Cette documentation est issue d'un document de travail pour l'annonce du premier bloc IP de Rézine. Le logiciel de routage ayant changé, il ne subsiste que quelques notes sur la façon de discuter avec Marvin (le robot du RIPE).
Roadmap
- Amender la base du RIPE pour dire que Grenode route le prefixe de Rézine.
- Modifier les routes annoncées à nos transitaires et à nos peers.
- Prévenir ces gens là
Comment est-ce fait à Grenode ?
L'ensemble des AS de Grenode
$ whois -h whois.ripe.net AS-GRENODE
as-set: AS-GRENODE
descr: Grenode ASNs
members: AS51083
^^^^^^^
On a un seul numéro
tech-c: GND5-RIPE
admin-c: GND5-RIPE
mnt-by: MNT-GRENODE
source: RIPE # Filtered
role: NOC Grenode
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
e-mail: contact_CHEZ_grenode.net
remarks: Email is preferred
admin-c: PLB73-RIPE
admin-c: OLB8-RIPE
tech-c: PLB73-RIPE
tech-c: OLB8-RIPE
nic-hdl: GND5-RIPE
mnt-by: MNT-GRENODE
source: RIPE # Filtered
L'AS de Grenode
$ whois -h whois.ripe.net AS51083
aut-num: AS51083
as-name: Grenode
descr: Grenode
org: ORG-GND1-RIPE
vvvvvvvvvvvvvvvvvvvvv
import: from as29075 action pref=100; accept ANY
export: to as29075 announce AS-GRENODE
import: from as20766 action pref=100; accept ANY
export: to as20766 announce AS-GRENODE
^^^^^^^^^^^^^^^^^^^^^
Qu'est-ce qu'on annonce. Qui nous annonce quoi.
Ici, c'est très simple, car nous n'avons que
deux transitaires (au 07/04/2012)
admin-c: GND5-RIPE
tech-c: GND5-RIPE
mnt-by: RIPE-NCC-END-MNT
mnt-by: MNT-GRENODE
mnt-routes: MNT-GRENODE
source: RIPE # Filtered
organisation: ORG-GND1-RIPE
org-name: Grenode
org-type: OTHER
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
address: France
remarks: email is prefered
tech-c: GND5-RIPE
admin-c: GND5-RIPE
mnt-ref: Gitoyen-NCC
mnt-by: Gitoyen-NCC
mnt-by: MNT-GRENODE
source: RIPE # Filtered
role: NOC Grenode
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
remarks: Email is preferred
admin-c: PLB73-RIPE
admin-c: OLB8-RIPE
tech-c: PLB73-RIPE
tech-c: OLB8-RIPE
nic-hdl: GND5-RIPE
mnt-by: MNT-GRENODE
source: RIPE # Filtered
Contact
On voit que le contact technique et administrif est GND5-RIPE. Donc pour savoir qui a le droit de modifier les enregistrements :
$ whois -h whois.ripe.net GND5-RIPE
role: NOC Grenode
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
e-mail: contact_CHEZ_grenode.net
remarks: Email is preferred
admin-c: PLB73-RIPE
admin-c: OLB8-RIPE
tech-c: PLB73-RIPE
tech-c: OLB8-RIPE
nic-hdl: GND5-RIPE
mnt-by: MNT-GRENODE
source: RIPE # Filtered
person: Philippe Le Brouster
nic-hdl: PLB73-RIPE
remarks: email is prefered
mnt-by: FDN-NCC
mnt-by: GITOYEN-NCC
mnt-by: MNT-GRENODE
source: RIPE # Filtered
person: Olivier Le Brouster
remarks: Email is preferred
nic-hdl: OLB8-RIPE
mnt-by: Gitoyen-NCC
source: RIPE # Filtered
Le prefix IPv4 de Grenode
$ whois -h whois.ripe.net 91.216.110.0
inetnum: 91.216.110.0 - 91.216.110.255
netname: GRENODE
descr: GRENODE
country: FR
org: ORG-GND1-RIPE
admin-c: GND5-RIPE
tech-c: GND5-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: MNT-GRENODE
mnt-lower: RIPE-NCC-END-MNT
mnt-routes: MNT-GRENODE
mnt-domains: MNT-GRENODE
source: RIPE # Filtered
organisation: ORG-GND1-RIPE
org-name: Grenode
org-type: OTHER
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
address: France
e-mail: contact_CHEZ_grenode.net
remarks: email is prefered
tech-c: GND5-RIPE
admin-c: GND5-RIPE
mnt-ref: Gitoyen-NCC
mnt-by: Gitoyen-NCC
mnt-by: MNT-GRENODE
source: RIPE # Filtered
role: NOC Grenode
address: Grenode
address: 22, rue des violettes
address: 38000 Grenoble
e-mail: contact_CHEZ_grenode.net
remarks: Email is preferred
admin-c: PLB73-RIPE
admin-c: OLB8-RIPE
tech-c: PLB73-RIPE
tech-c: OLB8-RIPE
nic-hdl: GND5-RIPE
mnt-by: MNT-GRENODE
source: RIPE # Filtered
% Information related to '91.216.110.0/24AS51083'
route: 91.216.110.0/24
descr: Route to GRENODE
origin: AS51083
mnt-by: MNT-GRENODE
source: RIPE # Filtered
Le préfixe IPv4 de Rézine
$ whois -h whois.ripe.net 193.33.56.0
inetnum: 193.33.56.0 - 193.33.57.255
netname: REZINE-MAIN-IPV4
descr: Rezine
country: FR
org: ORG-REZ1-RIPE
admin-c: REZ5-RIPE
tech-c: REZ5-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-REZINE
mnt-routes: MNT-REZINE
mnt-domains: MNT-REZINE
source: RIPE # Filtered
organisation: ORG-REZ1-RIPE
org-name: Rezine
org-type: OTHER
address: 22, rue des violettes,
address: 38100 Grenoble
e-mail: contact_CHEZ_rezine.org
mnt-ref: MNT-REZINE
mnt-by: MNT-REZINE
source: RIPE # Filtered
role: Rezine NCC
^^^
Network Coordination Center ? vraiment ? :)
address: Rezine
address: 22, rue des violettes
address: 38100 Grenoble
e-mail: contact_CHEZ_rezine.org
remarks: Email is preferred
admin-c: PLB73-RIPE
admin-c: OLB8-RIPE
tech-c: PLB73-RIPE
tech-c: OLB8-RIPE
nic-hdl: REZ5-RIPE
mnt-by: MNT-REZINE
source: RIPE # Filtered
Il semble qu'il nous faut donc ajouter un objet « route » à cet objet « inetnum ».
