Le L∞p's Wiki - User contributions [en]

Accès

2015-08-31T23:50:40Z

Kankan: Fermeture de la Caserne

Le Loop est actuellement en mode "Ou pas" (et en plein déménagement). Il est donc actuellement fermé, et n'a pas (encore) de date de réouverture prévue.

== Adresse ==

[[Image:Portail caserne.png|right|thumb|C'est le grand portail vert (porte de droite).]]

20 rue de Reuilly, 75012 Paris.

Pour se faire ouvrir, il faut appeler un [[:Category:Gardien de la porte|Gardien de la porte]].

Le Loop est dans le bâtiment du [http://jardindalice.wordpress.com/ Jardin d'Alice].

== En métro ou RER ==

* Par la ligne 1 : arrêt Reuilly-Diderot;
* Par la ligne 2 : arrêt Nation et descendre le boulevard Diderot;
* Par la ligne 6 : arrêt Nation et descendre le boulevard Diderot;
* Par la ligne 8 : arrêt Reuilly-Diderot ou Faidherbe-Chaligny;
* Par la ligne A du RER : arrêt Nation et descendre le boulevard Diderot;

== En bus ==

* Le [http://www.ratp.fr/informer/pdf/orienter/f_horaire.php?nompdf=46&loc=bus_paris 46] : Arrêt Reuilly-Diderot.
* Le [http://www.ratp.fr/informer/pdf/orienter/f_horaire.php?nompdf=57&loc=bus_paris 57] : Arrêt Reuilly-Diderot.
* Le [http://www.ratp.fr/informer/pdf/orienter/f_horaire.php?nompdf=86&loc=bus_paris 86] : Arrêt Faidherbe-Chaligny.
* Le [http://www.ratp.fr/informer/pdf/orienter/f_horaire.php?nompdf=n11&loc=noctilien N11] : Arrêt Reuilly-Diderot.

== Stations de Vélib ==

* Station [http://v.mat.cc/s/12/012.html n°12012 : 71 boulevard Diderot.]
* Station [http://v.mat.cc/s/12/107.html n°12107 : 146 boulevard Diderot.]
* Station [http://v.mat.cc/s/11/008.html n°11008 : 223 rue du Faubourg Saint-Antoine.]
* Station [http://v.mat.cc/s/12/005.html n°11107 : 11 rue Faidherbe.]

== Et sur une carte ? ==

Cliquez [http://www.openstreetmap.org/#map=17/48.84830/2.38535&layers=N ici] !

== Présences régulières ==

Il semble que le Mercredi soit, de fait, le soir du [[Rencontre hebdomadaire|rendez-vous social hebdomadaire]] (maintenant ponctué par les [[MiniTalks|mini-talks]]) ; le moment de choix pour rencontrer les acteurs du hackerspace.

== FAQ ==

=== Faut-il prévenir avant de passer ? ===

Lorsqu'un rendez-vous est prévu (la [[rencontre hebdomadaire]] le mercredi, un [[:Category:Workshops|workshop]] planifié, etc.), ce n'est pas indispensable, même si ça fait toujours plaisir de savoir qui on aura la chance d'avoir parmi nous. Le reste du temps, il s'agit plutôt de savoir si on trouvera du monde au Loop si on veut y passer.

== Autour du Loop ==

Pour connaître les différents commerces, points de restauration et divers structures du voisinage, allez sur cette [[Autour_de_la_Caserne|page]].
[[Category:Le Loop]]

Howto:Administration systeme

2015-06-27T17:55:30Z

Kankan: correction typos

{{Brouillon}}
Le Loop déploie [[:Category:Infrastructure|quelques services]], qu'il faut bien administrer collectivement. Cette page tente de recenser quelques pratiques établies avec le temps, forgées sur l'enclume du bon sens et façonnées par l’expérience. S'il manque des choses (et il en manque pas mal), c'est principalement sur [[USer:ToM|ToM]] qu'il faut taper.

== En vrac ==

; Il faut avoir une clé GPG et une clé SSH pour participer : GPG sert à chiffrer les trousseaux de mots de passe, la clé SSH sert à se connecter aux machines.
; On utilise <code>sudo</code>, et jamais <code>su -</code> : Pour savoir ce qui a été fait, par qui et quand, c'est plus pratique de faire un <code>fgrep sudo /var/log/auth</code> que de devoir parser {{fichier|/root/.bash_history}}.
; On n'utilise jamais le port 22 pour le SSH : Il ne s'agit pas de sécurité par l’obscurité, c'est juste que les scanbots chinois font trop de bruit. Par défaut, on utilise le port 222.
; On utilise un [[proxy]] pour les gestionnaires de paquets : Ça rend les mises à jour plus rapides.

== LeLoopFHS ==

Quelques fichiers et dossiers se retrouvent sur toutes nos machines.

=== Changelog ===

Habituellement dans {{fichier|/root/Changelog}}, mais on peut aussi essayer les vieux {{fichier|/etc/Changelog}} ou chercher dans {{fichier|/etc/leloop/}}.

On y décrit chacune des opérations effectuées. Il ne s'agit pas de recopier la doc, mais d'indiquer quand, qui, quoi et à quel endroit. L’idée est qu'en cas de question, on devrait pouvoir trouver l'essentiel d'un simple <code>grep KEYWORD Changelog</code>.

Un exemple :

2013-02-11 ToM <tom@leloop.org>

* www: sous-domaine dedie pour SpaceAPI
(/etc/apache2/sites-available/spaceapi.leloop.org,
/etc/apache2/sites-available/leloop.org,
/var/log/apache2/spaceapi.leloop.org, /var/www/spaceapi.leloop.org)
* logrotate: fix path for nginx, +weekly +dateext
(/etc/logrotate.d/nginx)

{{voir|[[Howto:Remplir le Changelog]] pour les détails et la configuration de son éditeur.}}

=== Services ===

On pourrait mettre {{fichier|/etc/services}} à jour, ou bien renseigner {{fichier|/root/Services}} :

TFTP
====
init: /etc/init.d/atftpd
conf: /etc/default/atftpd
fichiers: /srv/ftfp

À noter qu'il ne s'agit que d'un résumé de ce que le fichier {{fichier|Changelog}} nous dit déjà.

=== Autres ===

Des reliquats du bordel passé...

* {{fichier|/home/leloop}}
* {{fichier|/home/common}}

== Accès aux machines ==

=== Administrateurs ===

Partout où c'est possible, on utilise des comptes nominatifs et on s'authentifie via des clés SSH (et on met les comptes des admins globaux dans Puppet).

Pour les [[Switching|trucs]] qui nécéssitent un mot de passe partagé, on met le nom d'utiliateur et le mode de passe dans le [[password-store]].

=== Comptes publics ===

Pour tout compte "public" dont le mot de passe est connu/partagé, il convient de désactiver la connexion SSH par mot de passe, et/ou de désactiver la connexion à distance. On ne veut pas filer de shell gratos à la planète entière.

Par exemple, dans {{fichier|/etc/ssh/sshd_config}} :
Match User leloop
PasswordAuthentication no

Quand on attrape quelqu'un qui laisse un compte public <code>leloop/leloop</code> dans le groupe <code>sudo</code>, on le fouette devant tout le monde [[Rencontre hebdomadaire|le mercredi]]. Cul nu.

== Configuration centralisée ==

Vu le nombre de machines virtuelles actuellement présentes au Loop, [https://docs.puppetlabs.com/puppet/ Puppet] est utilisé pour déployer la configuration de base de toutes les machines (utilisation du miroir/proxy local pour les machines, accès des administrateurs, paquets devant être présent sur toutes les machines, etc).

Le code Puppet est disponible dans le repository [https://git.leloop.org/leloopsysadmin/leloopinfra LeLoopInfra] du [[Git|Gitlab]].

Le principe est de ne mettre dans la gestion de configuration centralisée que ce qui est parfaitement identique, et de permettre des configuration locales spécifiques à certaines machines en plus (via des fichiers .conf.d locaux).

== Notifications ==

Pour que toutes les équipes d'admin soient au courant des opérations effectuées, plusieurs systèmes sont en phase d’étude ou de test (voire d'abandon).

* Le Trac n'a pas eu le succès attendu, mais ça pourrait changer avec la récente multiplication des sudoers.
* Certains bots tels que [[lapool]] donnent en temps réel des infos sur ce qui se passe.
* Une combinaison de diff quotidien du Changelog ({{deb|metche}}), de rapports de {{deb|fcheck}} et autres {{deb|logwatch}}, envoyée par mail, est en cours de fignolage. Pour l'instant ça fait quand même pas mal de mails (mais on se soigne).

À noter que sur certains systèmes, {{deb|metche}} remplit {{fichier|/var/lib/metche}} assez rapidement<ref>https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=360371 : bugreport de {{deb|metche}} sur le DBTS.</ref><ref>https://labs.riseup.net/code/issues/2977 : bugreport de https://trac.transitionnetwork.org/trac/wiki/MetcheCleanScript sur le BTS upstream.</ref>. À défaut d'un bugfix ou d'une solution plus élégante, un script de nettoyage<ref>https://trac.transitionnetwork.org/trac/wiki/MetcheCleanScript : script de nettoyage de {{deb|metche}}</ref> pourrait être mis en place.

== Voir aussi ==

* Le brouillon de guide [[:Category:Kollectiv_admin|Kollectiv' Admin]]

== Références ==

<references />

[[Category:Infrastructure]]
[[Category:Documentation]]

Howto:Administration systeme

2015-06-27T17:53:33Z

Kankan: Mise à jour des pratiques actuelles, à compléter

{{Brouillon}}
Le Loop déploie [[:Category:Infrastructure|quelques services]], qu'il faut bien administrer collectivement. Cette page tente de recenser quelques pratiques établies avec le temps, forgées sur l'enclume du bon sens et façonnées par l’expérience. S'il manque des choses (et il en manque pas mal), c'est principalement sur [[USer:ToM|ToM]] qu'il faut taper.

== En vrac ==

; Il faut avoir une clé GPG et une clé SSH pour participer : GPG sert à chiffrer les trousseaux de mots de passe, la clé SSH sert à se connecter aux machines.
; On utilise <code>sudo</code>, et jamais <code>su -</code> : Pour savoir ce qui a été fait, par qui et quand, c'est plus pratique de faire un <code>fgrep sudo /var/log/auth</code> que de devoir parser {{fichier|/root/.bash_history}}.
; On n'utilise jamais le port 22 pour le SSH : Il ne s'agit pas de sécurité par l’obscurité, c'est juste que les scanbots chinois font trop de bruit. Par défaut, on utilise le port 222.
; On utilise un [[proxy]] pour les gestionnaires de paquets : Ça rend les mises à jour plus rapides.

== LeLoopFHS ==

Quelques fichiers et dossiers se retrouvent sur toutes nos machines.

=== Changelog ===

Habituellement dans {{fichier|/root/Changelog}}, mais on peut aussi essayer les vieux {{fichier|/etc/Changelog}} ou chercher dans {{fichier|/etc/leloop/}}.

On y décrit chacune des opérations effectuées. Il ne s'agit pas de recopier la doc, mais d'indiquer quand, qui, quoi et à quel endroit. L’idée est qu'en cas de question, on devrait pouvoir trouver l'essentiel d'un simple <code>grep KEYWORD Changelog</code>.

Un exemple :

2013-02-11 ToM <tom@leloop.org>

* www: sous-domaine dedie pour SpaceAPI
(/etc/apache2/sites-available/spaceapi.leloop.org,
/etc/apache2/sites-available/leloop.org,
/var/log/apache2/spaceapi.leloop.org, /var/www/spaceapi.leloop.org)
* logrotate: fix path for nginx, +weekly +dateext
(/etc/logrotate.d/nginx)

{{voir|[[Howto:Remplir le Changelog]] pour les détails et la configuration de son éditeur.}}

=== Services ===

On pourrait mettre {{fichier|/etc/services}} à jour, ou bien renseigner {{fichier|/root/Services}} :

TFTP
====
init: /etc/init.d/atftpd
conf: /etc/default/atftpd
fichiers: /srv/ftfp

À noter qu'il ne s'agit que d'un résumé de ce que le fichier {{fichier|Changelog}} nous dit déjà.

=== Autres ===

Des reliquats du bordel passé...

* {{fichier|/home/leloop}}
* {{fichier|/home/common}}

== Accès aux machines ==

=== Administrateurs ===

Partout où c'est possible, on utilise des comptes nominatifs et on s'authentifie via des clés SSH (et on met les comptes des admins globaux dans Puppet).

Pour les [[Switching|trucs]] qui nécéssitent un mot de passe partagé, on met le nom d'utiliateur et le mode de passe dans le [[password-store]].

=== Comptes publics ===

Pour tout compte "public" dont le mot de passe est connu/partagé, il convient de désactiver la connexion SSH par mot de passe, et/ou de désactiver la connexion à distance. On ne veut pas filer de shell gratos à la planète entière.

Par exemple, dans {{fichier|/etc/ssh/sshd_config}} :
Match User leloop
PasswordAuthentication no

Quand on attrape quelqu'un qui laisse un compte public <code>leloop/leloop</code> dans le groupe <code>sudo</code>, on le fouette devant tout le monde [[Rencontre hebdomadaire|le mercredi]]. Cul nu.

== Configuration centralisée ==

Vu le nombre de machines virtuelles actuellement présentes au Loop, [Puppet est utilisé pour déployer la configuration de base de toutes les machines (utilisation du miroir/proxy local pour les machines, accès des administrateurs, pquets devant être présent sur toutes les machines, etc).

Le code Puppet est disponible dans le repository [https://git.leloop.org/leloopsysadmin/leloopinfra LeLoopInfra] du [[Git|Gitlab]].

