Archives des Sécurité - CoffeeBreak Info

MODOP – Mise en place d’une infrastructure IPFS décentralisée et hautement disponible sur réseau public – Partie 1

chris — Sat, 26 Jul 2025 10:41:32 +0000

1. Inventaire du Cluster

Hostname

Node-ipfsl : IP = 192.168.1.70 (leader)
Node-ipfsp1 : IP = 192.168.1.71 (peer n°1)
Node-ipfsp2 : IP = 192.168.1.72 (peer n°2)

HDD

Disque SCSI0 : Système
Disque SCSI1 & SCSI2 : RAID1

2. Installation des prérequis (3 nœuds)

Update machine

[root@node-ipfsx ~]# dnf -y update

Desactiver SELinux

[root@node-ipfsx ~]# setenforce 0
[root@node-ipfsx ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
[root@node-ipfsx ~]# getenforce
Permissive

Paramétrage ntp

[root@node-ipfsx ~]# timedatectl set-timezone Europe/Paris
[root@node-ipfsx ~]# timedatectl

Installation paquets utils

[root@node-ipfsx ~]# dnf install epel-release net-tools nmap wget tar -y

3. Configuration RAID1 (3 nœuds)

Inventaire des disques

[root@node-ipfsx ~]# lsblk

Installation du paquet RAID Logiciel

[root@node-ipfsx ~]# yum -y install mdadm

Chargement des modules RAID

[root@node-ipfsx ~]# modprobe linear
[root@node-ipfsx ~]# modprobe raid1
[root@node-ipfsx ~]# cat /proc/mdstat

Chargement des modules RAID (On Boot)

[root@node-ipfsx ~]# echo "modprobe linear" >> /etc/rc.local
[root@node-ipfsx ~]# echo "modprobe raid1" >> /etc/rc.local
[root@node-ipfsx ~]# chmod +x /etc/rc.local

Examen des volumes disques

[root@node-ipfsx ~]# mdadm -E /dev/sd[b-c]
mdadm: No md superblock detected on /dev/sdb.
mdadm: No md superblock detected on /dev/sdc.

Partitionnement des disques en mode RAID

Disque /dev/sdb

[root@node-ipfsx ~]# parted -s /dev/sdb mklabel msdos
[root@node-ipfsx ~]# parted -s /dev/sdb mkpart primary 1MiB 100%
[root@node-ipfsx ~]# parted -s /dev/sdb set 1 raid on

Disque /dev/sdc

[root@node-ipfsx ~]# parted -s /dev/sdc mklabel msdos
[root@node-ipfsx ~]# parted -s /dev/sdc mkpart primary 1MiB 100%
[root@node-ipfsx ~]# parted -s /dev/sdc set 1 raid on

[root@node-ipfsx ~]# fdisk -l /dev/sd[b-c] |grep RAID

Création du RAID 1

Inventaire des deux disques

[root@node-ipfsx ~]# mdadm -E /dev/sd[b-c]

Création RAID

[root@node-ipfsx ~]# mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1

[root@node-ipfsx ~]# watch -n1 cat /proc/mdstat

Inventaire des disques RAID

[root@node-ipfsx ~]# lsblk

4. Préparation du Volume RAID (3 machines)

Formatage sur disque Raid1

[root@node-ipfsx ~]# mkfs.ext4 /dev/md0

Création du Volume IPFS

[root@node-ipfsx ~]# mkdir -p /mnt/ipfs-data

Montage du Volume IPFS

[root@node-ipfsx ~]# echo "/dev/md0 /mnt/ipfs-data ext4 defaults 0 2" >> /etc/fstab
[root@node-ipfsx ~]# systemctl daemon-reload
[root@node-ipfsx ~]# mount -a

[root@node-ipfsx ~]# df -h |grep ipfs

5. Installer et configure GO (3 machines)

[root@node-ipfsx ~]# cd /home
[root@node-ipfsx home]# wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz
[root@node-ipfsx home]# tar -xvf go1.24.4.linux-amd64.tar.gz
[root@node-ipfsx home]# mv go /usr/local

[root@node-ipfsx home]# mkdir $HOME/gopath
[root@node-ipfsx home]# vi $HOME/.bashrc
#export PATH
export GOROOT=/usr/local/go
export GOPATH=$HOME/gopath
export PATH=$PATH:$GOROOT/bin:$GOPATH/bin

[root@node-ipfsx home]# source ~/.bashrc
[root@node-ipfsx home]# go version

6. Règles firewall peer client (3 machines)

4001 TCP Connexions entrantes (swarm IPFS)
5001 TCP (optionnel) API IPFS (utile pour le contrôle à distance)
8080 TCP (optionnel) Passerelle HTTP (consultation via navigateur)
9094 TCP IPFS Cluster
9096 TCP Communications internes entre pairs du cluster

[root@node-ipfsx ~]# firewall-cmd --add-port={4001,5001,9094,9095,9096}/tcp --permanent
[root@node-ipfsx ~]# firewall-cmd --add-port=4001/udp --permanent
[root@node-ipfsx ~]# firewall-cmd --remove-service={cockpit,dhcpv6-client} --permanent
[root@node-ipfsx ~]# firewall-cmd --reload

[root@node-ipfsx ~]# firewall-cmd --list-all

7. Installation Kubo (go-ipfs) – IPFS (3 machines)

https://dist.ipfs.tech/kubo/v0.35.0/

[root@node-ipfsx ~]# cd /home
[root@node-ipfsx home]# wget https://dist.ipfs.tech/kubo/v0.35.0/kubo_v0.35.0_linux-amd64.tar.gz
[root@node-ipfsx home]# tar -xzvf kubo_v0.35.0_linux-amd64.tar.gz kubo/

[root@node-ipfsx home]# cd kubo && bash install.sh && cd ..
[root@node-ipfsx home]# ipfs --version
ipfs version 0.35.0

8. Installation Cluster IPFS (3 machines)

Installation paquet Cluster service

[root@node-ipfsx home]# cd /home && wget https://dist.ipfs.tech/ipfs-cluster-service/v1.1.4/ipfs-cluster-service_v1.1.4_linux-amd64.tar.gz
[root@node-ipfsx home]# tar -xzvf ipfs-cluster-service_v1.1.4_linux-amd64.tar.gz ipfs-cluster-service/

[root@node-ipfsx home]# mv ipfs-cluster-service/ipfs-cluster-service /usr/local/bin/
[root@node-ipfsx home]# ipfs-cluster-service --version
ipfs-cluster-service version 1.1.4

Installation paquet Cluster ctl

[root@node-ipfsx home]# cd /home && wget https://dist.ipfs.tech/ipfs-cluster-ctl/v1.1.4/ipfs-cluster-ctl_v1.1.4_linux-amd64.tar.gz
[root@node-ipfsx home]# tar -xzvf ipfs-cluster-ctl_v1.1.4_linux-amd64.tar.gz ipfs-cluster-ctl/

[root@node-ipfsx home]# mv ipfs-cluster-ctl/ipfs-cluster-ctl /usr/local/bin/
[root@node-ipfsx home]# ipfs-cluster-ctl --version
ipfs-cluster-ctl version 1.1.4

9. Initialisation et Service IPFS (go-ipfs) (3 machines)

Définition variable IPFS fichier configuration

[root@node-ipfsx home]# export IPFS_PATH=/mnt/ipfs-data/ipfs
[root@node-ipfsx home]# vi $HOME/.bashrc

[root@node-ipfsx home]# source $HOME/.bashrc
[root@node-ipfsx home]# echo $IPFS_PATH
/mnt/ipfs-data/ipfs

10. Initialisation ipfs des 3 machines

Initialisation & réglages Système Node-ipfsl (leader)

Initialisation ipfs

[root@node-ipfsl home]# ipfs init
generating ED25519 keypair...done
peer identity: 12D3KooWCWwgEQx51YWB54Fn82JVQJ1SNm52sTHmNtQQAvMr6yza
initializing IPFS node at /mnt/ipfs-data/ipfs

Réglage système

[root@node-ipfsl home]# ipfs config --json Datastore.StorageMax '"40GB"'
[root@node-ipfsl home]# ipfs config Addresses.API /ip4/0.0.0.0/tcp/5001
[root@node-ipfsl home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["*"]'
[root@node-ipfsl home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Methods '["PUT", "POST"]'
[root@node-ipfsl home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["http://192.168.1.70:5001", "http://localhost:3000", "http://127.0.0.1:5001", "https://node-ipfsl.house.cp"]'

Initialisation Node-ipfsp1& réglages Système (peer n°1)

Initialisation ipfs

[root@node-ipfsp1 home]# ipfs init
generating ED25519 keypair...done
peer identity: 12D3KooWJb4HwVbXFuxZSeFAUjocurt7gPw14G6CsZRwTpVgMNdP
initializing IPFS node at /mnt/ipfs-data/ipfs

Réglage système

[root@node-ipfsp1 home]# ipfs config --json Datastore.StorageMax '"40GB"'
[root@node-ipfsp1 home]# ipfs config Addresses.API /ip4/0.0.0.0/tcp/5001
[root@node-ipfsp1 home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["*"]'
[root@node-ipfsp1 home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Methods '["PUT", "POST"]'
[root@node-ipfsl home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["http://192.168.1.71:5001", "http://localhost:3000", "http://127.0.0.1:5001", "https://node-ipfsp1.house.cp"]'

Initialisation Node-ipfsp1 & réglages Système (peer n°2)

Initialisation ipfs

[root@node-ipfsp2 home]# ipfs init
generating ED25519 keypair...done
peer identity: 12D3KooWQ4VuBLMjVvmW4F4fhKxbArFG4Y9SQ3coVBo1PL29qrJx
initializing IPFS node at /mnt/ipfs-data/ipfs

