VirtualBox – Installation sur Debian

Dans un terminal :

sudo apt install virtualbox-5.2

Une fois l’installation terminé, il est probable que le lancement d’une VM ou de virtualbox lui même ne se fasse pas. Pour y remédier il faut :

sudo modprobe vboxdrv

sudo apt update

sudo apt install –reinstall linux-headers-$(uname -r)

sudo virtualbox-dkms dkms

Redémarrer et lancer:

sudo modprobe vboxdrv

Si le problème persiste, il faut désactiver le “Secure Boot” dans le BIOS.

Configuration des switchs et routeur CISCO

Switch 172.16.2.7

//nommer le Switch
hostname C1				
// mot de passe pour passer en mode « enable »
enable secret 5 $1$Tdmy$69IJtvsf6DdexNzD2K4590 
//identifiant et mot de passe de connexion au switch
username admin secret 5 $1$c8ph$qLMHhToxFUrzfnvh1fNis1 				
//identifiant de connexion serveur FTP        
ip ftp username switch
//mot de passe de connexion serveur FTP	
ip ftp password cisco   
//port configuré dans le vlan 40, pour les serveurs LAMP
interface FastEthernet0/1	
switchport mode access
switchportaccess vlan 40

// port trunké pour laisser passer tous les vlan car ce port est connecté au pc qui héberge le Pfsense ( tous les réseaux devant passer par le pare-feu pour aller sur la WAN)
interface FastEthernet0/2
switchport mode trunk
//port configuré pour laisser passer tous les vlans
switchporttrunkallowed vlan 10,20,30,40,50,60,70 

// port configuré dans le vlan 60, pour les 						       utilisateurs
interface FastEthernet0/3		
switchport mode access
switchportaccess vlan 60

// port configuré dans le vlan 10, pour le serveur AD, DNS et VPN
interface FastEthernet0/4		
switchport mode access
switchportaccess vlan 10

// port configuré dans le vlan 50, pour le WIFI
interface FastEthernet0/5		
switchport mode access
switchportaccess vlan 50

// port configuré dans le vlan 20, pour la ToIP
interface FastEthernet0/6		
switchport mode access
switchportaccess vlan 20

// port configuré dans vlan 70 (inter-routeur)
interface FastEthernet0/23		
switchport mode access
switchportaccess vlan 70

// port trunké connectée au routeur, pour l'inter-vlan
interface FastEthernet0/24		
switchport mode trunk
//port configuré pour laisser passer tous les vlans
switchport trunk allowed vlan 10,20,30,40,50,60,70 
// interface Vlan adressée afin de pouvoir y accéder en SSH depuis le lan
interface Vlan10 
ipaddress 172.16.2.7 255.255.255.0

// interface Vlan adressée afin de pouvoir y accéder en SSH depuis le WAN
interface Vlan70	
ip address 192.168.5.229 255.255.255.0		

Routeur 172.16.2.1

// nommer le routeur
hostname R1	
//identifiant de connexion serveur FTP		
ip ftp username router
//mot de passe de connexion serveur FTP		
ip ftp password cisco
//créer un identifiant et mot de passe de connexion du routeur
username admin password 0 cisco		
//interface physique du routeur où sont configurées 	toutes les sous-interfaces virtuelles des différents vlans
interface FastEthernet0/0	
// configuration de l'interface virtuelle du vlan 10
interface FastEthernet0/0.10
// Protocol utilisé pour étiqueter une trame contenant un numéro de vlan
encapsulation dot1Q 10	
//ip adresse réseau DATA - passerelle
ip address 172.16.2.1 255.255.255.0
		
//ip adresse réseau DATA - passerelle
interface FastEthernet0/0.20		
encapsulation dot1Q 20
ip address 172.20.2.1 255.255.255.0

//ip adresse réseau DATA - passerelle
interface FastEthernet0/0.30		
encapsulation dot1Q 30
ip address 172.18.0.1 255.255.255.248	

//ip adresse réseau DATA - passerelle
interface FastEthernet0/0.50
encapsulation dot1Q 50
ip address 172.19.0.129 255.255.255.128

//ip adresse réseau DATA - passerelle
interface FastEthernet0/0.60
encapsulation dot1Q 60
ip address 172.19.0.1 255.255.255.128

// passerelle par défaut qui permet au LAN de sortir vers WAN
ip default-gateway 172.18.0.2	
//indique la route à emprunter pour aller vers tous les réseaux distants via la passerelle par défaut, qui n'est autre que l'interface de 	connexion du pare-feu vers le LAN.
ip route 0.0.0.0 0.0.0.0 172.18.0.2

PfSense – Installation et configuration

Définition

Le firewall pfSense: est un OS transformant n’importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise.