Le principe est de ne mettre dans la gestion de configuration centralisée que ce qui est parfaitement identique, et de permettre des configuration locales spécifiques à certaines machines en plus (via des fichiers .conf.d locaux).

== Notifications ==

Pour que toutes les équipes d'admin soient au courant des opérations effectuées, plusieurs systèmes sont en phase d’étude ou de test (voire d'abandon).

* Le Trac n'a pas eu le succès attendu, mais ça pourrait changer avec la récente multiplication des sudoers.
* Certains bots tels que [[lapool]] donnent en temps réel des infos sur ce qui se passe.
* Une combinaison de diff quotidien du Changelog ({{deb|metche}}), de rapports de {{deb|fcheck}} et autres {{deb|logwatch}}, envoyée par mail, est en cours de fignolage. Pour l'instant ça fait quand même pas mal de mails (mais on se soigne).

À noter que sur certains systèmes, {{deb|metche}} remplit {{fichier|/var/lib/metche}} assez rapidement<ref>https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=360371 : bugreport de {{deb|metche}} sur le DBTS.</ref><ref>https://labs.riseup.net/code/issues/2977 : bugreport de https://trac.transitionnetwork.org/trac/wiki/MetcheCleanScript sur le BTS upstream.</ref>. À défaut d'un bugfix ou d'une solution plus élégante, un script de nettoyage<ref>https://trac.transitionnetwork.org/trac/wiki/MetcheCleanScript : script de nettoyage de {{deb|metche}}</ref> pourrait être mis en place.

== Voir aussi ==

* Le brouillon de guide [[:Category:Kollectiv_admin|Kollectiv' Admin]]

== Références ==

<references />

[[Category:Infrastructure]]
[[Category:Documentation]]

DN42

2015-06-15T21:10:56Z

Kankan: Fibre et full-view

Le Loop participe à '''dn42''' !

Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.

== DN42 ==

[http://dn42.net DN42] est un '''réseau overlay''', dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
* s'attribuer un ASN et une plage d'adresse ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.

=== Documentation officielle ===

Le [https://dn42.net wiki officiel] a pas mal d'informations. Il y a notamment un guide [https://dn42.net/Getting-started-with-dn42 Getting started].

Une [http://dn42.volcanis.me/initenv.1.html copie de l'ancien wiki] est disponible. '''Attention :''' la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.

== DN42 et le Loop ==

=== Liste de diffusion et canal IRC ===

Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.

{{voir|https://lists.leloop.org/cgi-bin/mailman/listinfo/dn42}}

Il est aussi possible de venir en parler sur le salon [[IRC]].

=== Notre implémentation de DN42 ===

==== Un micro-bout d'histoire ====
Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]].

La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]].

==== Petite description ====

Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN], [https://fr.wikipedia.org/wiki/Internet_Protocol_Security IPSec] ou [https://projects.universe-factory.net/projects/fastd/wiki fastd] montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible [[DN42#Intercos_en_place|plus bas]]

Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD].

==== Communautés BGP ====

DN42 utilise des communautés BGP [https://dn42.net/howto/Bird-communities spécifiées ici] pour annoncer certaines propriétés d'une route :
* Utilise-t-elle exclusivement des tunnels chiffrés? Assurent-ils la [https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante confidentialité persistante] ?
* Quelle est la bande passante minimale, parmi les liens traversés ?
* Quelle est la latence maximale, parmi les liens traversés ?

De plus, les routeurs BGP de DN42 semblent honorer les communautés standard telles que '''NO_EXPORT''', que nous utilisons également.

[[User:Kankan|kankan]] a commencé la mise en place des communautés BGP au Loop.

Pour l'instant, nous taggons toutes les routes comme ayant au plus 20ms de latence, la bande passante d'une connexion ADSL et utilisant des tunnels chiffrés sans PFS (c'est le cas de la majorité de nos intercos OpenVPN). Il faudra affiner ceci dans le futur.

Les communautés sont données à titre indicatif pour d'autres participants à DN42, notre politique de routage actuelle n'utilisant pas les communautés.

==== Politique de routage et de peering ====

Maintenant que nous avons une grosse connexion Internet, Heimdall envoie désormais une full view à tout ses pairs.

Historiquement, nous n'avions qu'une connexion ADSL/VDSL au loop, partagée avec le Jardin d'Alice. Cette connexion était déjà relativement sollicitée, nous avions décidé de ne pas devenir un noeud de transit DN42 pour économiser notre bande passante. Par conséquent, '''par défaut nous n’annoncions que nos routes et ne redistribuons pas les routes apprises par nos pairs''', à quelques exceptions près.

=== Ressources et objets enregistrés dans le registre de DN42 ===

DN42 opère un registre (en pratique un repository [http://www.monotone.ca/ Monotone]) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.

[[User:nicoo|nicoo]] a un accès en écriture sur certains repositories Monotone de DN42 (ceux hébergés par xuu et zorun).
[[User:nicoo|nicoo]] et [[User:kankan|kankan]] ont les accès pour modifier les objets enregistrés via [https://io.nixnodes.net/?registry l'interface web] du registre.

Les objets enregistrés pour le Loop sont les suivants :
* Numéro d'AS :
** <code>AS 4242422121</code>
* Préfixes :
** <code>172.22.146.0/23</code> (annoncé) pour les réseaux du loop
** <code>172.22.59.0/24</code> (annoncé) pour les réseaux des squats
** <code>172.22.247.0/27</code> (non-annoncé) pour les interconnexions
** <code>172.22.247.192/26</code> (non-annoncé) pour les interconnexions
* Noms de domaines :
** <code>leloop.dn42</code>
** <code>caserne.dn42</code>

=== Intercos en place ===
Les intercos barrées sont celles actuellement down.

* Dans notre bloc d'interco (<code>172.22.247.0/27</code>)
** <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
** <code>172.22.247.6/32</code> : Breizh-Entropy (petrus) sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (OpenVPN, PTP) <code>AS64751</code>
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code>
** <code>172.22.247.8/32</code> : toBee sur [irc://irc.hackint.net/dn42 #dn42] (fastd) <code>AS4242420022</code>
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>
** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76175</code>, GPG <code>0xE7A4B302</code>
** <strike><code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code></strike>Down depuis Mai 2015 ; nicoo a contacté Ryan
** <strike><code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS4242422342</code></strike>
** <code>172.22.247.16/31</code> : '''libre'''
** <code>172.22.247.18/31</code> : Interco freifunk (Bodems sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS65529</code>, GPG <code>0x68EAB8261BFCC84A</code>
** <code>172.22.247.20/31</code> : Martin89 sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64713</code>, GPG <code>0x17CA8DC19829FB42</code>
** <code>172.22.247.22/31</code> : CCC Dresden (Astro sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS64699</code>, GPG <code>0x58512AE87A69900F</code>
** <strike><code>172.22.247.24/30</code> : lorenzo sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS64713</code> (c'est un <code>/30</code> à cause du routeur ''Mikrotok'' en face)</strike>
** <code>172.22.247.28/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et [[Routeur Rabbit|rabbit]]

* Dans notre second bloc d'interco (<code>172.22.247.192/26</code>):
** <code>172.22.247.192/31</code> : unbedenklich sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420020</code>, GPG <code>0x6F79FDF6DF3FADA4</code>
** <code>172.22.247.194/32</code> : FF Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS65038</code>
** <code>172.22.247.195/32</code> : CCC Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS4242420101</code>
** <strike><code>172.22.247.196/32</code> : Alistair sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420035</code>, GPG <code>0xC730EE52C673018B</code>, full-view</strike> Actuellement down, pour cause de descente de flics pendant qu'on mettait l'interco en place.
** <code>172.22.247.197/32</code> : '''libre'''
** <code>172.22.247.198/31</code> : neoraider sur [irc://irc.hackint.net/dn42 #dn42] (fastd PTP), <code>AS</code>
** <code>172.22.247.200/31</code> : nazco sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PSK), <code>AS76118</code>
** <code>172.22.247.248/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et '''[[Serveur Polaire|Polaire]]
** <code>172.22.247.252/30</code> : '''Réservé''' pour l'interco entre [[Routeur Rabbit|rabbit]] (le routeur du loop) et [[Routeur aiguilleur|aiguilleur]] (le routeur de la Gare XP)

* Autres
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code>
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
** <strike><code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE, utilisation d'une PSK) <code>AS56662</code>, full view parce que ''drixter'' était une feuille de ''ryan''</strike>
** <code>172.22.254.66/27</code> : CCC Bremen (crest sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN client), <code>AS64828</code>

== Voir aussi ==

* La catégorie [[:Category:DN42|DN42]] sur ce wiki
* https://dn42.net/ : présentation du projet dn42
* https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence [http://creativecommons.org/licenses/by-nc-sa/3.0/ CC BY-NC-SA 3.0])

[[Category:Services]]
[[Category:DN42]]
[[Category:Projets]]

VM Heimdall

2015-06-15T21:02:17Z

Kankan: Ajout de l'IP publique

La machine virtuelle '''heimdall''' fournit la connectivité du loop vers [[DN42]].

== OS ==

* Hébergée sur [[Serveur_kraken|kraken]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
* IP : 172.22.247.30, 178.20.51.133 (statiques)
* A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
* Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
* {{deb|bird}}, {{deb|openvpn}} (''backport''), {{deb|strongswan}} 5 (''backport'')
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]

== Services ==

* [http://www.openvpn.net OpenVPN] : tunnels ptp pour l'interco
* [http://bird.network.cz/ Bird] : démon bgp

=== OpenVPN ===

Subnet d'interco DN42 : <code>172.22.247.0/27</code> (non annoncé dans DN42).
La liste d'interco est sur la page [[DN42]].

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de <code>35000</code> à <code>36000</code> sont transférés depuis le routeur.

La version présente dans <code>wheezy-backports</code> a été préférée afin de profiter de certains ''bugfix''.

=== Bird ===

Nous sommes l'AS <code>4242422121</code> et on annonce les [[Plan_d'adressage|préfixes]] suivants :
* <code>172.22.59.0/24</code>
* <code>172.22.146.0/23</code>

=== IPSec ===

Pour certaines intercos, on utilise aussi IPSec.
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].

La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et mieux documenté.
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux).
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

== Références ==

<references />

[[Category:VM]]
[[Category:DN42]]

DN42

2015-06-03T17:17:50Z

Kankan: Réorganisation de la section communautés BGP et précisions sur notre politique de peering

Le Loop participe à '''dn42''' !

Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.

== DN42 ==

[http://dn42.net DN42] est un '''réseau overlay''', dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
* s'attribuer un ASN et une plage d'adresse ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.

=== Documentation officielle ===

Le [https://dn42.net wiki officiel] a pas mal d'informations. Il y a notamment un guide [https://dn42.net/Getting-started-with-dn42 Getting started].

Une [http://dn42.volcanis.me/initenv.1.html copie de l'ancien wiki] est disponible. '''Attention :''' la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.

== DN42 et le Loop ==

=== Liste de diffusion et canal IRC ===

Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.

{{voir|https://lists.leloop.org/cgi-bin/mailman/listinfo/dn42}}

Il est aussi possible de venir en parler sur le salon [[IRC]].

=== Notre implémentation de DN42 ===

==== Un micro-bout d'histoire ====
Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]].

La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]].

==== Petite description ====

Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN], [https://fr.wikipedia.org/wiki/Internet_Protocol_Security IPSec] ou [https://projects.universe-factory.net/projects/fastd/wiki fastd] montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible [[DN42#Intercos_en_place|plus bas]]

Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD].

==== Communautés BGP ====

DN42 utilise des communautés BGP [https://dn42.net/howto/Bird-communities spécifiées ici] pour annoncer certaines propriétés d'une route :
* Utilise-t-elle exclusivement des tunnels chiffrés? Assurent-ils la [https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante confidentialité persistante] ?
* Quelle est la bande passante minimale, parmi les liens traversés ?
* Quelle est la latence maximale, parmi les liens traversés ?

De plus, les routeurs BGP de DN42 semblent honorer les communautés standard telles que '''NO_EXPORT''', que nous utilisons également.

[[User:Kankan|kankan]] a commencé la mise en place des communautés BGP au Loop.

Pour l'instant, nous taggons toutes les routes comme ayant au plus 20ms de latence, la bande passante d'une connexion ADSL et utilisant des tunnels chiffrés sans PFS (c'est le cas de la majorité de nos intercos OpenVPN). Il faudra affiner ceci dans le futur.

Les communautés sont données à titre indicatif pour d'autres participants à DN42, notre politique de routage actuelle n'utilisant pas les communautés.

==== Politique de routage et de peering ====

Nous n'avons pour le moment qu'une connexion ADSL/VDSL au loop, partagée avec le Jardin d'Alice. Cette connexion étant déjà relativement sollicitée, nous avons décidé de ne pas devenir un noeud de transit DN42 pour économiser notre bande passante. Par conséquent, '''par défaut nous n'annonçons que nos routes et ne redistribuons pas les routes apprises par nos pairs'''.

Il existe cependant des exceptions :
* Ceux qui ne sont reliés à DN42 que par nous reçoivent évidemment un full-view,
* Certaines personnes qui en font la demande explicite peuvent recevoir également une full-view, à condition qu'ils ne nous envoient pas leur trafic si ce n'est pas strictement nécessaire.

Dans le cas d'annonce d'une full view, nous taggons les routes qui ne sont pas les nôtres avec la communauté BGP '''NO_EXPORT''' pour limiter leur propagation, et nous utilisons l'AS Path Prepending pour en décourager l'usage.

=== Ressources et objets enregistrés dans le registre de DN42 ===

DN42 opère un registre (en pratique un repository [http://www.monotone.ca/ Monotone]) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.