Réglage système

[root@node-ipfsp2 home]# ipfs config --json Datastore.StorageMax '"40GB"'
[root@node-ipfsp2 home]# ipfs config Addresses.API /ip4/0.0.0.0/tcp/5001
[root@node-ipfsp2 home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["*"]'
[root@node-ipfsp2 home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Methods '["PUT", "POST"]'
[root@node-ipfs2 home]# ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '["http://192.168.1.72:5001", "http://localhost:3000", "http://127.0.0.1:5001", "https://node-ipfsp2.house.cp"]'

11. Configuration Service daemon ipfs (3 machines)

Création du service

[root@node-ipfsx home]# vi /etc/systemd/system/ipfs-peer.service

[Unit]
Description=IPFS Node (Pair – stockage RAID1)
After=network.target

[Service]
User=root
Environment="IPFS_PATH=/mnt/ipfs-data/ipfs"
ExecStart=/usr/local/bin/ipfs daemon
Restart=on-failure
LimitNOFILE=10240

[Install]
WantedBy=multi-user.target

Démarrage du service

[root@node-ipfsx home]# systemctl daemon-reexec
[root@node-ipfsx home]# systemctl daemon-reload
[root@node-ipfsx home]# systemctl enable ipfs-peer
Created symlink /etc/systemd/system/multi-user.target.wants/ipfs-peer.service → /etc/systemd/system/ipfs-peer.service.
[root@node-ipfsx home]# systemctl start ipfs-peer

Check du service Node-ipfsl (leader)

[root@node-ipfsl home]# systemctl status ipfs-peer

Check du service Node-ipfsp1 (peer n°1)

[root@node-ipfsp1 home]# systemctl status ipfs-peer

Check du service Node-ipfsp2 (peer n°2)

[root@node-ipfsp2 home]# systemctl status ipfs-peer

12. Initialisation et Service Cluster IPFS (3 machines)

Définition variable IPFS fichier configuration Cluster

[root@node-ipfsx home]# export IPFS_CLUSTER_PATH=/mnt/ipfs-data/ipfs-cluster
[root@node-ipfsx home]# vi $HOME/.bashrc

[root@node-ipfsx home]# source $HOME/.bashrc
[root@node-ipfsx home]# echo $IPFS_CLUSTER_PATH
/mnt/ipfs-data/ipfs-cluster

Initialisation cluster

[root@node-ipfsx home]# ipfs-cluster-service init
2025-07-12T13:25:21.695+0200 INFO config config/config.go:482 Saving configuration
configuration written to /mnt/ipfs-data/ipfs-cluster/service.json.
2025-07-12T13:25:21.697+0200 INFO config config/identity.go:73 Saving identity
new identity written to /mnt/ipfs-data/ipfs-cluster/identity.json
new empty peerstore written to /mnt/ipfs-data/ipfs-cluster/peerstore.

Node-ipfsl (leader)

Récupération la clef secrète du leader

[root@node-ipfsl home]# cat /mnt/ipfs-data/ipfs-cluster/service.json |grep -i secret
 "secret": "9dc28eb1c943ec508cc9f5a8b4c4726a5398be979c62521dd93252d62cb72196",

Injection de la clef secrète dans les peers client

Node-ipfsp1 (peer n°1)

[root@node-ipfsp1 home]# vi /mnt/ipfs-data/ipfs-cluster/service.json

Node-ipfsp2 (peer n°2)

[root@node-ipfsp2 home]# vi /mnt/ipfs-data/ipfs-cluster/service.json

Création des services Leader et peers

Service Node-ipfsl (leader)

[root@node-ipfsl home]# vi /etc/systemd/system/ipfs-cluster.service

[Unit]
Description=IPFS Cluster Service (RAID1)
After=network.target

[Service]
User=root
Group=root
Environment=IPFS_CLUSTER_PATH=/mnt/ipfs-data/ipfs-cluster
ExecStart=/usr/local/bin/ipfs-cluster-service daemon
WorkingDirectory=/mnt/ipfs-data/ipfs-cluster
Restart=always
RestartSec=10
LimitNOFILE=10240

[Install]
WantedBy=multi-user.target

Démarrage du service Cluster – leader

[root@node-ipfsl home]# systemctl daemon-reexec
[root@node-ipfsl home]# systemctl daemon-reload
[root@node-ipfsl home]# systemctl enable ipfs-cluster.service
Created symlink /etc/systemd/system/multi-user.target.wants/ipfs-cluster.service → /etc/systemd/system/ipfs-cluster.service.

.[root@node-ipfsl home]# systemctl start ipfs-cluster.service

[root@node-ipfsl home]# systemctl status ipfs-cluster.service

Récupération ID leader

[root@node-ipfsl home]# ipfs-cluster-ctl id |head -8
12D3KooWALCus4V2sFQmK8ZtLeSsBvxsE9GeUpdv4jJvwC3qPpAD | node-ipfsl | Sees 0 other peers
> Addresses:
- /ip4/127.0.0.1/tcp/9096/p2p/12D3KooWALCus4V2sFQmK8ZtLeSsBvxsE9GeUpdv4jJvwC3qPpAD
- /ip4/192.168.1.70/tcp/9096/p2p/12D3KooWALCus4V2sFQmK8ZtLeSsBvxsE9GeUpdv4jJvwC3qPpAD

Services Node-ipfsp1 et Node-ipfsp2 (peers n°1 & 2)

Service cluster – peers

[root@node-ipfsp[1,2] home]# vi /etc/systemd/system/ipfs-cluster-peer.service

[Unit]
Description=IPFS Cluster Peer Service
After=network.target

[Service]
User=root
Group=root
Environment=IPFS_CLUSTER_PATH=/mnt/ipfs-data/ipfs-cluster
ExecStart=/usr/local/bin/ipfs-cluster-service daemon --bootstrap /ip4/192.168.1.70/tcp/9096/p2p/12D3KooWALCus4V2sFQmK8ZtLeSsBvxsE9GeUpdv4jJvwC3qPpAD
WorkingDirectory=/mnt/ipfs-data/ipfs-cluster
Restart=always
RestartSec=10
LimitNOFILE=10240

[Install]
WantedBy=multi-user.target

Démarrage du service Cluster – node-ipfsp1

[root@node-ipfsp1 home]# systemctl daemon-reexec
[root@node-ipfsp1 home]# systemctl daemon-reload
[root@node-ipfsp1 home]# systemctl enable ipfs-cluster-peer.service
Created symlink /etc/systemd/system/multi-user.target.wants/ipfs-cluster-peer.service → /etc/systemd/system/ipfs-cluster-peer.service.

[root@node-ipfsl home]# journalctl -f
[root@node-ipfsp1 home]# systemctl start ipfs-cluster-peer.service

Check add Node-ipfsl

[root@node-ipfsl home]# systemctl status ipfs-cluster-peer.service

Sur le journal de log leader

[root@node-ipfsl home]# ipfs-cluster-ctl peers ls |grep 192

Démarrage du service Cluster – node-ipfsp2

[root@node-ipfsp2 home]# systemctl daemon-reexec
[root@node-ipfsp2 home]# systemctl daemon-reload
[root@node-ipfsp2 home]# systemctl enable ipfs-cluster-peer.service
Created symlink /etc/systemd/system/multi-user.target.wants/ipfs-cluster-peer.service → /etc/systemd/system/ipfs-cluster-peer.service.

Check add Node-ipfsl

[root@node-ipfsl home]# journalctl -f
[root@node-ipfsp2 home]# systemctl start ipfs-cluster-peer.service

Sur le journal de log leader

[root@node-ipfsl home]# ipfs-cluster-ctl peers ls |grep 192

13. Application Web API IPFS

http://192.168.1.70:5001/webui

Cliquez sur « Pairs »

Notre Cluster et machines sont Public

Recherche nos machines sur le domaine public

Node-ipfsl (leader)

[root@node-ipfsl home]# ipfs id |grep -i ID |head -1
 "ID": "12D3KooWCWwgEQx51YWB54Fn82JVQJ1SNm52sTHmNtQQAvMr6yza",

Node-ipfsp1 (peer n°1)

[root@node-ipfsp1 home]# ipfs id |grep -i ID |head -1
 "ID": "12D3KooWJb4HwVbXFuxZSeFAUjocurt7gPw14G6CsZRwTpVgMNdP",

Node-ipfsp1 (peer n°2)

[root@node-ipfsp2 home]# ipfs id |grep -i ID |head -1
 "ID": "12D3KooWQ4VuBLMjVvmW4F4fhKxbArFG4Y9SQ3coVBo1PL29qrJx",

L’article MODOP – Mise en place d’une infrastructure IPFS décentralisée et hautement disponible sur réseau public – Partie 1 est apparu en premier sur CoffeeBreak Info.