Il offre la possibilité de déployer une multitude de services tels que

– Gestion complète par interface web

– Pare-feu stateful avec gestion du NAT, NAT-T

– Gestion de multiples WAN

– DHCP server et relay

– Failover (possibilité de monter un cluster de pfsense)

– Load balancing

– VPN Ipsec, OpenVPN, L2TP

– Portail captif

Installation :

Aller sur le site https://www.pfsense.org/download/ et telecharger l’iso.

L’installer avec Hyper-V

Aller dans paramètres hyper-v et ajouter deux cartes réseaux (3 au total)  pour les différentes interfaces (WAN,LAN,DMZ).

Configuration :

Lors du premier démarrage de Pfsense,nous avons configuré les différentes interfaces (WAN, LAN, DMZ, etc.), il faut donc bien repérer les différentes cartes réseaux afin de ne pas vous tromper dans notre configuration auquel cas nous n’aurons pas accès à l’interface web et notre pare-feu ne fonctionnera pas.

Pfsense nous affiche nos différentes cartes réseaux avec leur adresse MAC, ce qui nous permettra de les différencier.

Une fois PfSense lancé, procéder à sa configuration comme ci-dessous :

Configuration des interfaces pfsense

  • em0 → WAN
  • em1→ LAN
  • em2→ DMZ

Attribution des adresses IP aux différentes interfaces

  • WAN → 192.168.5.228/24
  • LAN→ 172.18.0.1/29
  • DMZ→ 172.17.2.1/28

Accéder l’interface web à partir du réseau LAN. Se connecter avec les identifiants par défauts :

Login : admin

password : pfsense

Changer le mot de passe une fois connecté.

Onglet routage ( voir modif)

Onglet pare feu : NAT

s’assurer que le mode automatique est actif

Onglet pare feu : Règles (voir modif)

Pour la sauvegarde/restauration de configuration aller dans l’onglet

Diagnostics=> Sauvegarde&restauration

Un fichier au format XML sera généré. Il servira à restaurer la config au cas de crash.

Pour mettre à jour pfsense :

Système>mise à jour>

Si une mise à jour est disponible un bouton s’affiche.

Pour modifier le clavier en AZERTY

il faut installer le paquet  

Système> Gestionnaire de paquets > Paquets disponibles

Chercher et installer le paquet : Shellcmd

Une fois installé, aller dans :

Service > shellcmd

puis saisir comme ci-dessous :

Ca prendra effet au prochain démarrage

Exemple de règles :

Référence :

https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html

https://www.it-connect.fr/installation-de-pfsense%EF%BB%BF/

CISCO – VRRP -GNS3

Le principe de fonctionnement est identique au HSRP. Cependant le VRRP n’est pas propriétaire contrairement au HSRP (cisco)

Le VRRP apporte une continuité de service, en créant une grappe de passerelle. Ainsi, si un routeur tombe, immédiatement le second prendra le relais de passerelle et offrir une continuité de service. On parle alors de haute disponibilité.

exemple :

Explication : pc-1 a configuré comme passerelle la passerelle virtuelle 192.168.1.3. Pour atteindre les deux FAI il peut passer soit par R1 ou R2. Etant donnée la priorité inférieure a 100 pour R1 alors R2 est master. Si l’un des deux tombe en panne l’autre reprendra le relais.

exemple :

Configuration :

R1 :

!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
vrrp 10 ip 192.168.1.3

vrrp 10 priority 99
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.252
duplex auto
speed auto
!

R1#show vrrp
FastEthernet0/0 – Group 10
State is Master
Virtual IP address is 192.168.1.3
Virtual MAC address is 0000.5e00.010a
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 99
Master Router is 192.168.1.2 (local), priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec

R2 :

interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
vrrp 10 ip 192.168.1.3
!
interface FastEthernet0/1
ip address 11.0.0.1 255.255.255.252
duplex auto
speed auto
!

R2#sh vrrp
FastEthernet0/0 – Group 10
State is Master
Virtual IP address is 192.168.1.3
Virtual MAC address is 0000.5e00.010a
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 100
Master Router is 192.168.1.1 (local), priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec

références:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/xe-3se/3850/fhp-xe-3se-3850-book/fhp-vrrp.pdf

https://www.supinfo.com/articles/single/955-faire-clustering-avec-hsrp-vrrp-glbp-iost

VRRP

Squid – Surveillance avec Zabbix

Il est possible de surveiller et mettre en place des alertes à l’aide de Zabbix. A travers le protocole SNMP.

