Installer le PGI OpenERP. Florence GUIET, Quentin ESLAN, Victor LEPINAY et Matéo BREVET

Installer le PGI OpenERP Florence GUIET, Quentin ESLAN, Victor LEPINAY et Matéo BREVET 1

Sommaire I. Le Contexte... 3 A. Cadre du PPE... 3 B. Besoin du client... 4 C. Descriptif du PGI... 4 II. Le réseau... 5 A. Matériel disponible... 5 B. Plan du réseau et adressage... 5 C. Tâches à effectuer / Planning... 7 III. Installation et configuration... 9 A. OpenERP Web en DMZ... 9 B. Installation et configuration du Serveur Application... 13 C. Switch et routeur... 20 D. Installation et configuration de l IPCOP... 25 IV. Recettage... 29 A. Tests... 29 B. Bilan... 33 C. Conclusion... 34 2

I. Le Contexte A. Cadre du PPE L entreprise : Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), luimême déjà union de trois petits laboratoires. En 2009, les deux géants pharmaceutiques ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss Bourdin Europe a établi son siège administratif à Paris. Le système informatique : Sur le site parisien, toutes les fonctions administratives (gestion des ressources humaines, comptabilité, direction, commerciale, etc.) sont présentes. On trouve en outre un service laborecherche, le service juridique et le service communication. Les serveurs assurent les fonctions de base du réseau (DHCP, DNS, Annuaire et gestion centralisée des environnements) et les fonctions de communication (Intranet, Messagerie, Agenda partagé, etc.). On trouve aussi de nombreuses applications métier (base d'information pharmaceutique, serveurs dédiés à la recherche, base de données des produits du laboratoire, base de données des licences d'exploitation pharmaceutique, etc.) et les fonctions plus génériques de toute entreprise (Progiciel de Gestion Intégré avec ses modules RH, GRC, etc.). Un nombre croissant de serveurs est virtualisé. Constitué autour de VLANs, le réseau segmente les services de manière à fluidifier le trafic : N VLAN Service(s) Adressage IP 10 Réseau & Système 192.168.10.0/24 20 Direction / DSI 192.168.20.0/24 30 RH / Compta / Juridique / Secrétariat Administratif 192.168.30.0/24 40 Communication / Rédaction 192.168.40.0/24 50 Développement 192.168.50.0/24 60 Commercial 192.168.60.0/24 70 Labo-Recherche 192.168.70.0/24 100 Accueil 192.168.100.0/24 150 Visiteurs 192.168.150.0/24 200 Démonstration 192.168.200.0/24 300 Serveurs 172.x.x.0/24 400 Sortie 172.31.x.0/30 3

B. Besoin du client Demande : Le PGI OpenERP est actuellement hébergé en interne sur le site de Paris. L entreprise GSB souhaite ouvrir une DMZ comprenant uniquement le serveur Web OpenERP. Le serveur d application et bases de données OpenERP resteraient hébergés sur le LAN. Les échanges entre le serveur Web en DMZ seront gérés par un pare-feu. Pour l accessibilité de l extérieur, la société achète un nom de domaine : gbs1.com Le choix d OS pour le serveurs et le plan d adressage sont à déterminer par l équipe en charge du projet. En informatique, une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Contraintes : Le pare-feu sera géré par IPCOP installé sur une machine de récupération sur laquelle il faudra installer un total de 3 cartes réseaux. Les serveurs du LAN (VLAN 300 GSB) seront implantés dans la ferme de serveurs du réseau du BTS. Le numéro et l adressage du VLAN seront adaptés aux contraintes du réseau BTS. Les tests d accessibilité de l application seront réalisés grâce à une machine cliente en Windows 7 (VLAN 10 GSB), dont l adressage sera adapté selon le réseau BTS. C. Descriptif du PGI OpenERP, désormais Odoo, est à la base un progiciel libre de gestion intégré comprenant de très nombreux modules permettant de simplifier la gestion d entreprise dans son ensemble. Le logiciel est sous licence AGPL et est utilisé par plus de 2 millions d utilisateurs à travers le monde Principales applications logicielles : Gestion de relation clients Gestion des ventes Gestion de production Gestion de projets Gestion des stocks Gestion des ressources humaines Gestion des achats Gestion logistique Gestion de manufactures Gestion comptable D un point de vue de l architecture technique, OpenERP est construit autour de trois composants principaux qui communiquent entre eux par les protocoles XML-RPC et NET- RPC : 1. le serveur OpenERP-server qui stocke ses données dans une base PostgreSQL ; 2. le client OpenERP-client qui s'installe sur le poste de l'utilisateur (abandonné depuis la v7) ; 3. le serveur web OpenERP-web qui permet une utilisation depuis un navigateur. 4