MODOP – Transition d’un cluster IPFS du mode public vers une architecture privée – Partie 2

chris — Sat, 26 Jul 2025 10:40:05 +0000

1. Passage du Cluster en mode privée

Stopper les services (3 machines)

[root@node-ipfsl home]# systemctl stop ipfs-cluster.service
[root@node-ipfsl home]# systemctl stop ipfs-peer.service

[root@node-ipfsp1 home]# systemctl stop ipfs-cluster-peer.service
[root@node-ipfsp1 home]# systemctl stop ipfs-peer.service

[root@node-ipfsp2 home]# systemctl stop ipfs-cluster-peer.service
[root@node-ipfsp2 home]# systemctl stop ipfs-peer.service

Création d’un clef secrète (leader)

Récupération script automatique

[root@node-ipfsl home]# dnf install git
[root@node-ipfsl home]# cd /home && go install github.com/Kubuxu/go-ipfs-swarm-key-gen/ipfs-swarm-key-gen@latest
go: downloading github.com/Kubuxu/go-ipfs-swarm-key-gen v0.0.0-20170218193930-0ee739ec6d32

Génération de la clef privée

[root@node-ipfsl home]# ipfs-swarm-key-gen > /mnt/ipfs-data/ipfs/swarm.key
[root@node-ipfsl home]# cat /mnt/ipfs-data/ipfs/swarm.key
/key/swarm/psk/1.0.0/
/base16/
1c77bfd716e3d5811049260f3aaedcdcadf0997113b02dbddc1ecab3308b15ac

Copie de la clef sur les peers clients

[root@node-ipfsl home]# scp /mnt/ipfs-data/ipfs/swarm.key root@192.168.1.71:/mnt/ipfs-data/ipfs/swarm.key

[root@node-ipfsl home]# scp /mnt/ipfs-data/ipfs/swarm.key root@192.168.1.72:/mnt/ipfs-data/ipfs/swarm.key

Activation mode Privée et suppression de tous les « bootstap » (3 machines)

[root@node-ipfsx home]# export LIBP2P_FORCE_PNET=1
[root@node-ipfsx home]# vi $HOME/.bashrc

Node leader

[root@node-ipfsl home]# ipfs bootstrap rm --all
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmNnooDu7bfjPFoTZYxMNLWUQJyrVwtbZg5gBMjTezGAJN
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmQCU2EcMqAqQPR2i9bChDtGNJchTbq5TbXJJ16u19uLTa
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmbLHAnMoJPWSCR5Zhtx6BHJX9KiKNN6tpvbUcqanj75Nb
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmcZf59bWwK5XFi76CZX8cbJ4BhTzzA3gU1ZjYZcYW3dwt
removed /dnsaddr/va1.bootstrap.libp2p.io/p2p/12D3KooWKnDdG3iXw9eTFijk3EWSunZcFi54Zka4wmtqtt6rPxc8
removed /ip4/104.131.131.82/tcp/4001/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ
removed /ip4/104.131.131.82/udp/4001/quic-v1/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ

Node peer n°1

[root@node-ipfsp1 home]# ipfs bootstrap rm --all
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmNnooDu7bfjPFoTZYxMNLWUQJyrVwtbZg5gBMjTezGAJN
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmQCU2EcMqAqQPR2i9bChDtGNJchTbq5TbXJJ16u19uLTa
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmbLHAnMoJPWSCR5Zhtx6BHJX9KiKNN6tpvbUcqanj75Nb
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmcZf59bWwK5XFi76CZX8cbJ4BhTzzA3gU1ZjYZcYW3dwt
removed /dnsaddr/va1.bootstrap.libp2p.io/p2p/12D3KooWKnDdG3iXw9eTFijk3EWSunZcFi54Zka4wmtqtt6rPxc8
removed /ip4/104.131.131.82/tcp/4001/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ
removed /ip4/104.131.131.82/udp/4001/quic-v1/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ

Node peer n°2

[root@node-ipfsp2 home]# ipfs bootstrap rm --all
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmNnooDu7bfjPFoTZYxMNLWUQJyrVwtbZg5gBMjTezGAJN
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmQCU2EcMqAqQPR2i9bChDtGNJchTbq5TbXJJ16u19uLTa
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmbLHAnMoJPWSCR5Zhtx6BHJX9KiKNN6tpvbUcqanj75Nb
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmcZf59bWwK5XFi76CZX8cbJ4BhTzzA3gU1ZjYZcYW3dwt
removed /dnsaddr/va1.bootstrap.libp2p.io/p2p/12D3KooWKnDdG3iXw9eTFijk3EWSunZcFi54Zka4wmtqtt6rPxc8
removed /ip4/104.131.131.82/tcp/4001/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ
removed /ip4/104.131.131.82/udp/4001/quic-v1/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ

Spécification système réseau privé (master & clients)

[root@node-ipfsx home]# ipfs config Routing.Type dht
[root@node-ipfsx home]# ipfs config --json AutoTLS.Enabled false
[root@node-ipfsx home]# ipfs config --json Swarm.Transports.Network.WebTransport false
[root@node-ipfsx home]# ipfs config --json Swarm.Transports.Network '{"TCP": true, "QUIC": false, "Websocket": false, "Relay": false, "WebTransport": false, "WebRTCDirect": false}'

Redémarre les services peer sur les machines (master & clients)

Service ipfs (go-ipfs) leader

[root@node-ipfsl home]# systemctl start ipfs-peer.service
[root@node-ipfsl home]# systemctl status ipfs-peer.service

Service ipfs (go-ipfs) peers

[root@node-ipfsp1 home]# systemctl start ipfs-peer.service
[root@node-ipfsp1 home]# systemctl status ipfs-peer.service

[root@node-ipfsp2 home]# systemctl start ipfs-peer.service
[root@node-ipfsp2 home]# systemctl status ipfs-peer.service

Check des peers mode réseau Privé

Sur le leader

[root@node-ipfsl home]# ipfs swarm peers
/ip4/192.168.1.71/tcp/4001/p2p/12D3KooWJb4HwVbXFuxZSeFAUjocurt7gPw14G6CsZRwTpVgMNdP
/ip4/192.168.1.72/tcp/4001/p2p/12D3KooWQ4VuBLMjVvmW4F4fhKxbArFG4Y9SQ3coVBo1PL29qrJx

http://192.168.1.70:5001/webui

Sur le peer n°1

[root@node-ipfsp1 home]# ipfs swarm peers
/ip4/192.168.1.70/tcp/4001/p2p/12D3KooWCWwgEQx51YWB54Fn82JVQJ1SNm52sTHmNtQQAvMr6yza
/ip4/192.168.1.72/tcp/4001/p2p/12D3KooWQ4VuBLMjVvmW4F4fhKxbArFG4Y9SQ3coVBo1PL29qrJx

http://192.168.1.71:5001/webui

Sur le peer n°2

[root@node-ipfsp2 home]# ipfs swarm peers
/ip4/192.168.1.70/tcp/4001/p2p/12D3KooWCWwgEQx51YWB54Fn82JVQJ1SNm52sTHmNtQQAvMr6yza
/ip4/192.168.1.71/tcp/4001/p2p/12D3KooWJb4HwVbXFuxZSeFAUjocurt7gPw14G6CsZRwTpVgMNdP

http://192.168.1.72:5001/webui

Redémarre les services cluster sur les machines (master & clients)

[root@node-ipfsl home]# systemctl start ipfs-cluster.service
[root@node-ipfsl home]# systemctl status ipfs-cluster.service

[root@node-ipfsp1 home]# systemctl start ipfs-cluster-peer.service
[root@node-ipfsp1 home]# systemctl status ipfs-cluster-peer.service

[root@node-ipfsp2 home]# systemctl start ipfs-cluster-peer.service
[root@node-ipfsp2 home]# systemctl status ipfs-cluster-peer.service

Check des cluster ipfs mode réseau Privé

[root@node-ipfsl home]# ipfs-cluster-ctl peers ls

2. Autoriser l’accès à l’API Cluster (master & clients)

Check port API

[root@node-ipfsx home]# lsof -i :9094

Stopper les services cluster (dans l’ordre)

[root@node-ipfsl home]# systemctl stop ipfs-cluster.service
[root@node-ipfsp1 home]# systemctl stop ipfs-cluster-peer.service
[root@node-ipfsp2 home]# systemctl stop ipfs-cluster-peer.service

Modification l’écoute

[root@node-ipfsx home]# vi /mnt/ipfs-data/ipfs-cluster/service.json

Modifier par la configuration ci-dessous

Démarrer les services cluster (dans l’ordre)

[root@node-ipfsl home]# systemctl start ipfs-cluster.service
[root@node-ipfsp1 home]# systemctl start ipfs-cluster-peer.service
[root@node-ipfsp2 home]# systemctl start ipfs-cluster-peer.service

[root@node-ipfsl home]# ipfs-cluster-ctl peers ls |grep "192.168.1.7"

[root@node-ipfsx home]# lsof -i :9094

Inventaire du nœud leader

[root@node-ipfsl home]# curl -s http://192.168.1.70:9094/id | jq .

Liste les nœuds du cluster

http://192.168.1.50:9094/peers

3. Des fichiers sur le cluster

Ajout de fichier

[root@node-ipfsl home]# echo "Nouveau Cluster IPFS - Chris" > IPFS_file01.txt
[root@node-ipfsl home]# ipfs-cluster-ctl add IPFS_file01.txt
added QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei IPFS_file01.txt

«Add sur le nœud leader avec succès »

[root@ node-ipfsl home]# ipfs cat QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei

Check de la réplication du fichier mode Block

[root@node-ipfsp1 home]# journalctl -f

«Add sur le nœud peer n°1 avec succès »

[root@node-ipfsp1 home]# ipfs cat QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei

[root@node-ipfsp2 home]# journalctl –f

«Add sur le nœud peer n°2 avec succès »

[root@node-ipfsp2 home]# ipfs cat QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei

Liste du fichier sur le Cluster

[root@node-ipfsp2 home]# curl -s http://192.168.1.70:9094/pins | jq .|grep cid
 "cid": "QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei",

[root@node-ipfsl home]# ipfs-cluster-ctl status QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei
QmP1zpXsnefj7eskAruAje8dgbKcKBaBviCEYWQStDCRei:
 > node-ipfsp2 : PINNED | 2025-07-12T15:05:16Z | Attempts: 0 | Priority: false
 > node-ipfsl : PINNED | 2025-07-12T17:05:16+02:00 | Attempts: 0 | Priority: false
 > node-ipfsp1 : PINNED | 2025-07-12T15:05:16Z | Attempts: 0 | Priority: false

4. Autoriser l’accès à Web URL (master & clients)

Check port Web URL

[root@node-ipfsx home]# lsof -i :8080
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
ipfs 7968 root 13u IPv4 64280 0t0 TCP localhost:webcache (LISTEN)