Telecharger le  modele squid :

https://share.zabbix.com/component/mtree/cat-app/squid-proxy-snmp

Décompresser le fichier

Aller dans l’interface web de zabbix et importer ce modèle :

Configuration > modeles > importer

Chercher le fichier .XML puis l’importer

Ajouter ces lignes au fichier de configuration de squid

vi /etc/squid/squid.conf
snmp_port 3401
acl zabbix snmp_community zabbix
snmp_access allow zabbix all

NB  : Cette configuration n’est pas sécurisée et permet à tout hôte d’accéder à Squid SNMP.  Une ACL plus restrictive que ALL doit être appliquée.

snmp_port 3401
acl zabbix snmp_community zabbixacl Adminhost src 172.16.2.4snmp_access allow zabbix Adminhost all

Créer 2 macros dans zabbix :

{$SQUID_SNMP_COMMUNITY} > zabbix

{$SQUID_SNMP_PORT} > 3401

SNMP community correspond au mot défini dans le fichier de squid.conf

Configuration d’un hôte :

modèle :  ajouter le modèle importé précédemment

Résultat attendu :

référence :

http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Chapter+14.+Monitoring+Squid/14.3+Using+SNMP/

Xmodem & CISCO

Cette procédure sert à restaurer le système IOS de CISCO si celui-ci est défaillant ou absent d’un équipement tel que switch ou routeur.

Pour réparer, il faut utiliser XMODEM et EXTRA-putty. Disposer d’une image en .bin de l’ios cisco.

1/ Préparer le switch à recevoir l’IOS

2/ Envoyer l’image .bin

3/ Patientez quelques heures (2 à 3 heures)

4/ Si tout se déroule correctement :

5/ La commande : show version donne :

TFTP & CISCO

Mise en place d’un service TFTP afin de réaliser les sauvegardes de switch et routeur cisco

Linux : installation et configuration

apt install tftpd

mkdir /srv/tftp

chmod -R 777 /srv/tftp

chown -R nobody /srv/tftp

touch /srv/tftp/cisco.backup

chmod -R 777 /srv/tftp

chown -R nobody /srv/tftp

CISCO : Sauvegarde de configuration

CE_2#copy running-config tftp:
Address or name of remote host []? 64.104.207.171
Destination filename [ce_2-confg]? cisco.backup


CISCO : Restauration de configuration

Router#copy tftp: running-config

Address or name of remote host []? 64.104.207.171
Source filename []? backup_cfg_for_my_router
Destination filename [running-config]?
Accessing tftp://10.66.64.10/backup_cfg_for_my_router…
Loading backup_cfg_for_router from 64.104.207.171 (via FastEthernet0/0): !
[OK – 1030 bytes]

CISCO : restauration du bootloader

copy tftp://192.168.3.47/c3560-ipservicesk9-mz.150-1.SE.bin flash:

Zabbix – Ajouter pfsense comme hôte

Pour l’ajout de pfsense dans la supervision zabbix, il faut accéder à l’interface web d’administration et installer le paquet zabbix.

Système > Gestionnaire de paquets > Paquets disponibles

chercher et installer le paquet compatible avec le serveur /

dans mon cas, j’ai installé celui-ci :Zabbix Agent 4.0

Ensuite, aller dans l’onglet service > Zabbix Agent 4.0

Remplir comme ci-dessous, pour atteindre le serveur zabbix et cocher “Enable zabbix…”

Ensuite aller sur zabbix :

Configuration > Hôtes > créer un hôte

puis, ajouter un hôte comme vu précédemment ici : tuto ajout hôte zabbix
Mettre le Template OS FreeBSD (Template App Zabbix Agent)

Zabbix – Ajouter un switch CISCO (SNMP)

Pour qu’un switch cisco soit supervisé par zabbix il faut le configurer pour avoir le mode SNMP.

Se connecter sur le switch, puis :

enable

conf t

Configurer la communauté :

snmp-server community switchdot1x RO

snmp-server enable traps snmp  

snmp-server enable traps config-copy

snmp-server enable traps syslog

snmp-server host 172.16.2.4 switchdot1x

exit

wr

Aller sur l’interface zabbix puis configurer un hôte pour le switch avec les éléments suivants :

Zabbix – Ajouter routeur CISCO (SNMP)

Se connecter sur le routeur, puis :

enable

conf t

Configurer la communauté :

snmp-server community router RO

snmp-server enable traps snmp  

snmp-server enable traps config-copy

snmp-server enable traps syslog

snmp-server host 172.16.2.4 router

exit

wr

Aller sur l’interface zabbix puis configurer un hôte pour le router avec les éléments suivants :

Résultat attendu :

références :