[[User:nicoo|nicoo]] a un accès en écriture sur certains repositories Monotone de DN42 (ceux hébergés par xuu et zorun).
[[User:nicoo|nicoo]] et [[User:kankan|kankan]] ont les accès pour modifier les objets enregistrés via [https://io.nixnodes.net/?registry l'interface web] du registre.

Les objets enregistrés pour le Loop sont les suivants :
* Numéro d'AS :
** <code>AS 4242422121</code>
* Préfixes :
** <code>172.22.146.0/23</code> (annoncé) pour les réseaux du loop
** <code>172.22.59.0/24</code> (annoncé) pour les réseaux des squats
** <code>172.22.247.0/27</code> (non-annoncé) pour les interconnexions
** <code>172.22.247.192/26</code> (non-annoncé) pour les interconnexions
* Noms de domaines :
** <code>leloop.dn42</code>
** <code>caserne.dn42</code>

=== Intercos en place ===
Les intercos barrées sont celles actuellement down.

* Dans notre bloc d'interco (<code>172.22.247.0/27</code>)
** <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
** <code>172.22.247.6/32</code> : Breizh-Entropy (petrus) sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (OpenVPN, PTP) <code>AS64751</code>
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code>
** <code>172.22.247.8/32</code> : toBee sur [irc://irc.hackint.net/dn42 #dn42] (fastd) <code>AS4242420022</code>
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>
** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76175</code>, GPG <code>0xE7A4B302</code>
** <strike><code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code></strike>Down depuis Mai 2015 ; nicoo a contacté Ryan
** <strike><code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS4242422342</code></strike>
** <code>172.22.247.16/31</code> : '''libre'''
** <code>172.22.247.18/31</code> : Interco freifunk (Bodems sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS65529</code>, GPG <code>0x68EAB8261BFCC84A</code>
** <code>172.22.247.20/31</code> : Martin89 sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64713</code>, GPG <code>0x17CA8DC19829FB42</code>
** <code>172.22.247.22/31</code> : CCC Dresden (Astro sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS64699</code>, GPG <code>0x58512AE87A69900F</code>
** <strike><code>172.22.247.24/30</code> : lorenzo sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS64713</code> (c'est un <code>/30</code> à cause du routeur ''Mikrotok'' en face)</strike>
** <code>172.22.247.28/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et [[Routeur Rabbit|rabbit]]

* Dans notre second bloc d'interco (<code>172.22.247.192/26</code>):
** <code>172.22.247.192/31</code> : unbedenklich sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420020</code>, GPG <code>0x6F79FDF6DF3FADA4</code>
** <code>172.22.247.194/32</code> : FF Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS65038</code>
** <code>172.22.247.195/32</code> : CCC Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS4242420101</code>
** <strike><code>172.22.247.196/32</code> : Alistair sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420035</code>, GPG <code>0xC730EE52C673018B</code>, full-view</strike> Actuellement down, pour cause de descente de flics pendant qu'on mettait l'interco en place.
** <code>172.22.247.197/32</code> : '''libre'''
** <code>172.22.247.198/31</code> : neoraider sur [irc://irc.hackint.net/dn42 #dn42] (fastd PTP), <code>AS</code>
** <code>172.22.247.200/31</code> : nazco sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PSK), <code>AS76118</code>
** <code>172.22.247.248/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et '''[[Serveur Polaire|Polaire]]
** <code>172.22.247.252/30</code> : '''Réservé''' pour l'interco entre [[Routeur Rabbit|rabbit]] (le routeur du loop) et [[Routeur aiguilleur|aiguilleur]] (le routeur de la Gare XP)

* Autres
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code>
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
** <strike><code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE, utilisation d'une PSK) <code>AS56662</code>, full view parce que ''drixter'' était une feuille de ''ryan''</strike>
** <code>172.22.254.66/27</code> : CCC Bremen (crest sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN client), <code>AS64828</code>

== Voir aussi ==

* La catégorie [[:Category:DN42|DN42]] sur ce wiki
* https://dn42.net/ : présentation du projet dn42
* https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence [http://creativecommons.org/licenses/by-nc-sa/3.0/ CC BY-NC-SA 3.0])

[[Category:Services]]
[[Category:DN42]]
[[Category:Projets]]

Points d'accès WiFi

2015-05-25T22:28:31Z

Kankan:

Il y avais originellement 2 points d'accès WiFi : <code>172.22.146.254</code> et <code>.253</code>, nommés respectivement etherlink1 et etherlink2. Un point d'accès Cisco, [[AP Patator]], est venu les compléter ensuite.

Ils sont configurés en pour faire un bridge avec le VLAN ethernet correspondant au réseau WiFi.

= Hardware =

Les deux points d'accès originels sont deux TP-Link TL-WR1043N/ND (v1.8 pour etherlink1, v1.11 pour etherlink 2).
Ils ont une puce wifi capable de gérer le 802.11n (2.4GHz uniquement), et un switch gigabit 5 ports capable de gérer des vlans.

Il semblerait malheureusement que ce modèle ait parfois des problèmes avec le wifi ([http://wiki.openwrt.org/toh/tp-link/tl-wr1043nd voir sa page sur le wiki d'OpenWRT], ainsi que les bugs [https://dev.openwrt.org/ticket/9654 9654], [https://dev.openwrt.org/ticket/12372 12372] et [https://dev.openwrt.org/ticket/13966 13966] associés).

= Système =

Il s'agit d'installations d'OpenWRT Barrier Breaker (r42625), avec un peu de configuration à nous.

== Accès administrateur ==
Définir le mot de passe root, avec <code>passwd</code>, interdit l'accès via <code>telnet</code> (sans mot de passe).

Les clefs SSH suivantes sont installées :

ssh-rsa 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 nicoo
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAgEAwgk4y5YoW4/Sd7FnguiGmHqFae7iHvhIGsKrIvdmBw82znz/TRzMJTC+pU6iO/2gIUgyJGtcs64FPJAnQdNTL7HySnAEsJxJLs5iJV2C6Rj2HYPchQMqHZkt3PJoowECZy2StOnoQvpzgwR4zeag6O2ecHr19FXxpQo2XRvsIJjv4tsMfyMtKogRN1cpTEU1zfMzUEp+FVuBQBBI8q6Vxj8t9wZmIsps0r/pkjETcfT3FuEy5b1/JRNJyiOokgo1GLFGdEvbSXFxZtOu3dJNu2fnfr9u3UU8i6n7c2AUE+/Kl0R9A8/lLOqEqhCSZWCvLNVE5VCxGCPX9Df+JBTDcFjU6GNsmPbTINoSFqQWp5/zac2KXHyGWLcgzVjJLnvWtCjp+K1xQ2MWU8slcwMwxyu10FQSoCVDfzzugogSG6ks6nver4kdlE6V7QcjNwlz9ihdQyC4kkwxMoBfufygTnDOiWjWnEvpGnG/dIIE9R3c4DFRgRt9dNevLsxm9ebioKLIfKtKN344A4r7RkAaI1fMSnVJSSYFON71h+IqrEWJNj/98FlxFgULY9SlrCSbVQjG2dz6FVdBDfbqyTb/8v0S5AM76NLVIvFZQRL6oao+WtkAVhdGOR2YW7D5uKhe2Cjarie6QN77ulCqlWjDhlOHSnKNWVOGG+QqHocs1zk= tom@leloop.org
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDIKlRUWm8RIVuHcxiGld4JRsae3luvU5NIJPlRKUR98AaSpQZFl0M0MhIBNWkznToTiHh8y7J1opDgwMquwZlcS3iPAQ2lHRXIi0jPk0tBXgHd2b9NE/+tQ0Ly+viVNnAces63ML6iPelTXKqtw2ru01V7sGG/dJelXTPmYFmQNQE+ZDX1tc1T5ORdb1Zsk4fhl6phaA4ZRP8K23d/gmqSrt+un9EDX+/zewv5JpQ3rRPFi2/g0PtWicsIi2pi0oQ9+I9rtULUWQJpyTAo9RvyJaFWrH6u0ECmjyQ+Fr9T4IH4i1tFIZ0BzwhGocVsRMJe7lGGwrhIIE8w0uXBbyaN nico@hackerspace
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAgEAvPVHpDkJqGoB/5fgAxzrCJIJtx5HjnoTzQXs4sCvjAt7Hs2yGNEntzUXCAs8atQyJQRnTg3ZJfqYcz5tbTgAIDIHt0/wQQg5baVsah+YIePESuRsbq45wDRa2bu9IHS9neQPaG2kokuz8xBPslc3XrZRz1U83SuXCW3GeZLeiOhbNKEJD5AEBZBWbgbtU1OSS/yyAcUUC/zM0gAczLT4VrAjI9sVFRQgr7dsrd0AhKt5LNgZ90zdbqLd/dfztXGqwB/qwcXQWk49DHHPD26OB5yFqbED6o52pA2Z2ME0aRIaoeDxl2l2isGhM8H0T+Mt6Nl6a9n5sRjQ6MseFi7ZHda1roLxho939YWvd97qIlR4w7wFz2kdHmo2+B2nwkXdpcMyzsPRJe6Wx1gEyK16AlHuw7KNGVTrPKnU5hAL/mME2EWkPq1n98lwBzFdDu/Jf4xKtRMPY9+m58jFKK2FNvKExzz1fHNpi6Hk7GmsxktrggZKxuwXvrb8y1FYhWwpqnK3fRJE9rMYII8KLHv5am/RP12+cDV7SA/1Rxw9Jgb0gAF1bG0/4US00+DrdB6laxyTWVelckbZIS+UakOQWQVLWXu7Gjo0DBEp1ZAxtKQgr9r1hBTX+MXmA/LW4wDZPoVIUacLTNzXl415106DMpQxle8vKUCmvHuH0R2qYi0= dlgg
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC02eNu4T8SzFSWOLhf7ktUJTRklwihm5PNevST4aKMD/e0Wle7oiC7TSIzMIEA5kTiBRtDOJ8jI0SkeUw4q4SAu7DzPSK1M0y8rB6ekUSyG0wom0asBomfZtDbLw9jU+WDPC2j8yRjrdL/KTSmhT8zQNyoW+JGAqrja+pxeDh0gdetwDzPvTqrB/rgFkI+3B70iNTJRrsXI5rK1pnmoYozmpIl/hmm9qbP1NKZgHIIFbUzOK1NSNUQ0+OKMZHjoy5RNxArPJbjNNXBS3Y0//8kwGvABxdrposRbAX4v4Zfae5CJ65rgJt3cBJ96ckkAXhhrLlofThOCfxphEJXwlhF kankan

SSH écoute sur le port 222, comme pour les autres machines

== Configuration réseau ==

=== <code>/etc/config/network</code> ===

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option ifname 'eth0.1'
option force_link '1'
option type 'bridge'
option proto 'static'
option ipaddr '172.22.146.253'
option netmask '255.255.255.128'
option gateway '172.22.146.129'
option dns '172.22.146.129'

config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'

config interface 'wan6'
option ifname '@wan'
option proto 'dhcpv6'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '1 2 3 4 5t'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '0 5t'

=== <code>/etc/config/wireless</code> ===

config wifi-device 'radio0'
option type 'mac80211'
option channel '6'
option hwmode '11g'
option path 'platform/ath9k'
option htmode 'HT20'
option require_mode 'g'
option country '00'
option txpower '19'

config wifi-iface
option device 'radio0'
option network 'lan'
option mode 'ap'
option ssid 'piscine'
option key 'blackloop'
option wds '1'
option ieee80211r '1'
option encryption 'psk2+ccmp'

[[Category:Infrastructure]]

XMPP

2015-05-17T18:10:52Z

Kankan: Passage à un certificat CaCert

Le Loop dispose d'un '''serveur XMPP''' pour les Loopiot·e·s.

Il peut servir pour l'initiation à OTR ou tout simplement pour discuter.

== Créer un compte ==

L'enregistrement d'un compte depuis le client Jabber est désactivée. Pour avoir un compte, il faut demander à un administrateur (voir liste plus bas).

== Comment y accéder ==

N'importe quel client Jabber/XMPP permet de s'y connecter, depuis le LAN ou depuis Internet. Il suffit de rentrer l'adresse et le mot de passe de votre compte dans un client.

Nous utilisons un certificat CaCert dont l'empreinte est la suivante : '''5B:8C:CD:80:B4:BB:89:AE:06:CD:C8:43:47:C8:F0:04:0F:D6:5A:21'''

== Groupes de contacts des Loopiot⋅e⋅s ==

Si vous voulez pourvoir discuter avec tous les membres du loop sans devoir les ajouter individuellement à vos contacts, vous pouvez demander à un⋅e admin de vous ajouter dans le groupe "Loopiots" : vous verrez alors toutes les personnes ayant décidé de rejoindre ce groupe.

== Salons de discussions ==

Le serveur héberge des salons de discussions sur discussions.leloop.org. N'importe qui ayant une adresse Jabber en @leloop.org peut créer un salon via son client.

Un salon spécifique pour Le Loop a été mis en place : il s'agit de '''leloop@discussions.leloop.org'''.

== Sous le capot ==

* Propulsé par [https://prosody.im/ Prosody]
* Hébergé au Loop, sur la [[VM Iris]].
* Roots : [[User:kankan|kankan]], ...
* Admins XMPP : [[User:Edelwin|Edelwin]], [[User:v45h|v45h]]

[[Category:Services]]

DN42

2015-04-29T00:12:23Z

Kankan:

Le Loop participe à '''dn42''' !

Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.

== DN42 ==

[http://dn42.net DN42] est un '''réseau overlay''', dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
* s'attribuer un ASN et une plage d'adresse ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.