Stopper les services (3 machines)

[root@node-ipfsl home]# systemctl stop ipfs-peer.service
[root@node-ipfsp1 home]# systemctl stop ipfs-peer.service
[root@node-ipfsp2 home]# systemctl stop ipfs-peer.service

Modifier le fichier de conf (3 machines)

[root@node-ipfspx ~]# vi /mnt/ipfs-data/ipfs/config

Modifier comme ci-dessous

Redémarrer les services (3 machines)

[root@node-ipfsl home]# systemctl stop ipfs-peer.service
[root@node-ipfsp1 home]# systemctl stop ipfs-peer.service
[root@node-ipfsp2 home]# systemctl stop ipfs-peer.service

Ouvrir les flux firewall pour le port 8080/tcp (3 machines)

[root@node-ipfsx ~]# firewall-cmd --add-port=8080/tcp --permanent
[root@node-ipfsx ~]# firewall-cmd --reload
[root@node-ipfsx ~]# firewall-cmd --list-all

5. Ajouter et consulter une image sur le cluster IPFS

[root@node-ipfsl ~]# cd /home
[root@node-ipfsl home]# wget https://media.senscritique.com/media/000011292508/source_big/Bob_l_eponge.jpg

[root@node-ipfsl home]# ipfs-cluster-ctl add Bob_l_eponge.jpg
added QmP5rxgZxYjit96NnKqLB7KduPA79nmBwEJAAuxpcqefnm Bob_l_eponge.jpg

[root@node-ipfsl home]# ipfs-cluster-ctl status QmP5rxgZxYjit96NnKqLB7KduPA79nmBwEJAAuxpcqefnm

Accès du fichier via le leader & peers

L’article MODOP – Transition d’un cluster IPFS du mode public vers une architecture privée – Partie 2 est apparu en premier sur CoffeeBreak Info.

MODOP – Déploiement d’un peers au Cluster via le leader – Partie 3

chris — Sat, 26 Jul 2025 10:38:20 +0000

1. Inventaire du nouveau peer

Hostname

Node-ipfsp3 : IP = 192.168.1.73 (peer)

HDD

Disque SCSI0 : Système
Disque SCSI1 & SCSI2 : RAID1

2. Installation des prérequis

Ajout des clefs SSH sur le client

[root@node-ipfsl ~]# ssh-keygen
[root@node-ipfsl ~]# ssh-copy-id root@192.168.1.73

Modifier le hostname client

[root@node-ipfsl ~]# ssh root@192.168.1.73 'hostnamectl hostname node-ipfsp3'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'hostnamectl'

Update machine cliente

[root@node-ipfsl ~]# ssh root@192.168.1.73 'dnf update -y'

Desactiver SELinux

[root@node-ipfsl ~]# ssh root@192.168.1.73 'sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'cat /etc/selinux/config |grep SELINUX'

Paramétrage ntp

[root@node-ipfsl ~]# ssh root@192.168.1.73 'timedatectl set-timezone Europe/Paris'

Installation paquets utils

[root@node-ipfsl ~]# ssh root@192.168.1.73 'dnf install epel-release net-tools nmap wget tar git -y'

3. Installation du RAID1

Prédisposition du RAID Logiciel

[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "modprobe linear" >> /etc/rc.local'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "modprobe raid1" >> /etc/rc.local'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'chmod +x /etc/rc.local'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'source /etc/rc.local'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cat /proc/mdstat'

Partitionnement des disques en mode RAID

[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdb mklabel msdos'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdc mklabel msdos'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdb mkpart primary 1MiB 100%'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdc mkpart primary 1MiB 100%'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdb set 1 raid on'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'parted -s /dev/sdc set 1 raid on'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'fdisk -l /dev/sd[b-c] |grep RAID'
/dev/sdb1 2048 104857599 104855552 50G fd RAID Linux autodétecté
/dev/sdc1 2048 104857599 104855552 50G fd RAID Linux autodétecté

Création du RAID 1

[root@node-ipfsl ~]# ssh root@192.168.1.73 'mdadm -E /dev/sd[b-c]'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cat /proc/mdstat'

Attendre la fin de la création du raid1

4. Préparation du volume RAID1

[root@node-ipfsl ~]# ssh root@192.168.1.73 'mkfs.ext4 /dev/md0'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'mkdir -p /mnt/ipfs-data'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "/dev/md0 /mnt/ipfs-data ext4 defaults 0 2" >> /etc/fstab'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl daemon-reload'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'mount -a'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'df -Th |grep ipfs'
/dev/md0 ext4 49G 24K 47G 1% /mnt/ipfs-data

5. Règle Firewall

[root@node-ipfsl ~]# ssh root@192.168.1.73 'firewall-cmd --add-port={4001,5001,9094,9095,9096,8080}/tcp --permanent'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'firewall-cmd --add-port=4001/udp --permanent'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'firewall-cmd --remove-service={cockpit,dhcpv6-client} --permanent'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'firewall-cmd --reload'

6. Installation langage GO

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && tar -xvf go1.24.4.linux-amd64.tar.gz && mv go /usr/local'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'mkdir $HOME/gopath'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export GOROOT=/usr/local/go" >> $HOME/.bashrc'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export GOPATH=$HOME/gopath" >> $HOME/.bashrc'
[root@node-ipfsl ~]# ssh root@192.168.1.73 "sed -i 's/export PATH/#export PATH/g' $HOME/.bashrc"
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export PATH=$PATH:$GOROOT/bin:$GOPATH/bin" >> $HOME/.bashrc'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'source ~/.bashrc'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'go version'
go version go1.24.4 linux/amd64

7. Installation des paquets nécessaires

Installation du paquet IPFS KUBO

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && wget https://dist.ipfs.tech/kubo/v0.35.0/kubo_v0.35.0_linux-amd64.tar.gz'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && tar -xzvf kubo_v0.35.0_linux-amd64.tar.gz kubo/'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home/kubo && bash install.sh'
Moved ./ipfs to /usr/local/bin

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs --version'
ipfs version 0.35.0

Installation du paquet cluster ipfs service

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && wget https://dist.ipfs.tech/ipfs-cluster-service/v1.1.4/ipfs-cluster-service_v1.1.4_linux-amd64.tar.gz'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && tar -xzvf ipfs-cluster-service_v1.1.4_linux-amd64.tar.gz ipfs-cluster-service/'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && mv ipfs-cluster-service/ipfs-cluster-service /usr/local/bin/'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs-cluster-service --version'
ipfs-cluster-service version 1.1.4

Installation du paquet cluster ipfs ctl

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && wget https://dist.ipfs.tech/ipfs-cluster-ctl/v1.1.4/ipfs-cluster-ctl_v1.1.4_linux-amd64.tar.gz'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && tar -xzvf ipfs-cluster-ctl_v1.1.4_linux-amd64.tar.gz ipfs-cluster-ctl/'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'cd /home && mv ipfs-cluster-ctl/ipfs-cluster-ctl /usr/local/bin/'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs-cluster-ctl --version'
ipfs-cluster-ctl version 1.1.4

Variables d’environnements

[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export IPFS_PATH=/mnt/ipfs-data/ipfs" >> $HOME/.bashrc'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export IPFS_CLUSTER_PATH=/mnt/ipfs-data/ipfs-cluster" >> $HOME/.bashrc'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'echo "export LIBP2P_FORCE_PNET=1" >> $HOME/.bashrc'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'source $HOME/.bashrc'

8. Initialisation et service IPFS Peer node-ipfsp3

Initialisation nœud IPFS

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs init'

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs config Datastore.StorageMax \"40GB\"'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs config Addresses.API /ip4/0.0.0.0/tcp/5001'
[root@node-ipfsl ~]# ssh root@192.168.1.73 "ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '[\"*\"]'"
[root@node-ipfsl ~]# ssh root@192.168.1.73 "ipfs config --json API.HTTPHeaders.Access-Control-Allow-Methods '[\"PUT\", \"POST\"]'"
[root@node-ipfsl ~]# ssh root@192.168.1.73 "ipfs config --json API.HTTPHeaders.Access-Control-Allow-Origin '[\"http://192.168.1.73:5001\", \"http://localhost:3000\", \"http://127.0.0.1:5001\", \"https://node-ipfsp3.house.cp\"]'"

Mode privé du noeud

[root@node-ipfsl ~]# scp /mnt/ipfs-data/ipfs/swarm.key root@192.168.1.73:/mnt/ipfs-data/ipfs/swarm.key

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs bootstrap rm --all'
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmNnooDu7bfjPFoTZYxMNLWUQJyrVwtbZg5gBMjTezGAJN
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmQCU2EcMqAqQPR2i9bChDtGNJchTbq5TbXJJ16u19uLTa
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmbLHAnMoJPWSCR5Zhtx6BHJX9KiKNN6tpvbUcqanj75Nb
removed /dnsaddr/bootstrap.libp2p.io/p2p/QmcZf59bWwK5XFi76CZX8cbJ4BhTzzA3gU1ZjYZcYW3dwt
removed /dnsaddr/va1.bootstrap.libp2p.io/p2p/12D3KooWKnDdG3iXw9eTFijk3EWSunZcFi54Zka4wmtqtt6rPxc8
removed /ip4/104.131.131.82/tcp/4001/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ
removed /ip4/104.131.131.82/udp/4001/quic-v1/p2p/QmaCpDMGvV2BGHeYERUEnRQAwe3N8SzbUtfsmvsqQLuvuJ

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs config Routing.Type dht'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs config --json AutoTLS.Enabled false'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs config --json Swarm.Transports.Network.WebTransport false'
[root@node-ipfsl ~]# ssh root@192.168.1.73 "ipfs config --json Swarm.Transports.Network '{\"TCP\": true, \"QUIC\": false, \"Websocket\": false, \"Relay\": false, \"WebTransport\": false, \"WebRTCDirect\": false}'"