II. Le réseau A. Matériel disponible Postes clients OS : Windows 7 RAM : 4Go DD : 163Go + NAS Carte réseau : Realtek PCIe GBit Machine virtuelle DMZ OS : Kubuntu RAM : 2Go DD : 20Go Carte réseau : Bridged Machine virtuelle Serveur Application OS : Windows 7 DD : 40Go RAM : 2.7Go Carte réseau : virtuelle (VLAN 465) Switch CISCO Catalyst 2000 24 ports 10/100/1000 VLAN 802.1Q (max. 256) Consommation : 90W Redondance d alimentation Jusqu à 48Gbps simultanés QoS Agrégation Spanning Tree Routeur CISCO 2901 2 ports VLAN 802.1Q / Routage Compatible POE Consommation : 4.85W Ferme de serveurs Baie de brassage Iso Windows 7 / Kubuntu Iso IPCOP Câbles RJ45 Jarretières RJ45 5

B. Plan du réseau et adressage Il nous faut concilier le plan d adressage de GSB et celui du BTS. D abord les adresses de passerelle sont volontairement en.253 au lieu du.254 afin d éviter les conflits avec les routeurs BTS. Aussi, le VLAN 300 (Serveur) devient le VLAN 465 d adressage 172.19.65.0/24 et le VLAN 10 (clients) devient le VLAN 11 d adressage 192.168.11.0/24. Notre réseau reliant l IPCOP au routeur est en 172.31.1.0/30. Ce masque ne permet la présence que de deux hôtes, correspondant à notre besoin. La DMZ est sur le réseau 192.168.80.0/24, plage d adresse libre selon le plan de la société GSB. Enfin notre réseau extérieur est en 172.16.2.0/24 pour répondre aux contraintes du réseau du lycée la Colinière. Plan physique (réel, suivant le plan du réseau BTS): Plan logique (suivant le plan du réseau GSB): 6

C. Tâches à effectuer / Planning Nous pouvons désormais établir une liste des tâches à effectuer. Ces tâches ont des antériorités, d autres tâches qui sont nécessaires à l exécution des suivantes. Code Tâches Antériorités A Réception du cahier des charges et lecture \ B Reformulation des informations A C Plan réseau / maquette B D Elaboration projet A, C E Elaboration du planning et répartition des tâches D G Modifications matérielles, création et configuration IPCOP E H Création et configuration Serveur OpenERP Application E I Serveur OpenERP Web E J Switch E K Routeur E L Câblage G, H, I, J, K M Tests L N Documentation M O Préparation diaporama pour présentation N Ainsi nous pouvons voir très facilement quelles sont les tâches que nous devrons réaliser séparément, les tâches G, H, I, J et K. En estimant la durée de ces tâches sur notre expérience personnelle en matière de mise en place d infrastructure, nous avons pu élaborer un planning. La répartition s est effectuée en comparant la tâche concernée et les compétences distinctives de chacun. 7