=== Documentation officielle ===

Le [https://dn42.net wiki officiel] a pas mal d'informations. Il y a notamment un guide [https://dn42.net/Getting-started-with-dn42 Getting started].

Une [http://dn42.volcanis.me/initenv.1.html copie de l'ancien wiki] est disponible. '''Attention :''' la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.

== DN42 et le Loop ==

=== Liste de diffusion et canal IRC ===

Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.

{{voir|https://lists.leloop.org/cgi-bin/mailman/listinfo/dn42}}

Il est aussi possible de venir en parler sur le salon [[IRC]].

=== Notre implémentation de DN42 ===

Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]].

La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]].

Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN], [https://fr.wikipedia.org/wiki/Internet_Protocol_Security IPSec] ou [https://projects.universe-factory.net/projects/fastd/wiki fastd] montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible [[DN42#Intercos_en_place|plus bas]]

Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD]. Nous n'annonçons que nos routes et ne redistribuons pas les routes apprises pour limiter le trafic passant par le Loop à l'exception de 2 pairs qui ont une full-view.

=== Ressources et objets enregistrés dans le registre de DN42 ===

DN42 opère un registre (en pratique un repository [http://www.monotone.ca/ Monotone]) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.

[[User:nicoo|nicoo]] a un accès en écriture sur certains repositories Monotone de DN42 (ceux hébergés par xuu et zorun).
[[User:nicoo|nicoo]] et [[User:kankan|kankan]] ont les accès pour modifier les objets enregistrés via [https://io.nixnodes.net/?registry l'interface web] du registre.

Les objets enregistrés pour le Loop sont les suivants :
* Numéro d'AS :
** <code>AS 4242422121</code>
* Préfixes :
** <code>172.22.146.0/23</code> (annoncé) pour les réseaux du loop
** <code>172.22.59.0/24</code> (annoncé) pour les réseaux des squats
** <code>172.22.247.0/27</code> (non-annoncé) pour les interconnexions
** <code>172.22.247.192/26</code> (non-annoncé) pour les interconnexions
* Noms de domaines :
** <code>leloop.dn42</code>
** <code>caserne.dn42</code>

=== Intercos en place ===
Les intercos barrées sont celles actuellement down.

* Dans notre bloc d'interco (<code>172.22.247.0/27</code>)
** <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
** <code>172.22.247.6/32</code> : Breizh-Entropy (petrus) sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (OpenVPN, PTP) <code>AS64751</code>
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code>
** <code>172.22.247.8/32</code> : toBee sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420022</code>
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>
** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76175</code>, GPG <code>0xE7A4B302</code>
** <code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code>
** <strike><code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS4242422342</code></strike>
** <code>172.22.247.16/31</code> : '''libre'''
** <code>172.22.247.18/31</code> : Interco freifunk (Bodems sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS65529</code>, GPG <code>0x68EAB8261BFCC84A</code>
** <code>172.22.247.20/31</code> : Martin89 sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64713</code>, GPG <code>0x17CA8DC19829FB42</code>
** <code>172.22.247.22/31</code> : CCC Dresden (Astro sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS64699</code>, GPG <code>0x58512AE87A69900F</code>
** <strike><code>172.22.247.24/30</code> : lorenzo sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS64713</code> (c'est un <code>/30</code> à cause du routeur ''Mikrotok'' en face)</strike>
** <code>172.22.247.28/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et [[Routeur Rabbit|rabbit]]

* Dans notre second bloc d'interco (<code>172.22.247.192/26</code>):
** <code>172.22.247.192/31</code> : unbedenklich sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420020</code>, GPG <code>0x6F79FDF6DF3FADA4</code>
** <code>172.22.247.194/32</code> : FF Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS65038</code>
** <code>172.22.247.195/32</code> : CCC Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS4242420101</code>
** <code>172.22.247.196/32</code> : Alistair sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420035</code>, GPG <code>0xC730EE52C673018B</code>, full-view
** <code>172.22.247.248/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et '''[[Serveur Polaire|Polaire]]
** <code>172.22.247.252/30</code> : '''Réservé''' pour l'interco entre [[Routeur Rabbit|rabbit]] (le routeur du loop) et [[Routeur aiguilleur|aiguilleur]] (le routeur de la Gare XP)

* Autres
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code>
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
** <strike><code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE, utilisation d'une PSK) <code>AS56662</code>, full view parce que ''drixter'' était une feuille de ''ryan''</strike>
** <code>172.22.254.66/27</code> : CCC Bremen (crest sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN client), <code>AS64828</code>

== Voir aussi ==

* La catégorie [[:Category:DN42|DN42]] sur ce wiki
* https://dn42.net/ : présentation du projet dn42
* https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence [http://creativecommons.org/licenses/by-nc-sa/3.0/ CC BY-NC-SA 3.0])

[[Category:Services]]
[[Category:DN42]]
[[Category:Projets]]

VM Iris

2015-04-26T02:04:03Z

Kankan:

{{ Brouillon }}

La machine virtuelle '''iris''' héberge un serveur XMPP ([https://prosody.im Prosody])

== OS ==

* Hébergée sur [[Serveur_ultravixen|ultravixen]]
* Debian Wheezy (avec des backports pour Prosody)
* IP : 172.22.147.43 / 2001:470:c9ca:0:216:3eff:fe15:3d8b

== Services ==

Le serveur héberge le [[XMPP|serveur XMPP]] du domaine leloop.org.

=== Créer un compte Jabber ===

Il faut se connecter en SSH et utiliser la commande prosodyctl :
sudo prosodyctl adduser <pseudo>@leloop.org

Tous les membres du groupe prosodyadmins devraient pouvoir exécuter cette commande.

=== Gérer les groupes de contacts ===

Les groupes de contacts sont définis dans le fichier /etc/prosody/groups.txt. Voir [https://prosody.im/doc/modules/mod_groups#example la documentation de Prosody] pour la syntaxe du fichier.

Vous pouvez l'éditer avec sudoedit. Il semblerait que les changements ne soient pas pris en compte avant un redémarrage de Prosody (à vérifier, ça me parait quand-même ''très'' bourrin : en gros, ne le faites pas quand des gens utilisent le serveur)
sudoedit /etc/prosody/groups.txt
prosodyctl restart

[[Category:VM]]

XMPP

2015-04-26T01:54:01Z

Kankan: Ajout du groupe de contacts et du salon de discussions du Loop

Le Loop dispose d'un '''serveur XMPP''' pour les Loopiot·e·s.

Il peut servir pour l'initiation à OTR ou tout simplement pour discuter.

== Créer un compte ==

L'enregistrement d'un compte depuis le client Jabber est désactivée. Pour avoir un compte, il faut demander à un administrateur (voir liste plus bas).

== Comment y accéder ==

N'importe quel client Jabber/XMPP permet de s'y connecter, depuis le LAN ou depuis Internet. Il suffit de rentrer l'adresse et le mot de passe de votre compte dans un client.

Nous utilisons pour le moment un certificat auto-signé dont l'empreinte est la suivante : '''19:85:46:26:85:88:58:26:B7:C2:1B:AC:24:7B:43:44:8E:06:A8:19'''

== Groupes de contacts des Loopiot⋅e⋅s ==

Si vous voulez pourvoir discuter avec tous les membres du loop sans devoir les ajouter individuellement à vos contacts, vous pouvez demander à un⋅e admin de vous ajouter dans le groupe "Loopiots" : vous verrez alors toutes les personnes ayant décidé de rejoindre ce groupe.

== Salons de discussions ==

Le serveur héberge des salons de discussions sur discussions.leloop.org. N'importe qui ayant une adresse Jabber en @leloop.org peut créer un salon via son client.

Un salon spécifique pour Le Loop a été mis en place : il s'agit de '''leloop@discussions.leloop.org'''.

== Sous le capot ==

* Propulsé par [https://prosody.im/ Prosody]
* Hébergé au Loop, sur la [[VM Iris]].
* Roots : [[User:kankan|kankan]], ...
* Admins XMPP : [[User:Edelwin|Edelwin]], [[User:v45h|v45h]]

[[Category:Services]]

XMPP

2015-04-23T21:07:59Z

Kankan: /* Sous le capot */

Le Loop dispose d'un '''serveur XMPP''' pour les Loopiot·e·s.

Il peut servir pour l'initiation à OTR ou tout simplement pour discuter.

== Créer un compte ==

L'enregistrement d'un compte depuis le client Jabber est désactivée. Pour avoir un compte, il faut demander à un administrateur (voir liste plus bas).

== Comment y accéder ==

N'importe quel client Jabber/XMPP permet de s'y connecter, depuis le LAN ou depuis Internet. Il suffit de rentrer l'adresse et le mot de passe de votre compte dans un client.

Nous utilisons pour le moment un certificat auto-signé dont l'empreinte est la suivante : '''19:85:46:26:85:88:58:26:B7:C2:1B:AC:24:7B:43:44:8E:06:A8:19'''

== Salons de discussions ==

Le serveur héberge des salons de discussions sur discussions.leloop.org. N'importe qui ayant une adresse Jabber en @leloop.org peut créer un salon via son client.

== Sous le capot ==

* Propulsé par [https://prosody.im/ Prosody]
* Hébergé au Loop, sur la [[VM Iris]].
* Roots : [[User:kankan|kankan]], ...
* Admins XMPP : [[User:Edelwin|Edelwin]], [[User:v45h|v45h]]

[[Category:Services]]

VM Iris

2015-04-23T12:39:12Z

Kankan: Created page with "{{ Brouillon }} La machine virtuelle '''iris''' héberge un serveur XMPP ([https://prosody.im Prosody]) == OS == * Hébergée sur ultravixen * Debian..."

XMPP

2015-04-23T12:30:40Z

Kankan: créée

Le Loop dispose d'un '''serveur XMPP''' pour les Loopiot·e·s.

Il peut servir pour l'initiation à OTR ou tout simplement pour discuter.

== Créer un compte ==

L'enregistrement d'un compte depuis le client Jabber est désactivée. Pour avoir un compte, il faut demander à un administrateur (voir liste plus bas).

== Comment y accéder ==

N'importe quel client Jabber/XMPP permet de s'y connecter, depuis le LAN ou depuis Internet. Il suffit de rentrer l'adresse et le mot de passe de votre compte dans un client.

Nous utilisons pour le moment un certificat auto-signé dont l'empreinte est la suivante : '''19:85:46:26:85:88:58:26:B7:C2:1B:AC:24:7B:43:44:8E:06:A8:19'''

== Salons de discussions ==

Le serveur héberge des salons de discussions sur discussions.leloop.org. N'importe qui ayant une adresse Jabber en @leloop.org peut créer un salon via son client.

== Sous le capot ==

* Propulsé par [https://prosody.im/ Prosody]
* Hébergé au Loop, sur la [[VM Iris]].
* Roots : [[User:kankan|kankan]], ...
* Admins XMPP : [[User:Edelwin|Edelwin]]

[[Category:Services]]

Serveur gaufre

2015-04-20T21:06:46Z

Kankan: Created page with "{{Brouillon}} Gaufre est une Ultraspark appartenant à v45h. Elle est installée sous OpenBSD et héberge le [gopher://gaufre.leloop.org serveur Gopher] du loop..."

{{Brouillon}}

Gaufre est une Ultraspark appartenant à [[User:v45h|v45h]]. Elle est installée sous OpenBSD et héberge le [gopher://gaufre.leloop.org serveur Gopher] du loop.

== Matériel ==

* Sun UltraSparc

== OS ==

OpenBSD

Admins : [[User:v45h|v45h]]

[[Category:Infrastructure]]

AP Patator

2015-04-20T19:32:20Z

Kankan: Réorganisation de la page en vue de la mise en prod de la borne

{{Brouillon}}

== PATATOR ==

Patator est une AP Wifi Cisco. Elle est en train d'être mise en production pour porter les réseaux wifi "Piscine" et ceux des évènements de la blackloop.

Des antennes externes ont étés placées sur cette borne pour lui permettre d'émettre ces réseaux à l'extérieur, l'intérieur de la blackloop étant couverte par la borne wifi TP-Link.

=== Configuration physique ===
* Ethernet : gigabit
* Power : 48V, POE ou prise dédiée
* Prise console standard cisco
* 2.4GHz ANTENNA "A - Rx-Tx" : antenne à l’extérieur
* 2.4GHz ANTENNA "C - Rx" : rien
* 2.4GHz ANTENNA "B - Rx-Tx" : antenne à l'extérieur
* 5GHz ANTENNA "A - Rx-Tx" : antenne à l'extérieur
* 5GHz ANTENNA "C - Rx" : rien
* 5GHz ANTENNA "B - Rx-Tx" : antenne à l'extérieur

Le port série de l'AP est branché sur Ultravixen.

=== TODO ===

* Faire en sorte que tous les SSID soient émis en 5 GHz.