Service daemon ipfs

[root@node-ipfsl ~]# scp /etc/systemd/system/ipfs-peer.service root@192.168.1.73:/etc/systemd/system/ipfs-peer.service

[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl daemon-reexec && systemctl daemon-reload'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl enable ipfs-peer && systemctl start ipfs-peer'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl status ipfs-peer'

[root@node-ipfsl ~]# ipfs swarm peers
/ip4/192.168.1.71/tcp/4001/p2p/12D3KooWJb4HwVbXFuxZSeFAUjocurt7gPw14G6CsZRwTpVgMNdP
/ip4/192.168.1.72/tcp/4001/p2p/12D3KooWQ4VuBLMjVvmW4F4fhKxbArFG4Y9SQ3coVBo1PL29qrJx

9. Initialisation et service Cluster IPFS Peer node-ipfsp3

Initialisation nœud cluster IPFS

[root@node-ipfsl ~]# ssh root@192.168.1.73 'ipfs-cluster-service init'

Récupération la clef secrète du leader

[root@node-ipfsl home]# cat /mnt/ipfs-data/ipfs-cluster/service.json |grep -i secret
 "secret": "9dc28eb1c943ec508cc9f5a8b4c4726a5398be979c62521dd93252d62cb72196",

[root@node-ipfsl ~]# ssh root@192.168.1.73 "sed -i 's/\"secret\": \".*\"/\"secret\": \"9dc28eb1c943ec508cc9f5a8b4c4726a5398be979c62521dd93252d62cb72196\"/' /mnt/ipfs-data/ipfs-cluster/service.json"

Copie du service Peers Cluster avec bootstrap leader

[root@node-ipfsl ~]# scp root@192.168.1.71:/etc/systemd/system/ipfs-cluster-peer.service root@192.168.1.73:/etc/systemd/system/ipfs-cluster-peer.service

Autoriser les accès Cluster API et Web URL

[root@node-ipfsl ~]# ssh root@192.168.1.73 "sed -i 's|"/ip4/127.0.0.1/tcp/9094"|"/ip4/0.0.0.0/tcp/9094"|' /mnt/ipfs-data/ipfs-cluster/service.json"
[root@node-ipfsl ~]# ssh root@192.168.1.73 "sed -i 's|"/ip4/127.0.0.1/tcp/8080"|"/ip4/0.0.0.0/tcp/8080"|' /mnt/ipfs-data/ipfs/config"

10. Démarrer tous les services node-ipfsp3

Redémarrage peer IPFS

[root@node-ipfsl ~]# ssh root@192.168.1.73 "systemctl stop ipfs-peer && systemctl start ipfs-peer"
[root@node-ipfsl ~]# ssh root@192.168.1.73 "systemctl status ipfs-peer"

Démarrage Cluster service IPFS

[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl daemon-reexec && systemctl daemon-reload'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl enable ipfs-cluster-peer.service && systemctl start ipfs-cluster-peer.service'
[root@node-ipfsl ~]# ssh root@192.168.1.73 'systemctl status ipfs-cluster-peer.service'

11. Check du nouveau nœud

Liste les nœuds peers du cluster

[root@node-ipfsl ~]# ipfs-cluster-ctl peers ls |grep "192.168.1.7"

[root@node-ipfsl ~]# ipfs-cluster-ctl peers ls

Accès du fichier «Bob_l_eponge.jpg » répliqué précédemment

http://192.168.1.73:8080/ipfs/QmP5rxgZxYjit96NnKqLB7KduPA79nmBwEJAAuxpcqefnm

L’article MODOP – Déploiement d’un peers au Cluster via le leader – Partie 3 est apparu en premier sur CoffeeBreak Info.

MODOP – Connexion SSH via Google Authenticator (MFA)

chris — Sun, 22 Oct 2023 10:56:21 +0000

Inventaire

Machine : rocky01
OS : Rockylinux 8
IP : 192.168.1.148

Prérequis

Mise à jour de la machine

[root@rocky01 ~]# dnf upgrade –y

Désactiver SELinux

[root@rocky01 ~]# setenforce 0
[root@rocky01 ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

Set TIMEDATE

[root@rocky01 ~]# timedatectl set-timezone Europe/Paris
[root@rocky01 ~]# timedatectl

Ajout User

[root@rocky01 ~]# adduser google_auth
[root@rocky01 ~]# passwd google_auth

Paquets nécessaires

[root@rocky01 ~]# dnf install  qrencode –y
[root@rocky01 ~]# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Installation google-authenticator

[root@rocky01 ~]# dnf install google-authenticator –y

Génération QR code d’affiliation compte « google-authenticator »

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ ssh-keygen

[google_auth@rocky01 ~]$ google-authenticator

Application APP google-authenticator

Installer sur votre mobile l’application « Authenticator » de google

« Ajouter un code »

« Scanner un code QR »

Affiliation Machine ⬄ App google-authenticator

Scanner le QR code afficher sur l’écran de votre terminal sur google authenticator
Saisir le code affiché sur l’application, ici 658742 , dans votre terminal
Enter code from app (-1 to skip): 658742

Continuer l’installation

Correction messages BUGS

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ mv .google_authenticator .ssh/
[google_auth@rocky01 ~]$ chmod 400 ./ssh/.google_authenticator
[google_auth@rocky01 ~]$ ls -al .ssh/

Configuration de l’identification pamd via SSH

[root@rocky01 ~]# vi /etc/pam.d/sshd

Ajouter la ligne suivante

# Connexion Google-authentication
auth required pam_google_authenticator.so secret=/home/${USER}/.ssh/.google_authenticator

Activation « Challenge authentification » dans sshd

[root@rocky01 ~]# vi /etc/ssh/sshd_config

« Avant »

« Après »

Redémarrage du service SSH

[root@rocky01 ~]# systemctl restart sshd
[root@rocky01 ~]# systemctl status sshd

Check connexion SSH avec 2FA

Connexion client

Connexion Putty – HostName « rocky01 »

Saisir en Premier le mot de passe du compte « google_auth »

Saisir le code généré sur l’application « google authentificator »

Connecté sur une session via 2FA

Coté Serveur

L’article MODOP – Connexion SSH via Google Authenticator (MFA) est apparu en premier sur CoffeeBreak Info.

MODOP – Partie 1 – Update OpenSSH To 9.3p1

chris — Sat, 13 May 2023 12:18:01 +0000

Mise à jour

[root@node01-ssh ~]# dnf update -y

Etat initial

[root@node01-ssh ~]# ssh -V

[root@node01-ssh ~]# cat /etc/os-release

Dépendance nécessaire

[root@node-hadoop01 ~]# dnf install -y pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel
[root@node-hadoop01 ~]# dnf -y install libX11-devel perl
[root@node-hadoop01 ~]# dnf --enablerepo=powertools install imake

Récupération des sources

[root@node-hadoop01 ~]# mkdir -p ~/rpmbuild/SOURCES && cd ~/rpmbuild/SOURCES

Source openssh

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz.asc

Source askpass

https://mirrors.slackware.com/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz.mirrorlist

[root@node01-ssh SOURCES]# wget -c https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz

Préparation du fichier spec

[root@node01-ssh SOURCES]# version=9.3p1
[root@node01-ssh SOURCES]# tar zxvf openssh-${version}.tar.gz
[root@node01-ssh SOURCES]# cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
[root@node01-ssh SOURCES]# mv openssh-${version}.tar.gz{,.orig}

[root@node01-ssh SOURCES]# tar zcpf openssh-${version}.tar.gz openssh-${version}
[root@node01-ssh SOURCES]# tar zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec

Ajustement du fichier spec

[root@node01-ssh SOURCES]# cd openssh-${version}/contrib/redhat/
[root@node01-ssh redhat]# chown root.root openssh.spec

[root@node01-ssh redhat]# sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildPreReq/BuildRequires/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros

Création des RPM via les sources openssh 8.3p1

[root@node01-ssh redhat]# ls -al

[root@node01-ssh redhat]# rpmbuild -ba openssh.spec

[root@node01-ssh redhat]# cd /root/rpmbuild/RPMS/x86_64/
[root@node01-ssh x86_64]# ls -al

Création de l’Archive openssh 8.3p1

[root@node01-ssh x86_64]# tar zcvf /home/openssh-${version}-RPMs.el8.tar.gz openssh*

[root@node-hadoop01 x86_64]# rm -rf ~/rpmbuild ~/openssh-${version}

Installation des paquets (archive)

[root@node01-ssh x86_64]# cd /home
[root@node01-ssh home]# ls -al |grep RPM
[root@node01-ssh home]# tar -xzvf openssh-9.3p1-RPMs.el8.tar.gz

Sauvegarde des fichiers conf 9.0p1

[root@node01-ssh home]cp /etc/pam.d/sshd pam-ssh-conf-06052023

Installation Openssh 9.3p1

[root@node01-ssh home]# rpm -Uvh *.rpm

Restauration du fichier de conf 9.0p1

[root@node01-ssh home]# mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_06052023
[root@node01-ssh home]# cp pam-ssh-conf-06052023 /etc/pam.d/sshd

Autorisation root acces (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

[root@node01-ssh ~]# sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

Activation Identification PAM (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM
[root@node01-ssh ~]# sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM

Redémarrage du service sshd

[root@node01-ssh ~]# chmod 600 /etc/ssh/ssh*
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

Correction de l’erreur « ssh_host_dsa_key.pub »

[root@node01-ssh ~]# ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

[root@node01-ssh ~]# ssh -V

L’article MODOP – Partie 1 – Update OpenSSH To 9.3p1 est apparu en premier sur CoffeeBreak Info.

MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1

chris — Sat, 13 May 2023 11:40:32 +0000

https://github.com/chrisPB-fr/UpdateEL8_SSL.git

Lancement du Script BASH

[root@node01-ssh chris]# dnf install -y git
[root@node01-ssh chris]# git clone https://github.com/chrisPB-fr/UpdateEL8_SSL.git

[root@node01-ssh chris]# cd UpdateEL8_SSL/
[root@node01-ssh UpdateEL8_SSL]# ls -al

[root@node01-ssh UpdateEL8_SSL]# ./update_openssh_9_3p1.sh

Etape N°1 – Vérification de la version sur la machine

Si la version OpenSSL est inférieur à 9.3p1

Si la machine est déjà en version 9.3p1

Etape N°2 – installation des dépendances nécessaire

Etape N°3 – Récupération des sources

Etape N°4 – Installation des sources sur la machine

Etape N°5 – Ajustement sur le fichier spec

Etape N°6 – Création des RPM OpenSSL 9.3p2 compilés

Etape N°7 – Installation des RPM OpenSSL 9.3p2 compilés

Etape N°8 – Ouverture du « root acces » en SSH

Si yes, alors PermitRootLogin yes
Si no, alors PermitRootLogin prohibit-password

[root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep PermitRootLogin

Etape N°9 – Activation PAM authentification

Positionne UsePAM à yes

[root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep UsePAM

Etape N°10 – Correction BUG sur la partie Certificat

Etape N°11 – Redémarrage sur service SSH v9.3p1

[root@node01-ssh UpdateEL8_SSL]# ssh –V

Script BASH

#!/bin/bash
version=9.3p1
openSSH_repo="https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable"
askPass_repo="https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass"
today=`date +%F`
array_valeur=(y n yes no)
rouge='\e[0;31m'
vert='\e[0;32m'
neutre='\e[0;m'
PATH_RPM="/root/rpmbuild/SOURCES"
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"

function check_version_ssh () {
check_version=`rpm -qa |grep openssh-server |awk -F"-" '{print $3}'`
if [ ${check_version} == ${version} ]
then
echo ""
echo -e "${vert}#######################################${neutre}"
echo -e "${vert} OpenSSL est déja à la version 9.3p1${neutre}"
echo -e "${vert}#######################################${neutre}"
exit
fi
echo "Votre version est la ${check_version}"
}

function install_dependance () {
for install_packet in pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel libX11-devel perl
do
 echo "Installation du paquet ${install_packet}"
 dnf -y install ${install_packet} >> /dev/null
done
echo "Installation du paquet imake"
dnf --enablerepo=powertools install imake -y >> /dev/null
}

function recup_source () {
## Source OpenSSH
mkdir -p ${PATH_RPM} 
if [ -f ${PATH_RPM}/openssh-${version}.tar.gz ]
then 
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz
 echo "Récupère les sources de openssh-${version}"
 wget c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM}
else
 echo "Récupère les sources de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM} 
fi

if [ -f ${PATH_RPM}/openssh-${version}.tar.gz.asc ]
then
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz.asc
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P ${PATH_RPM}
else
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P${PATH_RPM} 
fi

## Source askpass
if [ -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz ]
then
 rm -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM} 
else
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM}
fi
}

function prepa_spec () {
cd ${PATH_RPM}
tar -zxvf openssh-${version}.tar.gz 
yes | cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
mv openssh-${version}.tar.gz{,.orig}
tar -czpf openssh-${version}.tar.gz openssh-${version}
tar -zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec
}

function ajust_spec () {
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"
chown root.root ${OPENSSH_SPEC}
sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildPreReq/BuildRequires/g" ${OPENSSH_SPEC}
sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" ${OPENSSH_SPEC}
sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros
}

function create_RPM () {

cd ${PATH_RPM}/openssh-${version}/contrib/redhat/
rpmbuild -ba openssh.spec
cd /root/rpmbuild/RPMS/x86_64/
ls -al |grep openssh*
}

function install_RPM () {
## sauvegarde conf ssh PAM conf
cd /root/rpmbuild/RPMS/x86_64/
cp /etc/pam.d/sshd pam-ssh-conf-${today}

## Installation OpenSSL 9.3p1
rpm -Uvh *.rpm

## restauration ssh PAM conf
mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_${today}
yes | cp pam-ssh-conf-${today} /etc/pam.d/sshd
}

function autorise_root_acces () {
printf "souhaitez vous activer root acces [yes,no]: "
read -r reponse
while ! [[ "${array_valeur[@]}" =~ ${reponse} ]];do 
 autorise_root_acces
done

if [ ${reponse} == yes ] || [ ${reponse} == y ] 
then
 check_acces_root=`cat /etc/ssh/sshd_config |grep "PermitRootLogin prohibit-password" |wc -l`

 if [ ${check_acces_root} == 1 ]
 then
 sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
 fi

 check_actif_acces_root=`cat /etc/ssh/sshd_config |grep "#PermitRootLogin" |wc -l`

 if [ ${check_actif_acces_root} == 1 ]
 then
 sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config 
 fi

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Root Acces est désormais activé ${neutre}" 
echo -e "${vert}#####################################${neutre}"
fi
}

function activation_pam () {

 check_pam_actif=`cat /etc/ssh/sshd_config |grep "#UsePAM yes" |wc -l`
 if [ ${check_pam_actif} == 1 ]
 then
 sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
 fi 

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Authentification PAM est activé ${neutre}"
echo -e "${vert}#####################################${neutre}"
}

function check_host_rsa_key () {

if [ ! -f "/etc/ssh/ssh_host_dsa_key" ]
then
 ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key -q -P ""
fi
chmod -R 600 /etc/ssh/
}

function restart_sshd () {
systemctl restart sshd
systemctl status sshd
}

clear
#### Lancement de l'installation 

echo ""
echo -e "${vert}############################${neutre}"
echo -e "${vert} Mise à jour de OpenSSL ${neutre}"
echo -e "${vert}############################${neutre}"
sleep 2

clear
echo ""
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 1 - Check la version OpenSSL ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
check_version_ssh

clear
echo ""
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 2 - installation des dépendances ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
install_dependance

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 3 - Récupération des sources ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
recup_source

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 4 - Préparation du fichier spec ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
prepa_spec

clear
echo -e "${vert}########################################${neutre}"
echo -e "${vert} Etape 5 - Ajustement du fichier spec ${neutre}"
echo -e "${vert}########################################${neutre}"
Sleep 2
ajust_spec

clear
echo -e "${vert}#################################################${neutre}"
echo -e "${vert} Etape 6 - Création des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}#################################################${neutre}"
sleep 2
create_RPM

clear
echo -e "${vert}######################################################${neutre}"
echo -e "${vert} Etape 7 - installation des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}######################################################${neutre}"
sleep 2
install_RPM

clear
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 8 - Ouverture root acces SSH ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
autorise_root_acces

clear
echo -e "${vert}#############################################${neutre}"
echo -e "${vert} Etape 9 - Activation authentification PAM ${neutre}"
echo -e "${vert}#############################################${neutre}"
sleep 2
activation_pam

clear
echo -e "${vert}###########################################${neutre}"
echo -e "${vert} Etape 10 - Correction Bug Vertificat RSA ${neutre}"
echo -e "${vert}###########################################${neutre}"
sleep 2
check_host_rsa_key

clear
echo -e "${vert}############################################${neutre}"
echo -e "${vert} Etape Finale - Redémarrage du service SSH ${neutre}"
echo -e "${vert}############################################${neutre}"
sleep 2
restart_sshd

L’article MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1 est apparu en premier sur CoffeeBreak Info.

MODOP – YubiKey – Cient SSH – GitHub

chris — Sat, 13 May 2023 10:41:34 +0000

Prérequis

Un compte Github
- https://github.com/
Clef YubiKey
- https://www.yubico.com/
MobaxTerm/Client SSH
- https://mobaxterm.mobatek.net/
- https://www.putty.org/

Génération d’une paire de clef « privé & public » ed22519-sk

/home/mobaxterm # ssh-keygen --help

/home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/UserGit

« OK »

« Insérer votre Yubico »

Saisir votre code de Sécurité

Toucher le logo « Y » de votre Key

Les clefs sont générées

/home/mobaxterm # ls /home/mobaxterm/.ssh/ |grep UserGit

/home/mobaxterm # cat /home/mobaxterm/.ssh/UserGit.pub

Copier la clef pub dans un notepad

Intégrer la clef Public sur GitHub

https://github.com/

Se connecter à votre compte github

« Signed .. » et « Settings »

« SSH and GPG Keys »

« New SSH key »

Ajouter votre clef Publique générée avec YubiKey

Activer l’identification SSH sur le repositories

Choisir votre « repositories »

Sélectionner votre projet (ici Proxmox-Ansible-CllusterMysql )

« Code » et « SSH »

git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git

Test import DATA avec Clef sur GitHub

Export du projet

/home/mobaxterm # git clone git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git --config core.sshCommand="ssh -i /home/mobaxterm/.ssh/UserGit"

Insérer la clef Yubikey

Touche le « Y » de la clef

Le dépôt de votre projet est récupéré sur votre machine

/home/mobaxterm # cd Proxmox-Ansible-CllusterMysql
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # ls -al

Initialisation des variables du projet

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.email "mail@mail.com"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.name "chrisPB-fr"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git remote set-url origin git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git

Modification du projet

Initialement le readme.md

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # echo " - Test SSH Key Yubico" >> README.md
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # cat README.md

Import du projet modifié avec SSH YubiKey

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git add .
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git commit -am "Modification fichier readme"

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git push origin master

Insérez la clef pour identifier votre transaction via SSH

Touchez le logo « Y »

La connexion est réalisée

Côté import sur Github

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git log

L’article MODOP – YubiKey – Cient SSH – GitHub est apparu en premier sur CoffeeBreak Info.