8

III. Installation et configuration A. OpenERP Web en DMZ 1. Choix de l Operating System Pour notre DMZ comme pour le serveur d Application, nous avons le choix du système d exploitation. En effet le PGI OpenERP est fonctionnel sur les plateformes Windows comme Linux. Notre choix se base sur différents critères, notamment le coût de la solution, la simplicité d utilisation et notre besoin en termes de support et de sécurité. Pour une question de simplicité technique nous avons choisi pour notre DMZ un système d exploitation en noyau Linux de distribution Kubuntu. Cette solution est libre, gratuite et adaptable selon nos besoins. Aussi, la notion de sécurité est surtout important pour notre Serveur d Application, contenant les bases de données. L iso qui nous est fourni par l établissement est doté d une interface graphique, que nous n utiliserons pas. Page de démarrage du serveur Linux 2. Configuration Réseau Adresse IP : 192.168.80.1 Masque : 255.255.255.0 Passerelle : 192.168.80.253 Pour mettre en place cet adressage nous modifions le fichier etc/network/interfaces grâce à l éditeur nano proposé par Linux. Nous activons notre carte réseau au démarrage de la machine par la ligne «auto eth0». 9

3. Téléchargement du service Contenu du fichier interfaces du serveur Web Nous téléchargeons openerp Web sur le site à l adresse http://download.sisalp.net/. Nous installerons la version 6.0.3 mais nous aurons besoin aussi de la version 5.0.14 qui dispose d un répertoire lib dont la 6.0.3 manque. Bien évidemment, le temps du téléchargement nous basculons sur le réseau de l établissement qui peut accéder à internet. Il est aussi nécessaire d indiquer le proxy : export http_proxy = «172.30.137.29:3128» export https_proxy = «172.30.137.29:3128» Nous lançons donc les commandes suivantes pour télécharger, décompresser puis copier le répertoire lib : wget http://download/sisalp.net/ openerp-web-6.0.3.tar.gz wget http://download/sisalp.net/openerp-web-5.0.14.tar.gz tar xzvf openerp-web-6.0.3.tar.gz -C /home/delmp/documents tar xzvf openerp-web-5.0.14.tar.gz -C /home/delmp/documents cp /home/delmp/documents/openerp-web-5.0.14/lib/ /home/delmp/documents/opener-web-6.0.3/ 4. Installation des packages Nous devons ensuite installer les librairies Python suivantes. En effet OpenERP Web utilise ces packages pour fonctionner: 1. Python >= 2.4 2. CherryPy >= 3.1.2 3. Mako >= 0.2.4 4. Babel >= 0.9.4 5. FormEncode >= 1.2.2 6. simplejson >= 2.0.9 7. pyparsing >= 1.5.0 $ sudo apt-get install python python-dev build-essential $ sudo apt-get install python-setuptools Après l installation il est nécessaire d indiquer les dépendances entre chaque module, pour garantir le fonctionnement du service. Pour cela nous utilisons un script populate.sh : 10

cd /path/to/openerp-web-6.0.3/lib./populate.sh Il ne nous reste qu à installer le service grâce au setup fourni dans le dossier d installation : sudo python setup.py install 5. Configuration du service Contrairement à une installation All-in-one, la mise en place d une DMZ implique que le Serveur OpenERP Application n est pas sur la même machine. Il est donc nécessaire de modifier les fichiers de configuration d OpenERP Web pour permettre la communication. On modifie donc le fichier «openerp-web.cfg»situé à l endroit où nous avons décompressé le dossier d installation : «/home/delmp/documents/openerp-web-6.0.3/doc/ Extrait du fichier openerp-web.cfg Voici la liste des paramètres à modifier pour permettre le fonctionnement de notre service : 11

