Mise en place d'une passerelle filtrante réseau IPv4 et IPv6 sous OpenBSD

Mise en place d'une passerelle filtrante réseau IPv4 et IPv6 sous OpenBSD

Cette page est une compilation de nombreuses pages présentes sur ce site.

OpenBSD et l'IPv6

OpenBSD contient tout ce qu'il faut pour opérer en IPv6, sans modification et sans ajout de paquets . La seule exception est le démon http inclus dans la distribution (4.6 à l'écriture de cet article) , qui lui ne gère qu'IPv4.

Il faut savoir que l'installation par défaut d'un OpenBSD apporte un très grand nombre de possibilités réseau, notamment :

Des interfaces réseau de tous types (physiques, de redondance avec CARP, VLAN, tunnels), toutes compatibles IPv6
Un firewall (Packet Filter : niveau 2 à 4) compatible IPv6, incluant des possibilités de routage conditionnels
Un loadBalancer compatible IPv6 (relayd)
De nombreux démons de routage (RIP, RIPng, OSPF, OSPFv3, …)
Un démon de configuration stateless en ipv6 (Router Advertisement daemon : rtadvd).
La possibilité de faire du NAT en IPv6.

Très peu de limites s'opposent donc à l'utilisation d'un routeur OpenBSD pour la gestion de l'IPv6. Ce qui le démarque très largement beaucoup d'autres systèmes d'exploitation (y compris linux) ou les possibilités trouvent souvent assez vite leurs limite.

Pages relatives

Aggrégation de liens LACP avec OpenBSD

Configuration Ipv6 avec Cisco 877 et Nerim

Configuration réseau IPv4 / IPv6 avec OpenBSD

IPv6 , pourquoi ?

Installation de VMWare Workstation

Mise en place d'une passerelle filtrante réseau IPv4 et IPv6 sous OpenBSD

OpenBSD et l'IPv6

Packet Filter : Le firewall OpenBSD

Routage conditionnel avec OpenBSD

Routage inter-vlan avec OpenBSD

Routeur ipv4 et ipv6 sous linux

Configuration réseau IPv4 / IPv6 avec OpenBSD

Les interfaces réseau

Interfaces physiques

Le nom des interfaces réseau sont déterminées par le driver gérant les cartes réseau :

em pour les cartes réseau Intel
rl pour les cartes réseau Realtek
xl pour les cartes réseau 3com

Interfaces virtuelles

Les interfaces virtuelles sont multiples :

lo pour l'interface loopback
gif pour les tunnels ipv6
tun pour les tunnels vpn
trunk pour les agrégations LACP
vlan pour les interfaces VLAN
pflog pour les logs du firewall
…

Les commandes système

La configuration en ligne de commande s'effectue avec la commande ifconfig, cette dernière est bien complète que sur un système linux.

Créer ou détruire une interface (create, destroy)

ifconfig gif0 create
ifconfig gif0 destroy

Activer ou désactiver une interface (up , down)

ifconfig em0 up
ifconfig em0 down

Attribuer une adresse ip (v4 ou v6)

ifconfig em0 inet 172.18.1.1/24
ifconfig em0 inet6 2001:abcd:1234::1 prefixlen 64

Supprimer une adresse ip

ifconfig em0 inet delete 172.18.1.1
ifconfig em0 inet6 delete 2001:abcd:1234::1

Gérer des alias d'adresses ip (v4 ou v6)

ifconfig em0 inet alias 172.18.1.2/32
ifconfig em0 inet6 alias 2001:abcd:1234::2 prefixlen 128

Les fichiers de configuration

Les fichiers de configuration se trouvent sous /etc, sous forme d'un fichier par interface (physique ou virtuelle).

Chaque interface possède un fichier nommé /etc/hostname.<interface>

/etc/hostname.em0

up
inet 172.18.1.1 255.255.255.0 172.18.1.255
inet6 2001:abcd:1234:1000::1 64

Passerelle par défaut

Le fichier de configuration s'appelle /etc/mygate , il contient les adresses IP (v4 et/ou v6) de la passerelle par defaut :

/etc/mygate

172.18.1.250
2001:abcd:1234:1000::10

Redémarrer le réseau

Le démarrage ou redémarrage du réseau se fait à l'aide du script /etc/netstart. Pour appliquer vos modifications , tapez ceci :

sh /etc/netstart

Activer le routage

L'activation/Désactivation du routage se fait à l'aide de la commande sysctl :

sysctl net.inet.ip.forwarding=1
sysctl net.inet6.ip6.forwarding=1

Pour l'activer au démarrage , il faut modifier le fichier /etc/sysctl.conf

/etc/sysctl.conf

net.inet.ip.forwarding=1        # 1=Permit forwarding (routing) of IPv4 packets
net.inet6.ip6.forwarding=1      # 1=Permit forwarding (routing) of IPv6 packets

Pages relatives

Aggrégation de liens LACP avec OpenBSD

Configuration réseau IPv4 / IPv6 avec OpenBSD

OpenBSD et l'IPv6

Packet Filter : Le firewall OpenBSD

Routage conditionnel avec OpenBSD

Routage inter-vlan avec OpenBSD

Routage inter-vlan avec OpenBSD

Pré-requis

Avoir configuré le réseau sur OpenBSD , et surtout activé le routage entre les interfaces
Posséder un switch au minimum manageable de niveau 2 gérant le protocole IEEE802.1Q (VLANs de niveau 2)

Rappel

Pour activer le routage entre les interfaces réseau sous OpenBSD , les lignes de commandes suivantes s'appliquent :

sysctl net.inet.ip.forwarding=1
sysctl net.inet6.ip6.forwarding=1

Nous admettrons que notre interface réseau est 'em0' et qu'elle accède nativement au vlan 1

/etc/hostname.em0

up
inet 172.18.1.1 255.255.255.0 172.18.1.255
inet6 2001:abcd:1234:1::1 64

Configurer une interface VLAN

Nous souhaitons que l'interface em0 puisse tagger des trames pour le VLAN 10.

En ligne de commande

cette configuration se fait à l'aide de la commande ifconfig :

ifconfig vlan10 create
ifconfig vlan10 vlan 10 vlandev em0
ifconfig vlan10 inet 172.18.10.1 netmask 255.255.255.0
ifconfig vlan10 inet6 2001:abcd:1234:10::1 prefixlen 64
ifconfig vlan10 up

Le fichier de configuration

le fichier de configuration se nomme /etc/hostname.vlan10

/etc/hostname.vlan10

up
inet 172.18.10.1 255.255.255.0 172.18.10.255 vlandev em0 description "VLAN 10"
inet6 2001:abcd:1234:10::1 64

Pour prendre en compte la configuration, il faut redémarrer le réseau

sh /etc/netstart

Fin

Une fois cette configuration faite, et les routes par défaut placées sur vos machines vous devez être en mesure de router des trames entre vos différents vlans.

Pages relatives