MODOP – Connexion SSH YubiKey – Linux Machine

chris — Sat, 13 May 2023 09:50:44 +0000

Génération d’une paire de clef « privé & public »

/home/mobaxterm # ssh-keygen --help

/home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/key01

« OK »

« Introduire votre clef YubiKey »

Taper votre mot de passe saisi lors de la configuration de votre clef puis « OK »

Toucher le logo Y de votre clef Yubico

Reste, ou pas , à saisir une « passphrasse » pour renforcer le certificat puis « enter »

Lister la paire de clef « privé & public »

/home/mobaxterm # ls -alt /home/mobaxterm/.ssh/key01*

/home/mobaxterm # cat /home/mobaxterm/.ssh/key01.pub

Copier votre clef publique sur le(s) serveur(s)

/home/mobaxterm # ssh-copy-id -i /home/mobaxterm/.ssh/key01.pub root@floki03.house.cpb

Connexion au serveur via YubiKey

/home/mobaxterm # ssh -i /home/mobaxterm/.ssh/key01 -l root floki03.house.cpb

« Insérez la clef YubiKey »

« Touchez le logo Y »

La connexion est réalisée via YubiKey et Clef ssh

Cléf Publique sur Serveur

root@floki03:~# cat .ssh/authorized_keys

L’article MODOP – Connexion SSH YubiKey – Linux Machine est apparu en premier sur CoffeeBreak Info.

MODOP – Installation Tunnel GRE/Ipsec – Host to Host

chris — Sun, 03 Jul 2022 11:24:20 +0000

Installation de la machine tun-hosta.house.cpb – RockyLinux

Spécification de la machine tun-hosta.house.cpb

Host : tun-hosta.house.cpb

IP :192.168.1.56
- VIP : 10.10.10.1/24
OS : RockyLinux
vCPU : 2
DD : 8Go
Ram : 2Go

Mise à jour de la machine

[root@tun-hosta ~]# dnf update -y

TimeDate

[root@tun-hosta ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-hosta ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

Installation epel

[root@tun-hosta ~]# dnf install epel-release

Chargement Module GRE – CLI

[root@tun-hosta ~]# lsmod | grep ip_gre
[root@tun-hosta ~]# modprobe ip_gre
[root@tun-hosta ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-hosta ~]# echo ip_gre >> /etc/modules-load.d/tun.conf
[root@tun-hosta ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 19 juin 12:13 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création du Tunnel tun0

[root@tun-hosta ~]# ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255

Activation de la connexion tun0

[root@tun-hosta ~]# ip link set tun0 up

Création de l’adresse VIP

[root@tun-hosta ~]# ip addr add 10.10.10.1/24 dev tun0

Chargement Tun0 – On BOOT

[root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.1/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

Check de la connexion tun0

[root@tun-hosta ~]# nmcli connection

[root@tun-hosta ~]# ip a show tun0

Activer le Forward IPv4

[root@tun-hosta ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# sysctl -p

Activer/désactiver les rules Firewall GRE

[root@tun-hosta ~]# firewall-cmd --remove-service={dhcpv6-client,cockpit} –permanent
[root@tun-hosta ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hosta ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hosta ~]# firewall-cmd --reload

Installation de la machine tun-hostb.house.cpb – AlmaLinux8

Spécification de la machine tun-hostb.house.cpb

Host : tun-hostb.house.cpb

IP :172.16.185.140
- VIP : 10.10.10.2/24
OS : AlmaLinux
vCPU : 2
DD : 8Go
Ram : 2Go

Mise à jour de la machine

[root@tun-hostb ~]# yum -y update

TimeDate

[root@tun-hostb ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-hostb ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts

[root@tun-hostb ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

Chargement Module GRE – CLI

[root@tun-hostb ~]# lsmod | grep ip_gre
[root@tun-hostb ~]# modprobe ip_gre

Chargement Module GRE – On BOOT

[root@tun-hostb ~]# echo ip_gre >> /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création de l’interface tun0

[root@tun-hostb ~]# ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255

Activation de la connexion tun0

[root@tun-hostb ~]# ip link set tun0

Création de l’adresse VIP

[root@tun-hostb ~]# ip addr add 10.10.10.2/24 dev tun0

Chargement Tun0 – On BOOT

[root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.2/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

Check de la connexion tun0

[root@tun-hostb ~]# ip a show tun0

[root@tun-hostb ~]# nmcli connection

Activer le Forward IPv4

[root@tun-hostb ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# sysctl -p

Activer/désactiver les rules Firewall GRE

[root@tun-hostb ~]# firewall-cmd --remove-service=dhcpv6-client –permanent
[root@tun-hostb ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hostb ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hostb ~]# firewall-cmd --reload

Check des flux réseaux Public et Tunnel

Serveur tun-hosta

[root@tun-hosta ~]# ping -c 3 tunipsec-grea

[root@tun-hosta ~]# ping -c 3 tunipsec-greb

Serveur tun-hostb

[root@tun-hostb ~]# ping -c 3 tunipsec-grea

[root@tun-hostb ~]# ping -c 3 tunipsec-greb

Installation Ipsec sur le Tunnel tun0

Inventaire du réseau tun0/Machine

Host : tunipsec-grea.house.cpb

IP tun0 : 10.10.10.1/24

Host : tunipsec-greb.house.cpb

IP tun0 : 10.10.10.2/24

Ipsec – Machine tunipsec-grea.house.cpb

Désactiver « rp_filter »

[root@tun-hosta ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hosta ~]# sysctl --system

Installer libreswan

[root@tun-hosta ~]# yum install libreswan

Initialisation de la base NSS

[root@tun-hosta ~]# systemctl stop ipsec
[root@tun-hosta ~]# rm -f /etc/ipsec.d/*db
[root@tun-hosta ~]# ls -al /etc/ipsec.d/

[root@tun-hosta ~]# ipsec initnss
Initializing NSS database

[root@tun-hosta ~]# ls -al /etc/ipsec.d/

Ajouter les rules ipsec – firewall

[root@tun-hosta ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd –reload

Démarrer Ipsec

[root@tun-hosta ~]# systemctl enable ipsec --now

Génerer une clef RSA pour hosta

[root@tun-hosta ~]# ipsec newhostkey
Generated RSA key pair with CKAID e60a1b0aba69d1a0f7dfc055899db6597ef1996f was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f

[root@tun-hosta ~]# ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f
 # rsakey AwEAAdnx8 leftrsasigkey=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

Ipsec – Machine tunipsec-greb.house.cpb

Désactiver « rp_filter »

[root@tun-hostb ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hostb ~]# sysctl --system

Installer libreswan

[root@tun-hostb ~]# yum install libreswan

Initialisation de la base NSS

[root@tun-hostb ~]# systemctl stop ipsec
[root@tun-hostb ~]# rm -f /etc/ipsec.d/*db

[root@tun-hostb ~]# ipsec initnss
Initializing NSS database

[root@tun-hostb ~]# ls -al /etc/ipsec.d/

Ajouter les rules ipsec – firewall

[root@tun-hostb ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd --reload

Démarrer Ipsec

[root@tun-hostb ~]# systemctl enable ipsec --now
[root@tun-hostb ~]# systemctl status ipsec

Génerer une clef RSA pour hostb

[root@tun-hostb ~]# ipsec newhostkey
Generated RSA key pair with CKAID 2f5cd8184f8878367711840329cd53904c8fc117 was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117

[root@tun-hostb ~]# ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117
 # rsakey AwEAAengQ
leftrsasigkey=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

Création Ipsec Host-to-Host

Inventaire des Hosts de l’infrastructure

Host : tunipsec-grea.house.cpb

IP tun0 : 10.10.10.1/24
RSA : 0sAwEAAdnx8WIZbGxrPh+bSDWuKhFLY0oNuFs68lfBrxCCH5UeeWrf53HFYBFKHvbUWQdu6CykibfB1SuJkvIojDhZbeKQg0MqMU/0jT29kncPOI+ar6DYIu0yXUnlIOYwqJQwFAWAXBPLA4b2JsePKZJFcjtlryRaItfWxdkDH39aO/WlSjLu/fMrHv9tDixH7kMfU/n5dSw3iCwix8I+PgXhdOTMRJEdcWnZEprDPlITmIB3gYN7x166V8DXLpFzAIFzD67wuReeq3z7V4podnfsLKtM+484SSpOjnLD9hs1DVP6V1N6SLPDgWjNXEaDjBXYfllrJzGl62If9+DiRHzA3XQn7XDXAxqzoDKpW4IBMVo6EHzK5Lj/GgC1qvJdBJLf7kG7PIZEv6LvbdmTm4JxSTCDtEM3DOk9wWwDdn5A2N3JbD5rwsxsGRa+dDadYS/KUxrYcKVOmh6UAFcP3AOuTaESaBy44PSWnG7jK/z8Lv4iyUxNAQQc9iMcuuSUZANpPvdX5ze3QXkr/ny7qw==