server.socket.host = 192.168.80.1 server.socket.port = 8080 log.access_file = /var/log/openerp-web/access.log log.error_file= /var/log/opener-web/error.log openerp.server.host = 172.19.65.1 openerp.server.port = 8070 #indique l adresse du serveur web #indique le port d écoute du serveur web #active les logs access #active les logs d erreur #indique l adresse du serveur d application #indique le port du serveur d application Ces paramètres sont en accord avec notre plan de réseau défini plus haut. 6. Lancement du service et automatisation de la tâche Afin de lancer le service en ligne de commande, il suffit d entrer la commande suivante : openerp-web En revanche, comme tel, le service ne prend pas en compte les modifications de configuration que nous avons apporté précédemment. Pour cela, et ce à chaque lancement, nous devons en plus indiquer le chemin du fichier de configuration. openerp-web -c /home/delmp/documents/openerp-web-6.0.3/doc/openerp-web.cfg Pour simplifier notre travail, nous avons souhaité mettre en place une activation automatique du service au démarrage de notre serveur : Pour cela nous allons chercher un script fourni par openerp-web, situé dans son répertoire d installation et allons le placer dans le répertoire /etc/init.d/ Cp /home/delmp/documents/openerp-web-6.0.3/scripts/openerp-web /etc/init.d Bien sûr, comme pour le démarrage manuel, son fichier de configuration doit être accessible. On le place donc dans le répertoire etc. Cp /home/delmp/documents/openerp-web-6.0.3/doc/openerp-web.conf /etc/ Il ne nous reste qu à faire un lien vers le script dans init.d afin que notre service soit lance au démarrage: update-rc.d openerp-web defaults 12

B. Installation et configuration du Serveur Application 1. Choix de l OS Nous avons choisi d héberger notre Serveur d Application sur une machine Windows Server 2008 R2. Cela nous permet dans un premier temps d aborder une technologie différente de notre premier serveur en Kubuntu dans une optique d amélioration des compétences. D un point de vue du contexte, l utilisation d un OS Windows sur cette partie de l architecture se justifie par la nécessité de protection des données sensibles et du support que Windows propose, en opposition à une aide communautaire de Linux. 2. Configuration réseau Proxy : 172.30.137.29 :3128 Configuration internet : 13

3. Installation et configuration OpenERP Pour installer le serveur applicatif et la base de données, lors de l installation il est nécessaire de ne cocher que ces éléments : (Le mieux est encore d installer le client Web pour la restauration de la base de données afin de savoir si elle est bien restaurée. La méthode pour la restauration de la base de données se trouve plus bas.) Il faut installer OpenERP 6.0.3 avec les configurations suivantes : 14

Ci-dessus nous renseignons l adresse de l hôte où se situera le serveur PostgreSQL qui accueillera la base de données. Etant donné que le serveur d application OpenERP et la base de données se situent sur le même serveur physique, nous renseignons ici «localhost». Il faut ensuite définir le port sur lequel communiquerons le serveur d application et le serveur PostgreSQL, par défaut le port est 5432. Ensuite il faut établir un utilisateur et un mot de passe qui servira à se connecter à la base de données dans le logiciel du serveur PostgreSQL : PgAdminIII. L étape suivant consiste à configurer des fichiers pour faire en sorte que le serveur Web OpenERP qui se situe dans la DMZ puisse accéder au serveur d application. Il faut pour cela configurer plusieurs fichiers : FICHIERS POSTGRESQL pg-hba : Ce fichier de configuration sert à définir quels sont les réseaux qui ont le droit de se connecter à la base de données. Il faut rajouter la ligne permettant au serveur web d accéder à la base de données. #IPv4 local connections : host all all 192.168.80.0/24 md5 o postgresql.conf : Ce fichier renseigne les adresses que le serveur de base de données écoute. Notre proxy jouant déjà un rôle de filtrage, nous pouvons ici écouter toutes les adresses. # - Connection Settings - listen_addresses = «*»! ATTENTION! IL NE FAUT PAS OUBLIER DE DECOMMENTER LA LIGNE POUR L ACTIVER. 15

FICHIER OPENERP-SERVEUR.CONF Cette étape est cruciale. Il s agit de renseigner les adresses et les ports correspondant pour que le serveur web puisse communiquer avec le serveur OpenErp d application qui lui interrogera la base de données. Il faut donc configurer le fichier de cette manière : 16