== Historique ==

La configuration de cet AP est en cours par [[user:dashie|Dashie]]
Et repris par [[user:dlgg|dlgg]]

Modif du 22/10/2014 : [[AP_Patator/config/dlgg|show running-config]]
* Mise à jour en 15.3(3)JAB (03/09/2014)
* Disable http server
* Enable http secure-server
* Mise en place vlans
* SSID => piscine2

Note :
* Pas de mots de passes configurés pour les accès, google it
* SSID 2.4 et 5 séparés
* IP de la borne en DHCP
* De la doc de config [http://www.cisco.com/c/en/us/td/docs/wireless/access_point/12-4-25d-JA/Configuration/guide/cg_12_4_25d_JA/scg12-4-25d-JA-chap4-first.html#wp1131951 doc cisco]

=== Notes sur l'AP et la config faite via WEB-UI ===

<nowiki>
cisco AIR-AP1262N-E-K9 (PowerPC460exr) processor (revision A0) with 81910K/49152K bytes of memory.
Processor board ID FCZ1626Z17A
PowerPC460exr CPU at 666Mhz, revision number 0x18A8
Last reset from power-on
1 Gigabit Ethernet interface
2 802.11 Radio(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: D8:67:D9:D1:59:58
Part Number : 73-12175-06
PCA Assembly Number : 800-32268-06
PCA Revision Number : A0
PCB Serial Number : FOC16223341
Top Assembly Part Number : 800-33866-02
Top Assembly Serial Number : FCZ1626Z17A
Top Revision Number : A0
Product/Model Number : AIR-AP1262N-E-K9

Express setup :
hostname : patator
mac : d867.d9d1.5958
ip : dhcp
snmp : public
radio 2.4 : AP
radio 5 : AP

network interfaces -> 5GHz -> Antennas
Rx : right (A), Tx : right (A)

security -> encryption Manager
pour les deux radios
Cipher -> AES CCMP

security -> SSID Manager
SSID en 2.4 et 5GHz, juste adapter le nom et interface :
nom : patator 2.4GHz
interface : radio 2.4GHz
key mgmt : mendatory
[x] wpa
-> WPAv2
pre shared key : blackloop

revenir dans ssid manager, tout en bas, passer le 2.4 et 5 en "single" et choisir le ssid a droite dans le menu deroulant

network interfaces -> status des if wifi
</nowiki>

Dump du [[AP_Patator/config/dashie|show running config]]

=== TODO ===
no ip http server
ip http secure-server

[[Category:Infrastructure]]

Serveur ultravixen

2015-04-20T19:22:31Z

Kankan: /* TODO */

Ultravixen sera une machine de virtualisation (basée sur [http://www.xenproject.org/ Xen]), qui aura pour but d'héberger des VMs en remplacement de la mourante [[Serveur supervixen|supervixen]]. 

== Matériel ==

* Marque : [Supermicro http://www.supermicro.com/products/motherboard/qpi/5500/x8dtn_.cfm?ipmi=o&lrdimm=y X8DTN]
* CPU : 2 Xeon 4 core + HT
* RAM : 12 × 4 Go de DDR 3 (soit 48 Go)
* HDD : 7 x 450Go SATA 15000rpm
* RAID : RAID 6 soft / Les disques sont exposés en passthrough par la carte raid 3ware
* Réseau : 4 x Ethernet Intel Gigabit
* IPMI : le slot est vide donc si t'as ça qui traine dans un tiroir on est preneur :D

==== Pourquoi du raid 6 ====

Vu la rareté de ces disques par chez nous et l'historique des disques dans le serveur on préfère se garder une marge en ayant 2 disques de checksum plutot qu'un.

== OS ==

Debian Wheezy 7 64 bits. LVM avec un VG unique <code>ultravixen</code>.

Admins : [[User:Nicoo|nicoo]], [[User:ToM|ToM]], [[User:Kankan|kankan]], [[User:dlgg|dlgg]]

== TODO ==
* HVM (full-virtualisation pour les noyaux non-Xen) ne semble pas marcher correctement. À investiguer.

== VMs ==

Les VMs rayées sont juste éteintes.

* [[VM_Alfred|Alfred]]: Reverse proxy vers les services internes du Loop.
* [[VM_Bifrost|Bifrost]]: Services liés à DN42 (DNS <code>.dn42</code>, Whois)
* [[VM_calendar|Calendar]]
* [[Git|Git]]: Héberge les projets du Loop sur son [https://about.gitlab.com/ Gitlab].
* [[VM_Heimdall|Heimdall]]: Interconnexion avec DN42
* [[VM_Hermod|Hermod]]: Serveur mail pour les ateliers GPG / relai mail pour [[:Category:Infrastructure|l'infrastructure]] du Loop.
* [[VM_Jarvis|Jarvis]]: Surveillance de [[:Category:Infrastructure|l'infrastructure]] du Loop.
* [[VM_LooPXE|LooPXE]]: Fourniture d'un menu de boot et images via PXE
* <s>[[VM muninvm|Munin]]</s>
* [[VM_Onsons|Onsons]]
* [[VM_P0rnshare|P0rnshare]]
* [[VM_Pad|Pad]]
* [[VM_Proxy|Proxy]]
* [[VM_Puppet|Puppet]]: Maintiens une configuration système de base unifié sur les différents serveur du Loop.
* [[VM_Urd|Urd]]
* <s>[[VM yersay|Yersay]] (héberge [[lapool]])</s>

== Création de VM ==

Comme on est des grosses feignasses, on a pas forcément envie d'attendre que <code>debootstrap</code> tourne, puis configurer la VM à la main.
Du coup, <code>xen-tools</code> est configuré pour cloner la VM <code>template</code> :
sudo xen-create-image --hostname lapin

On peut utiliser les options <code>--size</code>, <code>--memory</code> et autres.
Il faut absolument préciser <code>--ip 172.22.147.XXX</code> ou <code>--dhcp</code>.

=== Template ===

Le '''template''' est une Debian Wheezy relativement minimaliste (qui occupe tout de même un demi giga), avec le ChangeLog suivant :
2014-08-16 nicoo <nicolas+loop@braud-santoni.eu>
* Utilisateurs
* nicoo, tom, damien et kankan
* Groupes sudo et adm
* Mots de passes par défaut
* Clefs SSH
* dashie
* Clef SSH ; pas de mot de passe (donc pas sudoer)
* Install: sudo, unattended-upgrades, molly-guard, tmux
* root: Désactivation du mot de passe
* OpenSSH
* Installation de openssh-server, openssh-blacklist et openssh-blacklist-extra
* Utilisation de la sandbox
* Désactivation des clefs DSA pour les hôtes
* Interdiction pour root de se logguer
* Suppression de l'auth par mot de passe
* Restriction de l'accès au groupe adm
* Désactivation du forwarding X11
* apt: `Install-Recommends no` pour ne pas installer des paquets inutiles

[[Category:Infrastructure]]

Serveur ultravixen

2015-04-20T19:22:04Z

Kankan: Ajout d'un todo.

Ultravixen sera une machine de virtualisation (basée sur [http://www.xenproject.org/ Xen]), qui aura pour but d'héberger des VMs en remplacement de la mourante [[Serveur supervixen|supervixen]]. 

== Matériel ==

* Marque : [Supermicro http://www.supermicro.com/products/motherboard/qpi/5500/x8dtn_.cfm?ipmi=o&lrdimm=y X8DTN]
* CPU : 2 Xeon 4 core + HT
* RAM : 12 × 4 Go de DDR 3 (soit 48 Go)
* HDD : 7 x 450Go SATA 15000rpm
* RAID : RAID 6 soft / Les disques sont exposés en passthrough par la carte raid 3ware
* Réseau : 4 x Ethernet Intel Gigabit
* IPMI : le slot est vide donc si t'as ça qui traine dans un tiroir on est preneur :D

==== Pourquoi du raid 6 ====

Vu la rareté de ces disques par chez nous et l'historique des disques dans le serveur on préfère se garder une marge en ayant 2 disques de checksum plutot qu'un.

== OS ==

Debian Wheezy 7 64 bits. LVM avec un VG unique <code>ultravixen</code>.

Admins : [[User:Nicoo|nicoo]], [[User:ToM|ToM]], [[User:Kankan|kankan]], [[User:dlgg|dlgg]]

== TODO ==
- HVM (full-virtualisation pour les noyaux non-Xen) ne semble pas marcher correctement. À investiguer.

== VMs ==

Les VMs rayées sont juste éteintes.

* [[VM_Alfred|Alfred]]: Reverse proxy vers les services internes du Loop.
* [[VM_Bifrost|Bifrost]]: Services liés à DN42 (DNS <code>.dn42</code>, Whois)
* [[VM_calendar|Calendar]]
* [[Git|Git]]: Héberge les projets du Loop sur son [https://about.gitlab.com/ Gitlab].
* [[VM_Heimdall|Heimdall]]: Interconnexion avec DN42
* [[VM_Hermod|Hermod]]: Serveur mail pour les ateliers GPG / relai mail pour [[:Category:Infrastructure|l'infrastructure]] du Loop.
* [[VM_Jarvis|Jarvis]]: Surveillance de [[:Category:Infrastructure|l'infrastructure]] du Loop.
* [[VM_LooPXE|LooPXE]]: Fourniture d'un menu de boot et images via PXE
* <s>[[VM muninvm|Munin]]</s>
* [[VM_Onsons|Onsons]]
* [[VM_P0rnshare|P0rnshare]]
* [[VM_Pad|Pad]]
* [[VM_Proxy|Proxy]]
* [[VM_Puppet|Puppet]]: Maintiens une configuration système de base unifié sur les différents serveur du Loop.
* [[VM_Urd|Urd]]
* <s>[[VM yersay|Yersay]] (héberge [[lapool]])</s>

== Création de VM ==

Comme on est des grosses feignasses, on a pas forcément envie d'attendre que <code>debootstrap</code> tourne, puis configurer la VM à la main.
Du coup, <code>xen-tools</code> est configuré pour cloner la VM <code>template</code> :
sudo xen-create-image --hostname lapin

On peut utiliser les options <code>--size</code>, <code>--memory</code> et autres.
Il faut absolument préciser <code>--ip 172.22.147.XXX</code> ou <code>--dhcp</code>.

=== Template ===

Le '''template''' est une Debian Wheezy relativement minimaliste (qui occupe tout de même un demi giga), avec le ChangeLog suivant :
2014-08-16 nicoo <nicolas+loop@braud-santoni.eu>
* Utilisateurs
* nicoo, tom, damien et kankan
* Groupes sudo et adm
* Mots de passes par défaut
* Clefs SSH
* dashie
* Clef SSH ; pas de mot de passe (donc pas sudoer)
* Install: sudo, unattended-upgrades, molly-guard, tmux
* root: Désactivation du mot de passe
* OpenSSH
* Installation de openssh-server, openssh-blacklist et openssh-blacklist-extra
* Utilisation de la sandbox
* Désactivation des clefs DSA pour les hôtes
* Interdiction pour root de se logguer
* Suppression de l'auth par mot de passe
* Restriction de l'accès au groupe adm
* Désactivation du forwarding X11
* apt: `Install-Recommends no` pour ne pas installer des paquets inutiles

[[Category:Infrastructure]]

Serveur kraken

2015-04-20T19:18:19Z

Kankan:

Kraken est une machine de virtualisation (basée sur [http://www.xenproject.org/ Xen]), qui a pour but d'héberger des VMs tant que la bruyante [[Serveur supervixen|supervixen]] n'est pas de retour. Elle succède à [[Serveur undervixen|undervixen]] pour son apport important de ressource (plus du double) et de sécurité/fiabilité (du RAID notamment).

Au printemps 2015, les VMs ont étés migrées sur Ultravixen. Kraken reste temporairement allumé car il héberge une VM HVM...

== Matériel ==

* Marque : DELL PowerEDGE R200
* CPU : 1 Xeon E3120 (3.16GHz)
* RAM : 4 × 2 Go de DDR 2 @800MHz
* HDD : 2 x 500Go SATA 7200rpm
* RAID : 2 Volumes RAID 1 software sur 2 disques (/boot et LVM)
* Réseau : 2 x Ethernet Broadcom Gigabit BCM5721

{{Note|Le port série à l'air de déconner un peu. A vérifier. 
Si on trouve un 3ème disque on peut même passer en RAID 5 facilement
<ref group="raid">http://neil.brown.name/blog/20090817000931</ref>
<ref group="raid">http://blog.endpoint.com/2014/03/mdlvm-expansion-from-raid-1-to-raid-5.html</ref>
<ref group="raid">http://sid.rstack.org/blog/index.php/205-de-raid-1-en-raid-5-sans-les-mains</ref>
}}

== OS ==

Debian Wheezy 7 64 bits. LVM avec un VG unique <code>kraken</code>.

Admins : [[User:ToM|ToM]], [[User:Kankan|kankan]], [[User:dlgg|dlgg]] (TODO : rajouter les autres admins)

== Spécificité ==

<s>Le serveur est connecté au switch du loop via un cable Ciscal.</s> {{deb|minicom}} est installé sur le serveur et configuré pour s'y connecter. 
'''En attente de vérification du port série'''

== VMs ==

Toute les VMs sont transferées sur [[Serveur ultravixen|ultravixen]]

== Création de VM ==
Comme on est des grosses feignasses, on a pas forcément envie d'attendre que <code>debootstrap</code> tourne, puis configurer la VM à la main.
Du coup, <code>xen-tools</code> est configuré pour cloner la VM <code>template</code> :
sudo xen-create-image --hostname lapin

On peut utiliser les options <code>--size</code>, <code>--memory</code> et autres.
Il faut absolument préciser <code>--ip 172.22.147.XXX</code> ou <code>--dhcp</code>.

=== Template ===

Le '''template''' est une Debian Wheezy relativement minimaliste (qui occupe tout de même un demi giga), avec le ChangeLog suivant :
2014-08-16 nicoo <nicolas+loop@braud-santoni.eu>
* Utilisateurs
* nicoo, tom, damien et kankan
* Groupes sudo et adm
* Mots de passes par défaut
* Clefs SSH
* dashie
* Clef SSH ; pas de mot de passe (donc pas sudoer)
* Install: sudo, unattended-upgrades, molly-guard, tmux
* root: Désactivation du mot de passe
* OpenSSH
* Installation de openssh-server, openssh-blacklist et openssh-blacklist-extra
* Utilisation de la sandbox
* Désactivation des clefs DSA pour les hôtes
* Interdiction pour root de se logguer
* Suppression de l'auth par mot de passe
* Restriction de l'accès au groupe adm
* Désactivation du forwarding X11
* apt: `Install-Recommends no` pour ne pas installer des paquets inutiles

== Notes ==
<references group="raid" />

[[Category:Infrastructure]]

Plan d'adressage

2014-12-11T19:39:23Z

Kankan: Plages DHCP

Ce document détaille les sous-réseaux présents au Loop.

