Internet des fabriques

De Les Fabriques du Ponant
Révision datée du 22 mars 2015 à 16:29 par Glucas (discussion | contributions) (En cas de panne)
Aller à : navigation, rechercher

Cette page regroupe toutes les infos au sujet de la connexion internet des Fabriques du Ponant

Personnes ressources

  • Coordinateur de la connexion vu avec la région Bretagne : Antony Auffret
  • Contacts techniques dans le cadre de la connexion actuelle via ARN : Benjamin Bernard et Guillaume Lucas
  • Contacts sécurité/abuse dans le cadre de la connexion actuelle via ARN : Benjamin Bernard et Guillaume Lucas

État actuel

Actuellement, l'accès à Internet passe par Alsace Réseau Neutre (ARN), FAI associatif alsacien. Pourquoi une association si lointaine ? Parce que Grifon, FAI associatif rennais n'est pas encore prêt pour fournir des accès et que Guillaume LUCAS, membre d'ARN, a été scandalisé par l'accès Internet filtré lors de son arrivée à la MDL et a décidé d'agir avec les moyens à sa disposition. Et aussi parce qu'il ne croit pas que la solution viendra de RENATER. :)

Comment ça marche ? Un VPN est établi entre le matériel d'ARN hébergé dans un datacenter et le PC situé à côté de la baie de brassage, dans l'atelier, au RDC des fabriques. Dans la suite de cette page, nous nommerons ce PC « machine VPN des fabriques ».

Un VPN, c'est une sorte de câble réseau virtuel qui relie les fabriques à ARN en passant par dessus l'accès Internet du lycée. Tout le trafic Internet des fabriques est redirigé dans ce câble réseau virtuel chiffré (le lycée ne voit donc pas ce que nous faisons), atterrit chez ARN qui va chercher le contenu demandé et le renvoie dans le câble. Le PC situé à côté de la baie de brassage est connecté au switch qui dispatche l'accès ARN dans nos salles du lycée, en filaire comme en WiFi.

Pourquoi ARN, il était pas bien l'accès Internet proposé par le lycée ? Non :) Tous les usages à part le web sont techniquement interdits sans raison. C'est inadmissible et pénalisant pour les fabriques : on ne peut pas envoyer de mails, on ne peut pas se connecter au serveur d'un adhérent qui veut de l'aide lors des soirées adminsys du vendredi soir, on ne peut pas proposer d'ateliers innovants, ...

En cas de panne

Dans tous les cas, merci de signaler toute panne à Benjamin BERNARD et/ou Guillaume LUCAS car si l'on n'est pas au courant des pannes, on ne peut pas empêcher qu'elles se reproduisent et rendre la configuration plus robuste.

Aucun accès n'est possible

  1. Faites les vérifications d'usages :
    • Le problème est constaté depuis plusieurs machines ;
    • La machine VPN des fabriques est-elle bien allumée ? Les deux câbles réseau sont-ils bien raccordés sur cette machine ?
    • Les switchs/la borne WiFI sont-ils bien reliés aux prises murales ?
    • Le switch dans la baie de brassage est-il bien allumé ? Y a-t-il beaucoup d'activité sur le réseau local (les LEDs des ports du switch clignotent à toute vitesse en permanence) ? Si oui, alors il y a une boucle sur le réseau, il faut la trouver...
  2. Voir avec Benjamin BERNARD et/ou Guillaume LUCAS. Arriver avec des éléments concrets :
    • Date et heure de début d'incident ;
    • Description du problème :
      • Votre machine obtient-elle une adresse IPv4 dans 192.168.21.0/24 (ifconfig / ip a s / clic droit sur votre network manager -> « informations de connexion » pour le savoir) ? La passerelle par défaut est bien 192.168.21.254 ?
      • Si oui, que donne ping -c 50 192.168.21.254 ?
      • Si le résultat est positif, que donne ping -c 5 www.mdl29.net ? Même chose pour traceroute www.mdl29.net. Même chose pour ping6 -c 5 www.mdl29.net ? Même chose pour traceroute6 www.mdl29.net
  3. Si les personnes mentionnées au point 2) sont indisponibles et que la réparation de l'accès est urgente (si la panne survient un jeudi matin, ça peut sûrement attendre vendredi soir, non ? En revanche, il est proportionné d'agir si la panne survient un lundi), vous pouvez tenter un hard reboot de la machine. Ce n'est pas sain, il faut donc éviter d'avoir recours à cette méthode !
  4. Si l'étape 3 ne fonctionne pas et que vous avez urgemment besoin d'un accès, vous pouvez contourner le VPN et utiliser le réseau filtré du lycée. Pour ce faire, il faut débrancher le câble réseau branché à la carte réseau la plus en bas de la tour de la machine VPN des fabriques et le brancher sur le switch, à la place du câble réseau qui part de la carte réseau la plus haute de la tour de la machine VPN des fabriques.
  5. Si l'étape précédente ne fonctionne pas, voir avec le lycée : le problème est de leur côté.


Il est possible de consulter des sites web mais l'affichage des pages est affreusement lent

Vérifier que le problème survient bien à partir de plusieurs machines.

L'accès ARN fournit des IPv4 et IPv6. Or, il se trouve que le prestataire technique d'ARN a une qualité instable sur la partie IPv6 de son réseau, ce qui amène des dysfonctionnements réguliers (annoncés comme définitivement résolus à la mi-mars 2015). Si le problème survient à nouveau, le plus simple est de demander à Benjamin BERNARD ou Guillaume LUCAS de se connecter à la machine VPN des fabriques et de balourder la commande : service radvd stop. Cette commande stoppe la diffusion du préfixe IPv6 dans le réseau local. Les machines utiliseront donc exclusivement IPv4 pour se connecter aux sites web. Cette commande prend du temps avant de devenir effective sur les machines.

Perspective à court terme

Les fabriques du Ponant Branchée sur RENATER :

  • nous disposerions de la connexion non-filtrée
  • nous aurions 8 ip fixe publiques et une DMZ

Concernant la charte de RENATER, voici ce que j’ai trouvé :

Cette ne charte ne limite pas l’activité commerciale, elle stipule qu’on doit faire une demande pour toute utilisation prolongée de bande passante volumineuse (ex : streaming vidéo continue). rien de bloquant pour nos activités à priori.

Comment ça va se passer

  • configuration d'un vlan fabrique qui est réalisé par une entreprise privée (estimée à 1000€).
  • La charte est celle de renater, elle est signée par le rectorat
  • La convention entre lycée/rectorat/fabrique est la pour préciser :
    • Le contact administratif,
    • le contact technique principal et
    • le suppléant et
    • le responsable sécurité à contacter en cas de problème.

En résumé pour l'architecture

  • Une prise qui arrive de RENATER en entrée du netasq.

En sortie du netasq :

  • 1 prise avec la dmz
  • 1 prise avec un routeur qui gère votre réseau privée interne.

Prévoir une machine qui assure le rôle de proxy/cache/filtrage url.