Dans ce fichier, les champs importants à remplir sont les suivants : Xmlrpcs & xmlrpc Permet l échange, l exécution et la transmission des données entre le serveur d application et le serveur PostgreSQL. Il faut donc renseigner l interface du serveur d application avec laquelle la base de données communiquera. Se situant sur le même serveur physique, il faut renseigner l adresse de celui-ci. Db_user Renseigne l identifiant de l utilisateur de la base de données Db_password Renseigne le mot de passe de l utilisateur de la base de données Db_host L adresse de l hôte hébergeant la base de données Netrpc_interface De même que pour les protocoles XML-RPC il faut donner l adresse du serveur physique. Db_port Le port de la base de données, qui est celui rentré lors de l installation. Pg_path Spécifie le chemin de l exécutable du logiciel PostgreSQL Le serveur d application OpenERP est à présent configuré. On peut maintenant passer à l étape suivante : la restauration de la base de données. 17

4. Restauration de la base de données Lors de l installation d OpenERP, un SGBDR (Système de Gestion de Base de Données Relationnelles) est installé, il s appelle PostgreSQL. Il permet de gérer les bases de données. A l intérieur de ce SGBDR se trouve PgAdmin III. Ce logiciel est un outil d administration des bases de données. Lors du lancement du logiciel, il faut se connecter au serveur avec le mot de passe renseigné lors de l installation d OpenERP. On se connecte donc avec le mot de passe : openpgpwd. Le mieux est encore d enregistrer ce mot de passe afin de ne pas l oublier à l avenir. Il faut ensuit créer une base de données, dans ce cas elle s appellera «Specibike». Une fois la base de données créée, celle-ci est totalement vide. Il faut donc la restaurer à l aide d un fichier.backup permettant de restaurer une base de données déjà existante. Il faut pour cela cliquer droit sur notre de base de données puis «restaurer», on choisit ensuite notre fichier.backup. Une fois la base de données restauré, il faut se rendre sur le navigateur web de notre poste client et entrer l adresse de notre serveur applicatif dans la barre d adresse. Finalité Nous devons nous trouver devant cet écran si tout notre projet est fonctionnel : 18

Nous remarquons que la base de données «Specibike» est bien présente. Si ce n est pas le cas, il faut revoir l étape d avant concernant la restauration de base de données. Il faut pour se connecter renseigner l identifiant et le mot de passe, dans notre cas il s agit de «openpg» pour l identifiant et «openpgpwd» pour le mot de passe. Une fois connecté, nous devons nous trouver sur cet écran d accueil. Si c est le cas, notre serveur OpenERP est fonctionnel. 19

C. Switch et routeur 1. Configurer avec une console Afin de pouvoir administrer nos switchs et nos routeurs, nous avons choisi de les configurer par le biais d une console. Pour cela, il nous faut un câble console, relié directement à l équipement par son port console, à une machine cliente. Une fois l installation du pilote effectuée, nous devons nous rendre dans l outil de gestion des périphériques afin de repérer le port COM qui est utilisé. Il nous faut ensuite un utilitaire. Il en existe beaucoup, parmi lesquels PuTTy ou KiTTy. Quel que soit l utilitaire choisi, il faudra le passer en mode Serial et indiquer le port COM repéré plus tôt. Etape 1 : Indiquer que l on est en mode «Serial» Etape 2 : Indiquer le port COM renseigné dans le gestionnaire de périphériques à l onglet «Ports». Etape 3 : Valider 20