Le détail des allocations [[DN42]] apparait également dans la base Whois et [http://109.24.208.244:8888/dn42-netblock-visu/registry.html dans la visualisation graphique].

== LOOP ==

* <code>172.22.146.0/23</code> : Allocation DN42
** <code>172.22.146.0/25</code>, <code>2001:470:c9ca:1::/64</code> : Réseau Ethernet, VLAN ''space'' (40), ports 17 à 24
*** Plage DHCP IPv4 de 172.22.146.2 à 172.22.146.116
*** Autoconfiguration sans état pour IPv6
** <code>172.22.146.128/25</code>, <code>2001:470:c9ca:2::/64</code> : Réseau WiFi, VLAN ''space-wifi'' (45), port 7
*** Plage DHCP IPv4 de 172.22.146.129 à 172.22.146.254
*** Autoconfiguration sans état pour IPv6
** <code>172.22.147.0/25</code>, <code>2001:470:c9ca::/64</code> : Services, VLAN ''services'' (30), ports 9 à 16
*** Plage DHCP IPv4 de 172.22.147.2 à 172.22.147.50
*** Autoconfiguration sans état pour IPv6
** <code>172.22.147.128/25</code> : VPN ?

Chaque <code>/25</code> contient 125 IPs utilisables (+ passerelle).
Tous ces réseaux sont joignables depuis DN42 sur le port 22 (SSH).

== Squats ==

* <code>172.22.59.0/24</code> : Allocation DN42
** <code>172.22.59.0/25</code>, <code>2001:470:c9ca:3::/64</code> : Jardin d'Alice, VLAN ''alice'' (50), port 5
*** Plage DHCP IPv4 de 172.22.59.2 à 172.22.59.126
*** Autoconfiguration sans état pour IPv6
Seul ICMP est autorisé depuis DN42.

[[Category:Infrastructure]]

Routeur rabbit

2014-12-09T13:07:30Z

Kankan: Plus de résolveurs DNS, c'est fait :)

{{Brouillon}}
La machine '''rabbit''' est le routeur principal de la [[BlackBoxe]] et [[le Jardin d'Alice]].

== Hardware ==

* AMD Sempron(tm) Processor 3000+
* 512 MB RAM.

== OS ==
pfSense 2.1.2 (i386)

== Routage ==

Ce routeur est connecté au [[Switching|Switch Cisco de coeur]] sur le premier port. Il reçoit tout les vlans taggués sur ce port.

Les réseaux du Loop et du Jardin d'Alice ont ce routeur en route par défaut.
Voir le [[plan d'adressage]] pour plus de détails.

Les réseaux 10.0.0.8/8, 172.31.0.0/16 et 172.22.0.0/15 sont utilisés dans [[DN42]] et les réseaux qui y sont interconnectés, ils sont donc routés vers la [[VM Heimdall]].
Le reste ressort par la connexion ADSL Free (en IPv4) ou via le tunnel Hurricane en IPv6.

=== Tunnel IPv6 ===

L'IPv6 est amené par un tunnel Hurricane Electric (6in4) configuré sur le pfSense.
À l'avenir, il est envisagé de router les subnets IPv6 de la Freebox vers le pfSense pour se passer du tunnel.

== Services ==

=== DHCP ===

Le serveur DHCP de pfSense (dnsmask) est configuré pour donner des adresses IP dans les réseaux filaires, wifi et de service du loop, ainsi que dans le réseau du Jardin d'Alice. Les plages d'IPs exactes sont documentées dans le [[plan d'adressage]] (et oui, encore).

=== Forward DNS ===

En plus du DHCP, le dnsmask de pfSense sert aussi de résolveur/forwarder DNS, distribué par défaut à toutes les machines via DHCP.

Il est configuré de la manière suivante :
* Les noms en .caserne sont résolus localement,
* Les noms en .dn42 et les reverses DNS associés sont envoyés sur le [https://dn42.net/Services-DNS résolveur anycast] de DN42.
* Le reste des requêtes est forwardé vers les résolveurs DNS de [http://www.fdn.fr/ FDN] (80.67.169.12 et 80.67.169.40), de [https://ldn-fai.net/ LDN] et d'[http://arn-fai.net/ ARN] (respectivement 80.67.188.188 et 89.234.141.66) <ref>Les serveurs DNS de FDN étant situés sur le même réseau et dans la même baie,un peu de diversité a été ajouté pour éviter de se retrouver coupé au moindre incident affectant FDN ou Gitoyen.</ref>

== Sauvegarde ==

Un [[Routeur_rabbit/backup|script]] tourne sur [[VM_Jarvis|Jarvis]] pour faire un backup tous les jours à 6h00 de la configuration.

<references/>

[[Category:Infrastructure]]

Noms d'équipements

2014-12-07T21:11:12Z

Kankan: Typo lien VM Puppet

{{Brouillon}}
Cette page à pour but de recencer les noms d'équipements déjà éxistants au loop.

==Serveurs==

*[http://wiki.leloop.org/index.php/Serveurs#b48 b48]
*[http://wiki.leloop.org/index.php/Serveurs#Bench0 Bench0]
*[http://wiki.leloop.org/index.php/Serveurs#Bench1 Bench1]
*[http://wiki.leloop.org/index.php/Serveurs#Bench2 Bench2]
*[http://wiki.leloop.org/index.php/Serveurs#Bench3 Bench3]
*[http://wiki.leloop.org/index.php/Serveurs#Dalida Dalida]
*[http://wiki.leloop.org/index.php/Serveurs#debian6leloop debian6leloop]
*[http://wiki.leloop.org/index.php/Serveurs#Joker Joker]
*[http://wiki.leloop.org/index.php/Serveurs#Poisonivy Poisonivy]
*[http://wiki.leloop.org/index.php/Serveurs#rhaamo rhaamo]
*[http://wiki.leloop.org/index.php/Serveurs#Stone_Routeur Stone Routeur]
*[http://wiki.leloop.org/index.php/Serveurs#tomraider tomraider]
*[http://wiki.leloop.org/index.php/Serveurs#Vieux_filer Vieux filer]
*[http://wiki.leloop.org/index.php/Serveurs#WPE-790 WPE-790]

==Switchs==
*[http://wiki.leloop.org/index.php/Switch_D-Link#Cisco_.22Cthulhu.22_2970-24TS Cthulhu]
==Ordinateurs==

==Machines virtuelles==
*[[VM_ALfred|ALfred]]
*[[VM_Bifrost|Bifrost]]
*[[VM_bortz|bortz]]
*[[VM_calendar|calendar]]
*[[VM_Gitloop|Gitloop]]
*[[VM_Heimdall|Heimdall]]
*[[VM_Jarvis|Jarvis]]
*[[VM_LooPXE|LooPXE]]
*[[VM_Puppet|Puppet]]
*[[VM_yersay|yersay]]

==Réseaux==
==Routeurs==
*[http://wiki.leloop.org/index.php/Routeur_rabbit rabbit]
*[http://wiki.leloop.org/index.php/Routeur_aiguilleur aiguilleur]

[[Category:Infrastructure]]

Imprimante PHASER7700GX

2014-12-07T21:09:11Z

Kankan: +Infrastructure

== Xerox Phaser 7700GX ==

Imprimante située a la blackloop. Infos de driver :

* URI: socket://172.22.146.120:9100 (aka "JetDirect") (SURTOUT PAS IPP, L'IMPRIMANTE CRASH !)
* Driver N/B: Xerox Phaser 7700GX - CUPS+Gutenprint v5.2.10 (grayscale, 2-sided printing)
* Driver Couleur: Xerox Phaser 7700GX Foomatic/Postscript
* Taille de page: "Laisser l'imprimante choisir", le choix du bac ne FONCTIONNE PAS !
* L'imprimante choisira le bon bac selon A4/A3

[[Category:Infrastructure]]

Plan d'adressage

2014-12-07T16:45:34Z

Kankan: Ajout d'un tot pour DHCP

Ce document détaille les sous-réseaux présents au Loop.

Le détail des allocations [[DN42]] apparait également dans la base Whois et [http://109.24.208.244:8888/dn42-netblock-visu/registry.html dans la visualisation graphique].

== LOOP ==

* <code>172.22.146.0/23</code> : Allocation DN42
** <code>172.22.146.0/25</code>, <code>2001:470:c9ca:1::/64</code> : Réseau Ethernet, VLAN ''space'' (40), ports 17 à 24
** <code>172.22.146.128/25</code>, <code>2001:470:c9ca:2::/64</code> : Réseau WiFi, VLAN ''space-wifi'' (45), port 7
** <code>172.22.147.0/25</code>, <code>2001:470:c9ca::/64</code> : Services, VLAN ''services'' (30), ports 9 à 16
** <code>172.22.147.128/25</code> : VPN ?

Chaque <code>/25</code> contient 125 IPs utilisables (+ passerelle).
Tous ces réseaux sont joignables depuis DN42 sur le port 22 (SSH).

== Squats ==

* <code>172.22.59.0/24</code> : Allocation DN42
** <code>172.22.59.0/25</code>, <code>2001:470:c9ca:3::/64</code> : Jardin d'Alice, VLAN ''alice'' (50), port 5

Seul ICMP est autorisé depuis DN42.

== Todo ==
* Documenter les plages d'adresses allouées via DHCP dans les réseaux.

[[Category:Infrastructure]]

Routeur rabbit

2014-12-07T16:43:59Z

Kankan: Mises à jour diverses

{{Brouillon}}
La machine '''rabbit''' est le routeur principal de la [[BlackBoxe]] et [[le Jardin d'Alice]].

== Hardware ==

* AMD Sempron(tm) Processor 3000+
* 512 MB RAM.

== OS ==
pfSense 2.1.2 (i386)

== Routage ==

Ce routeur est connecté au [[Switching|Switch Cisco de coeur]] sur le premier port. Il reçoit tout les vlans taggués sur ce port.

Les réseaux du Loop et du Jardin d'Alice ont ce routeur en route par défaut.
Voir le [[plan d'adressage]] pour plus de détails.

Les réseaux 10.0.0.8/8, 172.31.0.0/16 et 172.22.0.0/15 sont utilisés dans [[DN42]] et les réseaux qui y sont interconnectés, ils sont donc routés vers la [[VM Heimdall]].
Le reste ressort par la connexion ADSL Free (en IPv4) ou via le tunnel Hurricane en IPv6.

=== Tunnel IPv6 ===

L'IPv6 est amené par un tunnel Hurricane Electric (6in4) configuré sur le pfSense.
À l'avenir, il est envisagé de router les subnets IPv6 de la Freebox vers le pfSense pour se passer du tunnel.

== Services ==

=== DHCP ===

Le serveur DHCP de pfSense (dnsmask) est configuré pour donner des adresses IP dans les réseaux filaires, wifi et de service du loop, ainsi que dans le réseau du Jardin d'Alice. Les plages d'IPs exactes sont documentées dans le [[plan d'adressage]] (et oui, encore).

=== Forward DNS ===

En plus du DHCP, le dnsmask de pfSense sert aussi de résolveur/forwarder DNS, distribué par défaut à toutes les machines via DHCP.

Il est configuré de la manière suivante :
* Les noms en .caserne sont résolus localement,
* Les noms en .dn42 et les reverses DNS associés sont envoyés sur le [https://dn42.net/Services-DNS résolveur anycast] de DN42.
* Le reste des requêtes est forwardé vers les résolveurs DNS de [http://www.fdn.fr/ FDN] (80.67.169.12 et 80.67.169.40), et bientôt de [https://ldn-fai.net/ LDN] et d'[http://arn-fai.net/ ARN] (respectivement 80.67.188.188 et 89.234.141.66) <ref>Les serveurs DNS de FDN étant situés sur le même réseau et dans la même baie, il serait bien d'ajouter un peu de diversité pour éviter de se retrouver coupé au moindre problème sur leur réseau.</ref>

== Sauvegarde ==

Un [[Routeur_rabbit/backup|script]] tourne sur [[VM_Jarvis|Jarvis]] pour faire un backup tous les jours à 6h00 de la configuration.

<references/>

[[Category:Infrastructure]]

Noms d'équipements

2014-12-06T23:48:43Z

Kankan: Ajout catégorie "Infrastructure" + complétion liste VMs

{{Brouillon}}
Cette page à pour but de recencer les noms d'équipements déjà éxistants au loop.