Discussion avec le RIPE
La documentation officielle : http://www.ripe.net/data-tools/support/documentation/upd-ref-manual
Quelles sont les règles d'autorisation pour la création d'un objet « route » : https://www.ripe.net/data-tools/db/faq/faq-db/what-are-the-authorisation-rules-for-route-object-creation
La même en version graphique :
- https://www.ripe.net/images/routecreationautnumcheck.gif
- https://www.ripe.net/images/routecreationIPspacecheck.gif
Ce qu'on envoie à Marvin
Premier essai
To: auto-dbm_CHEZ_ripe.net
Subject: NEW
route: 193.33.56.0/23
descr: Route to REZINE
origin: AS51083
mnt-by: MNT-GRENODE
mnt-by: MNT-REZINE
source: RIPE # Filtered
C'est un échec. Il nous manque un attribut « changed ». cf https://www.ripe.net/data-tools/db/faq/faq-db/is-the-changed-attribute-updated-automatically
Deuxième essai
To: auto-dbm_CHEZ_ripe.net
Subject: NEW
route: 193.33.56.0/23
descr: Route to REZINE
origin: AS51083
mnt-by: MNT-GRENODE
mnt-by: MNT-REZINE
source: RIPE # Filtered
changed: olb_CHEZ_nebkha.net 20120407
Encore un échec. On dirait qu'il ne veut pas du champ « source ».
Troisième tentative
To: auto-dbm_CHEZ_ripe.net
Subject: NEW
route: 193.33.56.0/23
descr: Route to REZINE
origin: AS51083
mnt-by: MNT-GRENODE
mnt-by: MNT-REZINE
changed: olb_CHEZ_nebkha.net 20120407
Encore un échec… Ah non, il veut un champ « source ». Ah mais, en fait, dans la doc de Grenode il y avait un exemple !
Quatrième tentative
To: auto-dbm_CHEZ_ripe.net
Subject: NEW
route: 193.33.56.0/23
descr: Route to REZINE
origin: AS51083
notify: contact_CHEZ_grenode.net
notify: contact_CHEZ_rezine.org
mnt-by: MNT-GRENODE
mnt-by: MNT-REZINE
changed: olb_CHEZ_nebkha.net 20120407
source: RIPE
Victoire ! \o/
Prévenir nos transitaires et nos peers
Maintenant qu'on annonce un nouveau préfix, c'est une bonne idée de faire signe pour que les gens en face mettent à jour leurs filtres.
Délégation du reverse DNS
Nous profitons de l'occasion pour ajouter les clés GnuPG autorisées à modifier les objets gérés par MNT-REZINE. Note pour plus tard, pour l'export de la clé :
gpg --export-options export-minimal -a --export XXXX |
sed -e 's/^/CERTIF: /'
(Visiblement, le plus simple pour modifier l'objet mntner est d'utiliser le
formulaire de web update, car via whois, on n'a malheureusement pas la
liste des champs auth déjà associés.)
Revenons à notre délégation :
Documentation du RIPE sur comment mettre en place la délégation : https://www.ripe.net/data-tools/dns/reverse-dns/how-to-set-up-reverse-delegation
domain: 56.33.193.in-addr.arpa
descr: Reverse domain for Rezine's main network
admin-c: REZ5-RIPE
tech-c: GND5-RIPE
zone-c: GND5-RIPE
mnt-by: MNT-GRENODE
mnt-lower: MNT-REZINE
changed: olb_CHEZ_nebkha.net 20120407
notify: contact_CHEZ_grenode.net
notify: contact_CHEZ_rezine.org
source: RIPE
nserver: ns3.grenode.net
nserver: ns4.grenode.net
domain: 57.33.193.in-addr.arpa
descr: Reverse domain for Rezine's main network
admin-c: REZ5-RIPE
tech-c: GND5-RIPE
zone-c: GND5-RIPE
mnt-by: MNT-GRENODE
mnt-lower: MNT-REZINE
changed: olb_CHEZ_nebkha.net 20120407
notify: contact_CHEZ_grenode.net
notify: contact_CHEZ_rezine.org
source: RIPE
nserver: ns3.grenode.net
nserver: ns4.grenode.net
À la première tentative d'envoi, ça rate ! Il faut avoir configuré les noms de domaine dans les serveurs DNS primaires et secondaires avant de demander la délégation.
Une fois cela fait, on renvoie notre email à auto-dbm_CHEZ_ripe.net, et hop, on
la droit à une réponse « SUCCESS ». Un petit dig nous le confirme :
$ dig +short 1.56.33.193.in-addr.arpa ptr @8.8.8.8
un.rezine.org.