2. Le Switch Vérification Il faut commencer par vérifier si le switch possède des VLANs. Switch# show vlan Si, c est le cas, il faut les supprimer. Pour cela entrer la commande : Switch (config)# no vlan vlan-id Création des VLAN Après, que toutes les vérifications et suppressions ont été effectuées, nous pouvons commencer. La première étape est la création de nos VLANs, pour cela vous devez utiliser la commande : Switch (config)# vlan 11 Switch (config)# vlan 485 Si on désire les nommer, il faut indiquer la ligne suivante juste après la création du VLAN : Switch (config-vlan) name PC Switch (config-vlan) name Server Quand tous les VLANs ont été créé, nous pouvons les vérifiez avec la première commande: Switch # show vlan Configurer les interfaces La liaison entre le poste Client et le switch doit être en mode «access» avec l attribution de son VLAN : Switch (config)# interface Fa0/3 Switch (config-if)# switchport mode access Switch (config-if)# switchport access vlan 11 La liaison entre notre Serveur d Application (situé dans la ferme de serveurs) et le reste du réseau doit se faire par une liaison Trunk. En effet on doit laisser passer son VLAN natif (465) mais aussi celui qui transporte la totalité des VLANs qui est géré par l établissement (402). Switch (config)# interface Fa0/5 Switch (config-if)# switchport mode trunk Switch (config-if)# switchport trunk allowed vlan 465,402 Enfin, le câble reliant le switch au routeur doit permettre de transporter les VLAN 465 (Serveur) et 11 (Client). Ainsi on le passe en mode Trunk. Switch (config)# interface Fa0/7 Switch (config-if)# switchport mode trunk Switch (config-if)# switchport trunk allowed vlan 465,11 21

Le proxy du lycée se situe sur le VLAN 402. Donc, afin d avoir une sortie sur internet nous avons besoin de configurer un port supplémentaire sur le switch : Switch (config)# interface Fa0/9 Switch (config-if)# switchport mode trunk Switch (config-if)# switchport trunk allowed vlan 402 La configuration du switch étant achevée, nous pouvons maintenant passer à la configuration du routeur. Switch Cisco 24 ports Fast Ethernet 22

3. Le Routeur Vérification Pour commencer, comme avec le switch vous devez vérifier si le routeur connait des tables ou qu il possède des sous-interfaces permettant d accueillir des VLANs. Pour regarder, si le routeur possède des sous-interfaces, vous devez regarder les interfaces avec : Routeur # show interface Ou Routeur# show interface g0/0 Vous permettant de regarder les interfaces une par une. Dans le cas, où il existe des sous-interfaces, vous devez les supprimez avec : Routeur# no interface interface_id subinterface_id (ex : no interface g0/0.10) Pour savoir si le routeur contient déjà une table de routage, vous faites : Routeur# show ip route Dans le cas, où il existerait déjà une table de routage, faites : Routeur# no ip route DEST. MASQUE GATEWAY (ex : no ip route 192.168.11.0 255.255.255.0) Configuration Pour l interface, qui est relié au switch, nous devons créer une sous-interface par VLAN circulant : Routeur (config)# interface g0/0.11 Routeur (config-subif)# encapsulation dot1q 11 Routeur (config-subif)# ip address 192.168.11.253 255.255.255.0 Routeur (config)# interface g0/0.465 Routeur (config-subif)# encapsulation dot1q 465 Routeur (config-subif)# ip address 172.19.65.253 255.255.255.0 Pour ce qui concerne la seconde interface reliée à l IPCOP, nous devons simplement renseigner l adresse IP et le masque prévu dans le plan d adressage : Routeur (config)# interface g0/1 Routeur (config-if)# ip address 172.31.1.2 255.255.255.252 Table de routage A présent que toutes les configurations d interface du switch et du routeur sont effectuées, nous allons renseigner la table de routage. Nous devons prendre le plan de notre réseau et regarder quelles sont les routes que le routeur doit connaître? On vérifie tout d abord les routes que connait la table et si besoin, on rajoute celles qui manquent : Routeur (config)# ip route DEST MASK GW (ex : ip route 0.0.0.0 0.0.0.0 172.31.1.1) 23

Conclusion Enfin, quand tout est fini. Vous devez faire une sauvegarde de la configuration pour cela : Routeur# copy running-config startup-config Switch# copy running-config startup-config 24