Host : tunipsec-greb.house.cpb

IP tun0 : 10.10.10.2/24
RSA : 0sAwEAAengQzda3EZwsJSqi9zaF3EtlMy09xN4T1u5/i0pmXzJGUe3A0qfOEG4zueQ3Cy7VstC4EwdrrPccYJf82k1jX2yjgIR8enWbprkI2fDWt0++/e/lxw8/6HNEo9V7hWCPMWqo9TWTwu2qM/kZJgylY538SYe+LTG1MmsWDhoF4ZqfedwDL85ZGpsGsBlaJPxH1TNcLn2lLf8sTNJO2I6br8rSQl1OAp1SawAoBgwxgHsCLvpAUhQCtFRTYjf3WayrtMvEgmKZjcrV5xlNR1jYDHOx6RLd6eu1JMR9k8JUwuNeeEbtoKqdNBQBia7jZMi0Cl9NpaWtdcvMFq533hbitS8kHvzDHpOu4wsr9RCwGyyWfSPQbJr5fbCMa942SAOWLLXHdo4/VHXRlogj3Fj23BP/e4giB5ARdxHQxreSxZLUewilgxQlM4GaGsSGCu49ZikoQf0Fm1hEVeIjwgpEa26lLCtQ+mGGWw+y59xlPa+2pZDLQt26fTUIVovCGzqgzzEAo7qOXpQ7A9A7yykcV1yQzkVKmpeUmt2FzLL1r91qnIGy3E1mdt0Rom2xI9gJrneGH/rWq4GtVNfEsv6TImJCRyd9FIjK4qnH+hTyT1uPTM28cfWs3mUmbqtSb8uPRe9WFq0i459Qzwz2BWB5pM=

Fichier de conf Ipsec sur hosta

[root@tun-hosta ~]# vi /etc/ipsec.d/host_to_host.conf

conn tunnelVPN
leftid=@west
left=10.10.10.1
leftrsasigkey=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
rightid=@east
right=10.10.10.2
rightrsasigkey=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
authby=rsasig
auto=start

Mise en place du Tunnel Ipsec hosta – l’encapsulation tun0

[root@tun-hosta ~]# systemctl restart ipsec
[root@tun-hosta ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

Fichier de conf Ipsec sur hostb

[root@tun-hosta ~]# scp /etc/ipsec.d/host_to_host.conf root@tun-hostb:/etc/ipsec.d/host_to_host.conf

[root@tun-hostb ~]# ls -al /etc/ipsec.d/host_to_host.conf
-rw-r--r--. 1 root root 1335 Jun 19 18:00 /etc/ipsec.d/host_to_host.conf

Mise en place du Tunnel Ipsec hostb – l’encapsulation tun0

[root@tun-hostb ~]# systemctl restart ipsec
[root@tun-hostb ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

Monter le tunnelVPN sur les deux machines

[root@tun-hostb ~]# ipsec auto --up tunnelVPN

[root@tun-hosta ~]# ipsec auto --up tunnelVPN

Check le tunnelVPN sur les deux machines

[root@tun-hosta ~]# ipsec verify

[root@tun-hostb ~]# ipsec verify

[root@tun-hosta ~]# journalctl -e

[root@tun-hostb ~]# journalctl -e

[root@tun-hosta ~]# ipsec show
10.10.10.1/32 <=> 10.10.10.2/32 using reqid 16389

[root@tun-hostb ~]# ipsec show
10.10.10.2/32 <=> 10.10.10.1/32 using reqid 16389

Ajouter des logs pour Ipsec (les deux machines)

[root@tun-hostx ~]# vi /etc/ipsec.conf
logfile=/var/log/pluto.log
[root@tun-hostx ~]# systemctl restart ipsec

[root@tun-hosta ~]# tail -30 /var/log/pluto.log

[root@tun-hostb ~]# tail -30 /var/log/pluto.log

Check flux réseau

[root@tun-hosta ~]# ping -c 3 tunipsec-grea

[root@tun-hosta ~]# ping -c 3 tunipsec-greb

[root@tun-hostb ~]# ping -c 3 tunipsec-grea
[root@tun-hostb ~]# ping -c 3 tunipsec-greb

L’article MODOP – Installation Tunnel GRE/Ipsec – Host to Host est apparu en premier sur CoffeeBreak Info.

MODOP – Installation Tunnel GRE Host to Host

chris — Sun, 03 Jul 2022 09:03:25 +0000

Installation de la machine tun-greA.house.cpb – RockyLinux

Spécification de la machine tun-greA.house.cpb

Host : tun-greA.house.cpb

IP :192.168.1.54
- VIP : 100.100.0.1/24
OS : RockyLinux
vCPU : 2
DD : 8Go
Ram : 2Go

Mise à jour de la machine

[root@tun-grea ~]# dnf update -y

TimeDate

[root@tun-grea ~]# timedatectl set-timezone "Europe/Paris"
[root@tun-grea ~]# timedatect

Ajouter les hosts (Si pas de DNS)

[root@tun-grea ~]# echo "192.168.1.54 tun-grea tun-grea.house.cpb" >> /etc/hosts
[root@tun-grea ~]# echo "192.168.1.55 tun-greb tun-greb.house.cpb" >> /etc/hosts

[root@tun-grea ~]# echo "100.100.0.1 tunnel-grea tunnel-grea.house.cpb" >> /etc/hosts
[root@tun-grea ~]# echo "100.100.0.2 tunnel-greb tunnel-greb.house.cpb" >> /etc/hosts

Installation epel

[root@vpn-sita ~]# dnf install epel-release

Chargement Module GRE – CLI

[root@tun-grea ~]# lsmod | grep ip_gre
[root@tun-grea ~]# modprobe ip_gre
[root@tun-grea ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-grea ~]# echo ip_gre >> /etc/modules-load.d/tun.conf

[root@tun-grea ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 30 mai 19:39 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création du Tunnel tun0

[root@tun-grea ~]# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 192.168.1.55 local 192.168.1.54
Connexion « tun0 » (80e7cefb-c070-4b9a-8ac0-200edd9090a6) ajoutée avec succès.

Création de l’adresse VIP

[root@tun-grea ~]# nmcli connection modify tun0 ipv4.addresses '100.100.0.1/24'

Configuration IPV4 sur tun0

[root@tun-grea ~]# nmcli connection modify tun0 ipv4.method manual

Configuration static route sur tun0

[root@tun-grea ~]# nmcli connection modify tun0 +ipv4.routes "192.168.1.0/24 100.100.0.2"

Activation de la connexion tun0

[root@tun-grea ~]# nmcli connection up tun0
Connexion activée (chemin D-Bus actif /org/freedesktop/NetworkManager/ActiveConnection/11)

Check de la connexion tun0

[root@tun-grea ~]# nmcli connection

[root@tun-grea ~]# ip a show tun0

Activer le Forward IPv4

[root@tun-grea ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-grea ~]# sysctl -p
net.ipv4.ip_forward = 1

Activer les rules Firewall GRE

[root@tun-grea ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-grea ~]# firewall-cmd --remove-service={dhcpv6-client,cockpit} --permanent
[root@tun-grea ~]# firewall-cmd --reload
[root@tun-grea ~]# iptables -L

Installation de la machine tun-greB.house.cpb – Centos7

Spécification de la machine tun-greB.house.cpb

Host : tun-greB.house.cpb

IP :192.168.1.55
- VIP : 100.100.0.2/24
OS : Centos7
vCPU : 2
DD : 8Go
Ram : 2Go

Mise à jour de la machine

[root@tun-greb ~]# yum -y update

TimeDate

[root@tun-greb ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-greb ~]# echo "192.168.1.54 tun-grea tun-grea.house.cpb" >> /etc/hosts
[root@tun-greb ~]# echo "192.168.1.55 tun-greb tun-greb.house.cpb" >> /etc/hosts

[root@tun-greb ~]# echo "100.100.0.1 tunnel-grea tunnel-grea.house.cpb" >> /etc/hosts
[root@tun-greb ~]# echo "100.100.0.2 tunnel-greb tunnel-greb.house.cpb" >> /etc/hosts

Désactiver l’IPv6 (non nécessaire)

[root@tun-greb ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.all.autoconf = 0" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.default.autoconf = 0" >> /etc/sysctl.conf

[root@tun-greb ~]# sysctl -p
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0

[root@tun-greb ~]# ip a

Chargement Module GRE – CLI

[root@tun-greb ~]# lsmod | grep ip_gre
[root@tun-greb ~]# modprobe ip_gre
[root@tun-grea ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-greb ~]# echo ip_gre >> /etc/modules-load.d/tun.conf
[root@tun-greb ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 18 juin 18:19 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création de l’interface tun0

[root@tun-greb ~]# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 192.168.1.54 local 192.168.1.55
Connexion « tun0 » (163dbe74-79b7-4ba9-90f6-6e0d4fec4271) ajoutée avec succès.

Création de l’adresse VIP

[root@tun-greb ~]# nmcli connection modify tun0 ipv4.addresses '100.100.0.2/24'

Configuration IPV4 sur tun0

[root@tun-greb ~]# nmcli connection modify tun0 ipv4.method manual

Configuration static route sur tun0

[root@tun-greb ~]# nmcli connection modify tun0 +ipv4.routes "192.168.1.0/24 100.100.0.1"

Activation de la connexion tun0

[root@tun-greb ~]# nmcli connection up tun0
Connexion activée (chemin D-Bus actif : /org/freedesktop/NetworkManager/ActiveConnection/6)

Check de la connexion tun0

[root@tun-greb ~]# ip a show tun0

[root@tun-greb ~]# nmcli connection

Activer le Forward IPv4

[root@tun-greb ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-greb ~]# sysctl -p
net.ipv4.ip_forward = 1

Activer les rules Firewall GRE

[root@tun-greb ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-greb ~]# firewall-cmd --remove-service=dhcpv6-client --permanent
[root@tun-greb ~]# firewall-cmd --reload

[root@tun-greb ~]# iptables -L |grep gre
ACCEPT gre -- anywhere anywhere

Check des flux réseaux Public et Tunnel

Serveur tun-grea

[root@tun-grea ~]# ping -c 3 tunnel-grea

[root@tun-grea ~]# ping -c 3 tunnel-greb

Serveur tun-greb

[root@tun-greb ~]# ping -c 3 tunnel-grea

[root@tun-greb ~]# ping -c 3 tunnel-greb

[root@tun-greb ~]# ssh -l root tunnel-grea

L’article MODOP – Installation Tunnel GRE Host to Host est apparu en premier sur CoffeeBreak Info.