==Serveurs==

*[http://wiki.leloop.org/index.php/Serveurs#b48 b48]
*[http://wiki.leloop.org/index.php/Serveurs#Bench0 Bench0]
*[http://wiki.leloop.org/index.php/Serveurs#Bench1 Bench1]
*[http://wiki.leloop.org/index.php/Serveurs#Bench2 Bench2]
*[http://wiki.leloop.org/index.php/Serveurs#Bench3 Bench3]
*[http://wiki.leloop.org/index.php/Serveurs#Dalida Dalida]
*[http://wiki.leloop.org/index.php/Serveurs#debian6leloop debian6leloop]
*[http://wiki.leloop.org/index.php/Serveurs#Joker Joker]
*[http://wiki.leloop.org/index.php/Serveurs#Poisonivy Poisonivy]
*[http://wiki.leloop.org/index.php/Serveurs#rhaamo rhaamo]
*[http://wiki.leloop.org/index.php/Serveurs#Stone_Routeur Stone Routeur]
*[http://wiki.leloop.org/index.php/Serveurs#tomraider tomraider]
*[http://wiki.leloop.org/index.php/Serveurs#Vieux_filer Vieux filer]
*[http://wiki.leloop.org/index.php/Serveurs#WPE-790 WPE-790]

==Switchs==
*[http://wiki.leloop.org/index.php/Switch_D-Link#Cisco_.22Cthulhu.22_2970-24TS Cthulhu]
==Ordinateurs==

==Machines virtuelles==
*[[VM_ALfred|ALfred]]
*[[VM_Bifrost|Bifrost]]
*[[VM_bortz|bortz]]
*[[VM_calendar|calendar]]
*[[VM_Gitloop|Gitloop]]
*[[VM_Heimdall|Heimdall]]
*[[VM_Jarvis|Jarvis]]
*[[VM_LooPXE|LooPXE]]
*[[VM_puppet|Puppet]]
*[[VM_yersay|yersay]]

==Réseaux==
==Routeurs==
*[http://wiki.leloop.org/index.php/Routeur_rabbit rabbit]
*[http://wiki.leloop.org/index.php/Routeur_aiguilleur aiguilleur]

[[Category:Infrastructure]]

VM Gitloop

2014-12-06T23:41:52Z

Kankan: Affichage esthétique de l'URL

{{ Brouillon }}

La machine virtuelle '''gitloop''' héberge un [https://about.gitlab.com/ gitlab] permettant d'héberger des dépôts [[Git]] pour des projets en rapport avec le loop.

== OS ==

* Hébergée sur [[Serveur_kraken|kraken]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname gitloop --size 20G --dist wheezy --dhcp
* IP : 172.22.147.63

== Services ==

Le serveur héberge le gitlab accessible à l'adresse [https://git.leloop.org/ git.leloop.org].

[[Category:VM]]

VM Gitloop

2014-12-06T23:40:46Z

Kankan: Ajout d'une description

Git

2014-12-06T23:38:06Z

Kankan: /* Sous le capot */ : Lien vers la page de la VM

Le Loop dispose d'un '''repository Git''' pour héberger les projets du Loop et de ses Loopiot·e·s.

== Règles ==

Sur le Git du Loop, on héberge les projets en lien avec Le Loop.

On se prive d'utiliser ce service pour versionner ses documents persos : ils ont toute leur place sur un git hébergé par vos soins ou sur toute autre plateforme publique.

== Comment y accéder ==

Pour consulter les projets publics, ça se passe ici: https://git.leloop.org/public

Pour ajouter son projet ou contribuer à un projet existant, il suffit de demander un accès à un [[Project:Lapins|Lapin]].

Vous pourrez alors accéder aux projets publics, privés et pousser du code sur le repository.

Pour pousser du code, vous devez ajouter une clé publique SSH à votre compte sur GitLab (c'est intuitif).

Lors de la première utilisation il faudra ajouter ceci à votre {{fichier|~/.ssh/config}} (en remplacant {{fichier|~/.ssh/id_rsa}} par le chemin de la clé privée correspondant à la clé publique enregistrée sur le GitLab):

Host git.leloop.org
Hostname git.leloop.org
Port 22
IdentityFile ~/.ssh/id_rsa

Pour toute question, n'hésitez pas à utiliser la [[mailing list]] ou l'[[IRC]]

== Sous le capot ==

* Propulsé par [https://about.gitlab.com/ Gitlab]
* Hébergé au Loop, sur la [[VM Gitloop]].
* Roots : [[User:Capslock|Capslock]], ...

== Voir aussi ==

* [[wikipedia:fr:Git|Git]] sur Wikipedia.
* http://git-scm.com/book/fr/Git-sur-le-serveur-G%C3%A9n%C3%A9ration-des-cl%C3%A9s-publiques-SSH : tutoriel pour la génération de clé SSH.

[[Category:Services]]

VM Gitloop

2014-12-06T23:35:03Z

Kankan: Ajout catégorie "VM"

{{ Brouillon }}

La machine virtuelle '''gitloop''' fournit un reverse-proxy pour [[:Category:Infrastructure|l'infrastructure]] du Loop. Elle va donc permettre de publier sur l'Internet des services hébergés au hackerspace.

== OS ==

* Hébergée sur [[Serveur_kraken|undervixen]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname gitloop --size 20G --dist wheezy --dhcp
* IP : 172.22.147.63

== Services ==

Le serveur héberge le gitlab accessible à l'adresse [https://git.leloop.org/].

[[Category:VM]]

VM Puppet

2014-12-06T23:33:28Z

Kankan: Création de la page : il manque des informations à compléter (voir avec les personnes gérant ladite machine)

{{ Brouillon }}

La machine virtuelle '''puppet''' hébergera un [https://docs.puppetlabs.com/references/3.7.0/man/master.html puppetmaster], qui servira à configurer les paramètres de base des machines du loop (comptes utilisateurs des administrateurs et clés SSH associées, paquets usuels, etc).

== OS ==

* Hébergée sur [[Serveur_kraken|kraken]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname puppet --size 2G --dist wheezy --dhcp
* IP : 172.22.147.59
* {{deb|puppetmaster}}
* Installée par [[User:dlgg|dlgg]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]]

== Services ==

Le serveur héberge un puppetmaster, et contient les manifests Puppet utilisés pour déployer une VM de base au loop (qui sont toujours en développement).

[[Category:VM]]

VM Gitloop

2014-12-06T23:24:54Z

Kankan: Création de la page : il manque des informations à compléter (voir avec les personnes gérant ladite machine)

VM calendar

2014-12-06T23:15:27Z

Kankan: Ajout catégorie "projet en sommeil"

{{Projet en sommeil}}

La machine virtuelle '''calendar.gare.xp''' fournit un service de [[calendrier]] interne (ou pas) au Loop.

== OS ==

* Hébergée sur [[Serveur_supervixen|supervixen]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname calendar
* IP : 192.168.0.68 (DHCP) - RDNS : calendar.gare.xp
* {{deb|apache2}}, {{deb|postgresql}}
* Installée par [[User:Okhin|okhin]]. Root: [[User:Okhin|okhin]]. [[User:ToM|ToM]]

== Services ==

Le serveur héberge le service [http://davical.org DAViCal] installé depuis les dépôts Debian, sur une base {{deb|postgresql}}. {{deb|apache2}} sert le contenu en local (sur calendar.gare.xp), et un ''reverse proxy'' sur [[Routeur aiguilleur|aiguilleur]] permet d'accéder au calendrier public et aux ''ics'' à l'URL http://cal.leloop.org.

=== DaviCAL ===

{{deb|DAViCal}} est installé depuis les dépôts Debian. La configuration se fait dans {{fichier|/etc/davical/calendar.gare.xp-conf.php}}.

Pour ajouter un calendrier externe, il faut utiliser le script {{fichier|/usr/share/davical/bind_external_calendar.sh}}.

Le fonctionnement de DAViCal est un peu particulier. Il faut créer des '''''principals''''' depuis un compte admin' qui sont de type '''''User''''', '''''Resource''''' (un ''User'' qui n'a pas pour but de se loguer) et '''''Group'''''. Par défaut, un ''principal'' est créé avec deux '''''collections''''', l'une ({{fichier|/username/addresses}}) qui sert de [[wikipedia:fr:CardDAV|CardDAV]] pour la gestion des contacts et l'autre ({{fichier|/username/calendar}}) qui est le calendrier par défaut.

Il est parfaitement possible d'ajouter d'autres ''collections'' (calendriers ou carnets d'adresses).

Une collection publique sera accessible en lecture seule à l'URL <code>/public.php/principal/collection/</code>. Les autres ''collections'' nécessitent une identification et sont accessibles à <code>/caldav.php/principal/collection/</code>.

Des [[wikipedia:fr:ACL|ACL]] permettent de définir les accès aux différentes ''collections'' en fonction du ''principal'' connecté.

{{Note|Plus d'infos sur le [http://wiki.davical.org wiki de DAViCal].}}

La ressource est disponible à l'adresse http://calendar.gare.xp

==== Ouvrir le robots.txt ====

Lors de l'import dans Google Agenda, le fichier [http://sources.debian.net/src/davical/1.1.1-1/htdocs/robots.txt robots.txt] du paquet {{deb|davical}} génère une erreur :

Erreur de paramètres
Impossible de récupérer l'URL, car le fichier robots.txt nous empêche de l'explorer.

Dans Apache, on redirige donc silencieusement cette requête vers un fichier à nous :

# Le fichier upstream disallow tout, on contourne :
Alias /robots.txt /var/www/robots.txt

=== CalDavZap ===

Le client JavaScript est un [http://www.inf-it.com/open-source/clients/caldavzap/ CalDavZAP], accessible à deux endroits :
* http://calendar.gare.xp/client/ en lecture et écriture depuis la Gare XP (nécessite le mot de passe du compte : <code>leloop</code>/<code>poolel</code>), en lecture quand même depuis l’extérieur, soyons fous.
* http://cal.leloop.org/public/ depuis le reste des intertubes, mais en lecture seule.

La configuration du client se fait dans {{fichier|/usr/share/davical/htdocs/{public,client}/config.js}} selon l'interface à modifier. Après toute modification, il est nécessaire de rafraîchir le <code>cache.manifest</code> en appelant l'utilitaire {{fichier|/usr/share/davical/htdocs/{public,client}/cache_update.sh}} .

[[Category:VM]]

VM bortz

2014-12-06T23:14:36Z

Kankan: Enlevé de la catégorie "VM" pour nettoyer la liste...

{{Archive}}

La VM <code>bortz.caserne</code> hébergait un résolveur DNS accessible depuis le loop.
La résolution DNS est actuellement faite sur [[routeur_rabbit|rabbit]], cette VM est donc à l'abandon.

== OS ==

* Hébergée sur [[Serveur_undervixen|undervixen]]
* Debian Wheezy créée par à partir du template :
xen-create-image --hostname jarvis --size 10G --dist wheezy --dhcp
* IP : 172.22.147.67 (fixe)
* {{deb|unbound}}, {{deb|ldnsutils}}
* Installée par [[User:nicoo|nicoo]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]]

== Unbound ==

C'est une instance d'{{deb|unbound}} assez classique, un peu ''hardened'' avec la config de [[User:nicoo|nicoo]].

Elle accepte les requêtes depuis le réseau du loop (<code>172.22.146.0/23</code>), les squats (<code>172.22.59.0/24</code>) et '''heimdall.caserne''' (<code>172.22.247.30</code>).

En pratique, cette machine sert surtout de forwarder DNS pour les zones de DN42.

Serveur Web

2014-12-06T23:12:56Z

Kankan: Enlevé de la catégorie "Infra" pour nettoyer la liste...

{{Archive}}
Le '''serveur Web''' n'existe plus ; pour l'instant, le [[routeur aiguilleur]] proxifie les requêtes pour chaque service déployé sur les autres machines.

Serveur gary

2014-12-06T23:04:56Z

Kankan: Enlevé de la catégorie "Infra" pour nettoyer la liste...

{{Archive}}
Le serveur '''gary''' était un serveur temporaire (qui a tout de même duré un an et demi), empilé avec les autres machines dans le local du Loop.

Cette machine s'en est allée en même temps que l’année 2013. La doc ci-dessous reste là à titre de référence.

== Hardware ==

* PIII 700MHz, 256 RAM, carte ethernet GigaBit.

=== Disques ===

Deux disques de 250Go avec les fichiers en partage :
/dev/sdb1 230G 199G 19G 92% /srv
/dev/sdc1 230G 217G 912M 100% /srv/mp3

Et le disque dur de la Freebox, via SMB :
//mafreebox.freebox.fr/Disque dur/
232G 145G 77G 66% /srv/freebox

== OS ==

Debian squeeze

Root : [[User:Capslock|CapsLock]], [[User:dermiste|dermiste]], [[User:Fergusl|FergusL]], zx2c4, [[User:Okhin|okhin]], [[User:Rhaamo|rhaamo]], [[User:ToM|ToM]], [[User:okhin|okhin]].

== Services ==

=== lapool ===

[[lapool]] tourne sous le compte lapool (accès SSH : [[User:dermiste|dermiste]], [[User:rhaamo|rhaamo]], [[User:ToM|ToM]])

C'est aussi là qu'on fait tourner le script urloop du [[Loopicious]].

=== NFS ===

/srv 192.168.0.0/24(ro,insecure,all_squash,no_subtree_check
/srv/mp3/incoming 192.168.0.0/24(rw,insecure,all_squash,no_subtree_check)

=== nginx ===

[[User:okhin|okhin]] y a commencé la mise en place d'un [[VM calendar|système de calendrier partagé]],

Serveur cousine

2014-12-06T23:04:19Z

Kankan: Enlevé de la catégorie "Infra" pour nettoyer la liste...

{{Archive}}
La '''cousine''' c'est le fourre-tout du Loop, un serveur partagé prévu pour remplacer [[Serveur gary|gary]].

Finalement, on utilise la [[Serveur supervixen|virtualisation]], plus trop besoin de fourre-tout...

Failer

2014-12-06T23:02:52Z

Kankan: Archivage : cette machine ne sert plus de serveur de fichiers...

{{Archive}}

== Qu'est-ce que c'est ? ==

Le '''Failer''' est un ancien serveur de fichiers.

{{Voir aussi|[[Serveur de fichiers]] pour avoir la liste des serveurs de fichiers}}

== Et en pratique ? ==

Il y a deux volumes ext4 : '''sto1''' avec 500 Gio et '''sto2''' avec 1.7 Tio. Ils seront disponibles suivant les besoins, mais au moins ''via'' NFS.

== Côté hardware ==

Le serveur est un Dell PowerEdge 1750 avec deux Xeon 32 bits 3.06 GHz et 2 Go de RAM.