D. Installation et configuration de l IPCOP 1. Introduction D après le site www.ipcop.org, IPCop Firewall Distribution est une distribution Linux, qui est complètement dédié à la sécurité d un réseau. Il joue un rôle intermédiaire entre un réseau non sécurisé comme Internet et un réseau que l on veut sécuriser comme notre réseau local. La distribution de pare-feu basée sur Linux est stable, sécurisée et hautement configurable. Une possibilité de segmenter notre réseau en un réseau VERT, sûr, protégé de l Internet ; et réseau ORANGE, pour une DMZ qui est partie protégé d Internet rassemblant nos serveurs publiquement accessibles ; un réseau ROUGE, pour l accès à Internet, qui n est pas protégé. L administration depuis un navigateur web permet de créer des autorisations d accès d un réseau à un autre, ainsi qu un transfert des ports. Nous verrons dans cette documentation comment j ai installé et configuré l IPCop, pour notre contexte. 2. Installation Après insertion du disque d installation nous choisissons de booter le CD au démarrage. Nous choisissons d abord la langue, puis le type de clavier «fr-latin9», le fuseau horaire «Europe/Paris», et l heure et la date. Ensuite, nous allons installer l IPCop, puis nous faisons suivant jusqu au nom d hôte, où nous devons donner un nom à l IPCop. Dans notre cas, il se nomme «ipcop-gp1». Il nous est ensuite demandé de renseigner un nom de domaine. Etant donné qu aucun domaine n est mis en place, nous renseignons le domaine localdomain-gp1. Ensuite, il nous est demandé comment nous voulons configurer l interface rouge pour l IPCop, nous choisissons «Statique». Nous obtenons ensuite une liste avec les trois cartes réseaux que possède l IPCop. Nous avons donc attribué à la première carte, l interface verte, puis à la seconde carte, l interface orange et enfin à la dernière carte, l interface rouge. Après ça nous attribuons l adresse IP à chaque interface. Voici, comment ont été configurées les trois cartes réseaux. Carte réseau pour l interface verte : Nvidia Nforce Driver (eth0) Adresse IP : 172.31.1.2 Masque : 255.255.255.252 Carte réseau pour l interface orange : RealTek-8139 Fast Ethernet (eth1) Adresse IP : 192.168.80.253 Masque : 255.255.255.0 Carte réseau pour l interface rouge : RealTek-8169 Gigabit Ethernet (eth2) Adresse IP : 172.16.2.1 Masque : 255.255.255.0 25

Nous arrivons donc sur la page de définition des mots de passe pour les différents utilisateurs de l IPCOP. Il nous est demandé aussi de définir, la clé de cryptage des sauvegardes pour plus de sécurité., Login Root Admin Cryptage Mot de passe Password1 Password2 Password3 L installation est désormais terminée. Après un redémarrage nous procédons donc à la configuration du service. 3. Configuration de l IPCOP Tout d abord, une fois que l IPCop a redémarré, nous pouvons rentrer nos identifiants, puis nous lançons la commande setup, qui nous permet de revenir sur les précédentes configurations. Nous choisissons le menu Réseau, puis Configuration du DNS et de la passerelle et nous le configurons comme ci-dessous. La passerelle par défaut de l IPCOP est la sortie vers internet, pour nous, le proxy du réseau BTS 26

Puis, nous allons créer un fichier dans le dossier etc/rc.d/, que nous appelons rc.local. Dans ce fichier nous allons renseigner les nouvelles routes que doit connaître l IPCop. Soit pour le créer nano /etc/rc.d/rc.local, puis une fois la zone ouverte, nous indiquons les configurations ci-dessous : A chaque démarrage, la machine Linux lance le programme Init pour mettre en place les configurations au démarrage et lancer certains scripts (lancement de programme, configuration de l horloge ) Il faut ensuite redémarrer l IPCop avec la commande reboot et vérifier si les routes que nous avons choisies ont bien été prises en compte. Pour celà, nous faisons un route n qui nous donne : 27

