Nicolas Giraud

Portfolio BTS sio Sisr

Nicolas Giraud

Mois : février 2019 Page 1 of 4

OpenVPN sous Debian

Présentation

Un VPN est un tunnel entre deux réseaux privé, il permet à des gens de travailler de chez eux dans les mêmes conditions qu’au travail.

Lire la suite

HSRP

Présentation

HSRP est un protocole propriétaire de Cisco qui permet la redondance de router.
Les routeurs partage une adresse IP virtuelle qui sera utilisée comme passerelle Pour cela, chacun des routeurs configurera son protocole HSRP avec un niveau de priorité. Celui qui à la plus grande priorité est élu maître.
Les autres seront inactives en attendant la panne du routeur maître. La communication liée au protocole HSRP entre les routeurs se fait par l’envoi de paquets Multicast à l’adresse IP 224.0.0.2 vers le port UDP 1985

Lire la suite

Cluster Pfsense (Fail-over)

Présentation :


Pfsense communique sur les réseaux LAN & WAN avec ses adresses IP virtuelles ; il n’utilise jamais l’adresse IP assignée à son interface.
En cas de défaillance du Pfsense primaire , le Pfsense secondaire prend le relais sans aucune interruption de service. La bascule du primaire vers le secondaire  est totalement transparente.

Pré-requis

Nous avons besoin deux machines virtuelles avec 4 cartes réseaux. :
– Carte réseau 1 : WAN
– Carte réseau 2 : LAN
– Carte réseau 3 : DMZ
– Carte réseau 4 : PFsync et XML-RPC
Pour ce faire nous allons utiliser différents protocoles qui sont :
CARP va permettre aux différents Pfsense de partager la même adresse.  
PFsync va permettre de synchroniser nos deux serveurs Pfsenses  afin qu’en cas de panne sur le primaire , les connexions en cours sont maintenue sur le Pfsense secondaire.
XML-RPC permet la réplications des données du Pfsense primaire au secondaire.

Configuration de l’adresse Virtuelle

Configuration IP virtuelle  LAN.

Nous allons dans le menu Firewall > Virtual IPs > Add

  • 1 : Le protocole utilisé est CARP
  • 2 : L’interface qui utilisera l’adresse Virtuelle
  • 3 : L’adresse IP Virtuelle
  • 4: Mots de passe partager entre les membres du groupe
  • 5 : Groupe qui partage l’adresse IP Virtuelle
  • 6 : Priorité du Pfsense sur l’adresse Virtuelle
  • 7 : Description optionnel

Configuration de l’interface WAN

Configuration de l’interface DMZ

Configuration du Pfsense secondaire :
Nous effectuons  la même configuration sur le Pfsense secondaire , en changeant juste la priorité (Skew) à 100.

Vérification des IP Virtuelle
Nous allons dans le menu Status >CARP(failover) sur notre Pfsense Secondaire.

Configuration de Pfsync et XML-RPC

Nous allons créer une règle autorisant tous sur l’interface CARP (cette interface n’étant par router elle ne permet juste de communiquer entre les deux Pfsense) afin de permettre l’échange et la réplication.

Ensuite nous allons dans le menu high Avail. Sync :

  1. On coche la case dans  Synchronize States pour activer Pfsync
  2. On indique l’interface qui va permettre l’échange dans  Synchronize Interface (Pour nous c’est L’interface 4 nommé CARP)
  3. on indique l’adresse IP du serveur Pfsense secondaire dans pfsync Synchronize Peer IP
  1. On renseigne l’adresse IP du serveur secondaire  (comme dans pfsync Synchronize Peer IP)
  2. On saisit l’identifiant du Pfsense secondaire
  3. On saisit le mot de passe du Pfsense secondaire

Et nous sélectionnons ce que l’on souhaite répliquer.

TEST

Nous allons faire un test simple, nous lançons un Ping infini vers l’IP du serveur DNS de Google. on éteint le Pfsense 1 , le Ping ne fonctionne plus jusqu’a ce que le Pfsense 2 reprend la main

On va le confirmer avec la commande tracert 8.8.8.8 qui nous permet de connaitre tous les routeurs qu’on traverse vers notre destination à savoir le 8.8.8.8.

Nous voyons bien qu’on passe par le 172.18.3.5 à savoir notre pfSense 1.

Nous allons maintenant éteindre le pfSense 1 et regarder si le second prend bien le relais.

Nous voyons qu’on passe par le 172.18.3.2 à savoir notre pfSense 2 !

Tous nos tests sont concluant!

Problèmes rencontrés & solution

Problème 1
Nous somme sur Hyper-V, nous devons activer le spoffing d’adresse mac sur les VM. Nos deux Pfsense vont partager la même adresse IP virtuel, hors nos client ont enregistré dans leur table ARP l’adresse mac du Pfsense 1.
Nous l’activons en ligne de commande.

Puis on doit activer l’option dans hyper-v -> paramètre de la machine virtuelle – > carte réseau

Problème 2
Nous allons maintenant devoir activer le mode promiscuité (qui permet d’accepter tous les paquets que reçoit la machine virtuelle même si ceux-ci ne lui sont pas adressés) Nous allons donc l’activer en ligne de commande powershell :

# None = 0, Destination = 1, Source = 2
$portFeature.SettingData.MonitorMode = 2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName Contrôleur Realtek PCIe GBE Family - Virtual Switch-VMSwitchExtensionFeature $portFeature

Puis nous allons dans les paramètres de la machine virtuelle sur hyper-V et on active la mise en miroir de port en Destination sur nos deux VM.

Page 1 of 4

Fièrement propulsé par WordPress & Thème par Anders Norén