formations/modules_EOLE_envole/sphynx/01-arv.tex

203 lines
5.8 KiB
TeX

\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Réseau Privé Virtuel en étoile et en maillage ;
\item application centralisée ;
\item ARV : Administration de Réseaux Virtuels ;
\item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
\item possibilité d'inter-établissement ;
\item prévu pour fonctionner avec un Zéphir.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Connexion ARV}
\begin{itemize}
\item Autorisation nécessaire pour les comptes:
\begin{itemize}
\item locaux,
\item Zéphir :
\begin{itemize}
\item avec droit "Lecture" et "Configuration vpn" ;
\item permet d'importer des serveurs Amon et Sphynx enregistrés ;
\item générer les configurations RVP => Zéphir ;
\end{itemize}
\end{itemize}
\item https://<IP\_Sphynx>:8088
\item testé principalement sur Firefox ;
\item déconnexion en bas à droite de l'application.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Eléments d'un RVP}
\begin{itemize}
\item une extrémité : serveur :
\begin{itemize}
\item un concentrateur RVP : fonctionnement en étoile,
\item un pare-feu Amon : établissement,
\end{itemize}
\item un réseau local : station/sous-réseau derrière les extrémités ;
\item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
\item un tunnel : relie deux réseaux locaux.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Différence: auto-signés ou signés}
\begin{itemize}
\item signés : nécessite une autorité de certification (AGRIATES) ;
\item auto-signés : fonctionne avec une CA locale ;
\item permet de mixer les deux ;
\item pré-configuré par défaut pour AGRIATES.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Modèles ARV}
\begin{itemize}
\item Configuration abstraite et commune des réseaux ;
\item peut lier à Zéphir :
\begin{itemize}
\item peut utiliser des variables Creole ;
\item support des multi-valuées ;
\item nom\_variable[0].
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Enregistrement Zéphir du Sphynx ;
\item initialisation : init\_sphynx (seulement si Zéphir) ;
\item créer un modèle :
\begin{itemize}
\item lien sécurisé ;
\item tunnel ;
\item réseau local.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Serveur RVP}
\begin{itemize}
\item Serveur de type Amon/Sphynx :
\begin{itemize}
\item manuellement,
\item importation Zéphir ;
\end{itemize}
\item création des réseaux locaux (lié au modèle) ;
\item ajout des certificats ;
\item ajout des IP externes des serveurs RVP (par exemple alias).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Création d'un serveur manuellement ;
\item création d'un serveur depuis Zéphir ;
\item en modifiant, peut recharger la configuration ;
\item création des réseaux locaux ;
\item ajout d'un certificat auto-signé ;
\item ajout de l'IP externe.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Création des tunnels}
\begin{itemize}
\item Lien sécurisé entre deux serveurs RVP ;
\item utilise les modèles, certificats et IP externes fournis ;
\item enfin selection des tunnels à activer.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un lien sécurisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Mise en place}
\begin{itemize}
\item "Appliquer" dans ARV ;
\item activer dans l'interface de configuration de l'Amon ;
\item mise en place de RVP :
\begin{itemize}
\item à l'instance,
\item après : "active\_rvp init" ;
\end{itemize}
\item choix manuel (avec clef USB) ou Zéphir ;
\item suppression du lien : "active\_rvp delete".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Translation d'IP}
\begin{itemize}
\item Si tous les établissements ont le même sous-réseau : translation d'IP ;
\item gestion dans le modèle Era ;
\item dans la zone pédago => extérieur ;
\item ajouter des extrémités des sous-réseaux correspondants à l'intranet académique ;
\item règle de SNAT vers "admin\_bastion ;
\item ajouter une règle de FORWARD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
\item liste des certificats révoqués par Toulouse (rechargée toutes les 7 heures) ;
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge.
\end{itemize}
\end{itemize}
\end{frame}
%\begin{frame}
% \frametitle{Haute disponibilité}
% \begin{itemize}
% \item
%%FIXME
% \end{itemize}
%\end{frame}
\begin{frame}
\frametitle{Sphynx avancé}
\begin{itemize}
\item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
\item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
\item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
\item commande ipsec :
\begin{itemize}
\item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
\item ipsec status renvoie l'état des connexions,
%Security Association = lien sécurisé
%tunnel
\item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
\item ipsec up "Security Association" ou "tunnel" établit une connexion entre tous les tunnels associés ou monte un seul tunnel.
\end{itemize}
\end{itemize}
\end{frame}
%FIXME : équivalent de test_rvp ??? toujours