A partir de cette étape nous pouvons désormais configurer IPCOP grâce à une interface web facile d utilisation, accessible en renseignant l adresse http://172.31.1.1:81. Nous nous authentifions avec le compte admin. Une fois, que nous sommes connectés, nous nous rendons dans l onglet Pare-Feu puis dans Transfert des ports pour paramétrer la redirection de port. Ici, le protocole ne change pas, ainsi que la source IP, le port source est le 80, l adresse de destination est 172.16.2.1 et le port destination est 80. Une fois la redirection de port établi, il ne reste plus que d ajouter une règle pour que le LAN puisse communiquer avec la DMZ, pour cela, nous sommes allés dans l onglet Pare-Feu, puis dans Accès à la DMZ. Nous avons donc ajouté une règle, pour cela, le protocole utilisé est le TCP, le réseau d origine est Orange, l adresse IP source est 192.168.80.1, le réseau de destination est Vert et l adresse de destination est 172.19.65.1 et le port de destination est 5432 28

IV. Recettage A. Tests La totalité des éléments de notre réseau a été configuré, que ce soit les machines serveurs (DMZ avec OpenERP Web, le serveur d Application avec OpenERP App et PostgreSQL, ainsi que notre pare-feu IPCOP et les éléménts d interconnexion. Nous devons maintenant tester notre réseau et le bon fonctionnement de nos services. IPCOP : Ping vers la DMZ : Ping vers le routeur : Ping vers le client : Ping vers le serveur : 29

DMZ : Ping vers l IPCOP (interface DMZ) : Ping vers l IPCOP (interface LAN) : Serveur Applicatif : Ping vers le Routeur (interface LAN) : Ping vers l IPCOP (interface LAN) : Ping vers l IPCOP (interface extérieure) : Ping vers la DMZ : 30

Client Ping vers le Routeur (interface LAN) : Ping vers l IPCOP (interface LAN) : Ping vers l IPCOP (interface extérieure) : Ping vers la DMZ : Accès à la page web du client + test de connexion: 31

Rapport de test : Les tests de connectivité ont été réalisés et la totalité des ping sont réussis. Ainsi la totalité des équipements de notre réseau parviennent à communiquer ensemble. Aussi, nous avons testé l accès d un client externe (internet) au PGI. L adresse externe de l IPCOP renvoie bien vers la DMZ en port 8080 et cela de façon invisible pour l utilisateur. En interne, un client est aussi capable d interroger la DMZ en renseignant directement son adresse avec le port 8080. La connexion au compte utilisateur est aussi réussie, et les catégories contiennent les données de la base de données. La connexion à PosgreSQL est aussi fonctionnelle. 32

B. Bilan Planning final et justification des écarts : 33

Au regard du planning prévu à l origine du projet, on peut constater des écarts dans la réalisation des tâches. Ces écarts ont diverses origines : Notre inexpérience en matière de conduite de projet a conduit à un trop grand optimisme quant au temps de réalisation de certaines tâches, par exemple la connexion avec le serveur Applicatif situé dans la ferme de serveur. Des erreurs de configuration ont été faites. Le groupe a passé un nombre d heures important à tâcher de résoudre le problème de configuration de la DMZ, qui n était q une erreur de frappe dans la ligne de commande. Un des membres du groupe en charge du serveur applicatif (Victor Lepinay) a dû quitter le groupe en cours de projet, ce qui a eu un impact important sur le planning, notamment sur la rédaction de la documentation. De plus le reste du groupe a du se charger de la configuration restante. C. Conclusion L architecture du PGI OpenERP souhaitée par GSB a été mise en place selon les contraintes imposées à l origine : Nous avons un serveur OpenERP Web en DMZ accessible de l intérieur comme de l extérieur, communiquant avec un serveur d Application en local qui lui-même interroge sa base de données PosgreSQL sur la même machine. Les entrées et sorties sur le réseau ainsi que les accès à la DMZ sont régies par un IPCOP a double fonction, routeur et pare-feu. Pour aller plus loin, il sera possible pour gsb d ajouter l adresse de DMZ à son serveur DNS, afin de permettre l accès au PGI grâce au nom gsbx.com. La société peut mettre en place une continuité de service sur son infrastructure PGI, notamment au niveau de la DMZ en doublant le serveur et les connectiques vers l IPCOP. 34