP ;
2014-05-16 17:48:09 +02:00
\item utilise les modèles, certificats et IP externes fournis ;
2013-03-10 21:07:54 +01:00
\item enfin selection des tunnels à activer.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un lien sécurisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Mise en place}
\begin{itemize}
\item "Appliquer" dans ARV ;
\item activer dans l'interface de configuration de l'Amon ;
2014-05-20 11:56:32 +02:00
\item mise en place de RVP :
2013-03-10 21:07:54 +01:00
\begin{itemize}
\item à l'instance,
\item après : "active\_rvp init" ;
\end{itemize}
\item choix manuel (avec clef USB) ou Zéphir ;
\item suppression du lien : "active\_rvp delete".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
2015-06-17 15:01:19 +02:00
\item Sélectioner le serveur Sphynx pour avoir accès à la liste.
2013-03-10 21:07:54 +01:00
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Translation d'IP}
\begin{itemize}
\item Si tous les établissements ont le même sous-réseau : translation d'IP ;
\item gestion dans le modèle Era ;
2014-05-20 11:56:32 +02:00
\item dans la zone pédago => extérieur ;
2014-05-16 17:48:09 +02:00
\item ajouter des extrémités des sous-réseaux correspondants à l'intranet académique ;
2013-03-10 21:07:54 +01:00
\item règle de SNAT vers "admin\_bastion ;
\item ajouter une règle de FORWARD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
2014-05-16 17:48:09 +02:00
\item liste des certificats révoqués par Toulouse (rechargée toutes les 7 heures) ;
2013-03-10 21:07:54 +01:00
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge.
\end{itemize}
\end{itemize}
\end{frame}
2013-05-13 20:46:32 +02:00
%\begin{frame}
% \frametitle{Haute disponibilité}
% \begin{itemize}
% \item
%%FIXME
% \end{itemize}
%\end{frame}
2013-03-10 21:07:54 +01:00
\begin{frame}
\frametitle{Sphynx avancé}
\begin{itemize}
\item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
\item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
\item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
\item commande ipsec :
\begin{itemize}
\item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
\item ipsec status renvoie l'état des connexions,
2013-05-03 19:58:11 +02:00
%Security Association = lien sécurisé
%tunnel
2013-03-10 21:07:54 +01:00
\item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
2014-05-16 17:48:09 +02:00
\item ipsec up "Security Association" ou "tunnel" établit une connexion entre tous les tunnels associés ou monte un seul tunnel.
2013-03-10 21:07:54 +01:00
\end{itemize}
\end{itemize}
\end{frame}
2013-05-03 19:58:11 +02:00
%FIXME : équivalent de test_rvp ??? toujours