Dans le serveur : 3 disques durs de 300 Gio SCSI 10k RPM SCA, en RAID 5 matériel. Ces trois disques hébergent le système et sto1. Attaché au serveur en SCSI, une baie de disques Dell PowerVault 220S avec 13 disques de 146 Gio SCSI 10k RPM SCA, en RAID 5 matériel. La machine a été récupérée par [[User:Megagolgoth|Megagolgoth]] et "donnée par une petite boite qui n'est pas en mal de célébrité".

Le Failer pourra FAIL, si un disque foire. ''Anefé'', il n'y a aucun spare pour le moment... La baie de disque peut acceullir un disque de spare, elle a 14 emplacements et 13 disques, donc un de libre. Des tests pas du tout subjectif (<code>hdparm -Tt</code>, non non... ) donnent 174 Mo/s pour les disques internes et 79 Mo/s pour la baie de disque.

'''Debian 7.0 Wheezy''' est installé dessus.

== Mais ça pompe ça, non ? ==

Ben oui, et pas qu'un peu : près de 500 watts au démarrage, et 400 à 450 watts une fois lancé.

== Qui fait quoi ? ==

[[User:ToM|ToM]] et [[User:Capslock|Capslock]] se chargent de la configuration, [[User:Megagolgoth|Megagolgoth]] a configuré le serveur puis installé la Debian ; maintenant, il regarde et apprend.

== Et sinon, que fait-on avec ça ? ==

Quand ce sera prêt, ça pourra héberger les back-ups, la musique, les films de vacances, les ISO *nix... pour ensuite redistribuer ça là où il y a besoin : serveurs [[serveur MPD|MPD]], [[Routeur_aiguilleur#tFTP|PXE]], etc.

== Comment y accède-t-on ? ==

Via des montages NFS depuis son petit nom :
* Lecture seule : <code>failer.gare.xp:/srv/sto2/files</code>
* En écriture : <code>failer.gare.xp:/srv/sto2/incoming</code>
* En écriture pour le MPD : <code>failer.gare.xp:/srv/sto2/files/mp3/incoming</code>

Serveur d'impressions

2014-12-06T22:56:05Z

Kankan: Ajout catégorie "projet en sommeil"

{{Projet en sommeil}}

À l’époque de la [[:Category:Chapon|rue Chapon]], [[User:Jokerozen|Jokerozen]] avait mis en place '''gutenberg''', un serveur d'impression sous Arch Linux.

La bestiole n'a pas fonctionné bien longtemps, pour des raisons qui se sont perdues dans le déménagement.

À refaire, donc (le Loop, la boucle, tu vois, tout a un sens, tout.)

[[Category:Infrastructure]]

User:Kankan

2014-11-30T16:22:25Z

Kankan:

Administrateur sysème qui a participé à la mise en place la connexion à [[DN42]] du loop (entre-autres).

Administrateur de [[serveur_kraken|kraken]] et des VMs qui sont dessus.

== Contact ==

* Mail : kankan-leloop ! chiantos ! org
* IRC : [irc://irc.freenode.net/kankan kankan@freenode]

Clé SSH :
<pre>ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC02eNu4T8SzFSWOLhf7ktUJTRklwihm5PNevST4aKMD/e0Wle7oiC7TSIzMIEA5kTiBRtDOJ8jI0SkeUw4q4SAu7DzPSK1M0y8rB6ekUSyG0wom0asBomfZtDbLw9jU+WDPC2j8yRjrdL/KTSmhT8zQNyoW+JGAqrja+pxeDh0gdetwDzPvTqrB/rgFkI+3B70iNTJRrsXI5rK1pnmoYozmpIl/hmm9qbP1NKZgHIIFbUzOK1NSNUQ0+OKMZHjoy5RNxArPJbjNNXBS3Y0//8kwGvABxdrposRbAX4v4Zfae5CJ65rgJt3cBJ96ckkAXhhrLlofThOCfxphEJXwlhF</pre>

User:Kankan

2014-11-30T13:34:46Z

Kankan:

User:Kankan

2014-11-30T13:34:29Z

Kankan: Ajour de page

= kankan =
Administrateur sysème qui a participé à la mise en place la connexion à [[DN42]] du loop (entre-autres).

Administrateur de [[serveur_kraken|kraken]] et des VMs qui sont dessus.

== Contact ==

* Mail : kankan-leloop ! chiantos ! org
* IRC : [irc://irc.freenode.net/kankan kankan@freenode]

Clé SSH :
<pre>ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC02eNu4T8SzFSWOLhf7ktUJTRklwihm5PNevST4aKMD/e0Wle7oiC7TSIzMIEA5kTiBRtDOJ8jI0SkeUw4q4SAu7DzPSK1M0y8rB6ekUSyG0wom0asBomfZtDbLw9jU+WDPC2j8yRjrdL/KTSmhT8zQNyoW+JGAqrja+pxeDh0gdetwDzPvTqrB/rgFkI+3B70iNTJRrsXI5rK1pnmoYozmpIl/hmm9qbP1NKZgHIIFbUzOK1NSNUQ0+OKMZHjoy5RNxArPJbjNNXBS3Y0//8kwGvABxdrposRbAX4v4Zfae5CJ65rgJt3cBJ96ckkAXhhrLlofThOCfxphEJXwlhF</pre>

Category:Infrastructure

2014-11-27T15:14:12Z

Kankan:

Comme tu peux le voir, c'est ici qu'on indexe les machines et leurs caractéristiques, ainsi que les différents services qu'elles fournissent.

Pour les anciens services, il faut aller jeter un oeil dans les [[:Category:Archives|archives]].

[[Category:Le Loop]]

VM bortz

2014-11-27T15:07:26Z

Kankan: Archivage

VM Bifrost

2014-10-09T20:53:55Z

Kankan: /* OS */

La machine virtuelle '''bifrost''' fournit les services du Loop pour [[DN42]].

== OS ==

* Hébergée sur [[Serveur_undervixen|undervixen]]
* Debian Wheezy créée par {{Deb|debootstrap}} :
xen-create-image --hostname bifrost --size 10G --dist wheezy --dhcp
* IP : 172.22.147.53
* {{deb|knot}} actuallement directement via le <code>.deb</code>. Si quelqu'un peut voir pourquoi le dépot knot ne marche pas ...
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]

== Services ==

Les services suivants ne sont pas encore opérationnels :

* Whois
* Looking Glasses [https://github.com/sileht/bird-lg/]

=== DNS ===

C'est serveur DNS faisant autorité pour les zone <code>caserne.dn42</code> et <code>leloop.dn42</code>.

[[User:nicoo|nicoo]] a installé [https://www.knot-dns.cz/ knot], un serveur DNS ne sachant que faire autorité (pas de mélange récursion et autorité comme avec {{deb|bind9}}).

{{Attention| en cas de modification de l'IP du serveur DNS, il faudra :
* modifier l'enregistrement <code>ns.leloop.dn42</code> ;
* modifier le ''GLUE record'' associé, dans le registre de DN42 ;
* attendre que les résolveurs ''anycast'' prennent la modification en compte.}}

[[Category:VM]]
[[Category:DN42]]

Imprimante PHASER7700GX

2014-10-09T18:59:37Z

Kankan: /* Xerox Phaser 7700GX */

DN42

2014-08-22T09:09:33Z

Kankan: /* Ressources et objets enregistrés dans le registre de DN42 */

{{Brouillon}}
Le Loop participe à '''dn42''' !

Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.

== DN42 ==

[http://dn42.net DN42] est un '''réseau overlay''', dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
* s'attribuer un ASN et une plage d'adresse ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.

=== Documentation officielle ===

Le [https://dn42.net wiki officiel] a pas mal d'informations. Il y a notamment un guide [https://dn42.net/Getting-started-with-dn42 Getting started].

Une [http://dn42.volcanis.me/initenv.1.html copie de l'ancien wiki] est disponible. '''Attention :''' la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.

== DN42 et le Loop ==

=== Liste de diffusion et canal IRC ===

Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.

{{voir|https://lists.leloop.org/cgi-bin/mailman/listinfo/dn42}}

Il est aussi possible de venir en parler sur le salon [[IRC]].

=== Notre implémentation de DN42 ===

Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]].

La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]].

Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN] PTP montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible sur la page de la [[VM Heimdall]].

Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD]. Nous n'annonçons que nos routes et ne redistribuons pas les routes apprises pour limiter le trafic passant par le Loop.

=== Ressources et objets enregistrés dans le registre de DN42 ===

DN42 opère un registre (en pratique un repository [http://www.monotone.ca/ Monotone]) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.

[[User:nicoo|nicoo]] a un accès en écriture sur certains repositories Monotone de DN42 (ceux hébergés par xuu et zorun).
[[User:nicoo|nicoo]] et [[User:kankan|kankan]] ont les accès pour modifier les objets enregistrés via [https://io.nixnodes.net/?registry l'interface web] du registre.

Les objets enregistrés pour le Loop sont les suivants :
* Numéro d'AS :
** AS 4242422121
* Préfixes :
** 172.22.146.0/23 (annoncé) pour les réseaux du loop
** 172.22.59.0/24 (annoncé) pour les réseaux des squats
** 172.22.247.0/27 (non-annoncé) pour les interconnexions
* Noms de domaines :
** leloop.dn42
** caserne.dn42

=== Intercos en place ===

* Dans notre bloc d'interco (<code>172.22.247.0/27</code>)
** <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code>
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>
** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>, GPG <code>0xE7A4B302</code>
** <code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code>
** <code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec '''pas fini''')
** <code>172.22.247.16/31</code> : zombi sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242422422</code>

* Autres
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code>
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
** <code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec '''pas sec''')

== Voir aussi ==

* La catégorie [[:Category:DN42|DN42]] sur ce wiki
* https://dn42.net/ : présentation du projet dn42
* https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence [http://creativecommons.org/licenses/by-nc-sa/3.0/ CC BY-NC-SA 3.0])

[[Category:Services]]
[[Category:DN42]]
[[Category:Projets]]

DN42

2014-08-21T22:47:04Z

Kankan: Objets enregistrés dans le registre DN42

{{Brouillon}}
Le Loop participe à '''dn42''' !

Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.

== DN42 ==

[http://dn42.net DN42] est un '''réseau overlay''', dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
* s'attribuer un ASN et une plage d'adresse ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.

=== Documentation officielle ===

Le [https://dn42.net wiki officiel] a pas mal d'informations. Il y a notamment un guide [https://dn42.net/Getting-started-with-dn42 Getting started].

Une [http://dn42.volcanis.me/initenv.1.html copie de l'ancien wiki] est disponible. '''Attention :''' la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.

== DN42 et le Loop ==

=== Liste de diffusion et canal IRC ===

Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.

{{voir|https://lists.leloop.org/cgi-bin/mailman/listinfo/dn42}}

Il est aussi possible de venir en parler sur le salon [[IRC]].

=== Notre implémentation de DN42 ===

Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]].

La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]].

Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN] PTP montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible sur la page de la [[VM Heimdall]].

Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD]. Nous n'annonçons que nos routes et ne redistribuons pas les routes apprises pour limiter le trafic passant par le Loop.

=== Ressources et objets enregistrés dans le registre de DN42 ===

DN42 opère un registre (en pratique un repository [http://www.monotone.ca/ Monotone]) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.

[[User:nicoo|nicoo]] a un accès en écriture sur le repository Monotone de DN42. [[User:nicoo|nicoo]] et [[User:kankan|kankan]] ont les accès pour modifier les objets enregistrés via [https://io.nixnodes.net/?registry l'interface web] du registre.

Les objets enregistrés pour le Loop sont les suivants :
* Numéro d'AS
** AS 4242422121
* Préfixes
** 172.22.146.0/23 (annoncé) pour les réseaux du loop,
** 172.22.59.0/24 (annoncé) pour les réseaux des squats,
** 172.22.247.0/27 (non-annoncé) pour les interconnexions,
* Noms de domaines :
** leloop.dn42

=== Intercos en place ===

* Dans notre bloc d'interco (<code>172.22.247.0/27</code>)
** <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code>
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>
** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code>, GPG <code>0xE7A4B302</code>
** <code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code>
** <code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec '''pas fini''')

* Autres
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code>
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
** <code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec '''pas fini''')

== Voir aussi ==

* La catégorie [[:Category:DN42|DN42]] sur ce wiki
* https://dn42.net/ : présentation du projet dn42
* https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence [http://creativecommons.org/licenses/by-nc-sa/3.0/ CC BY-NC-SA 3.0])

[[Category:Services]]
[[Category:DN42]]
[[Category:Projets]]

Routeur aiguilleur

2014-08-21T21:29:57Z

Kankan:

La machine '''aiguilleur''' est le routeur de [[la Gare XP]].

Aujourd'hui ce routeur n'ets plus utilisé par le Loop, ce dernier étant hébergé au Jardin d'Alice.

Après une casse de disque dur, on en est à la version 2, qui sert de bétatest pour la future installation du réseau de la future Gare.

== Hardware ==

* AMD Athlon 1.2GHz, 512M+256M de RAM.
* Deux cartes réseau 100M 3com.

== aiguilleur v2 ==

pfSense 2.0.1 i386, parce que c'est tout ce qu'on avait sous la main dans l'urgence.

Installation par [[User:ToM|ToM]]. Reste encore pas mal de configuration à refaire, de services à déporter, etc... work in progress, you can help.

== aiguilleur v1 ==

Informations conservées à titre de référence.

=== OS ===

Debian stable.

==== root ====

[[User:dashie|dashie]] a effectué la mise en place, et [[User:ToM|ToM]] met les mains dedans régulièrement.

[[User:Bencoh|bencoh]], [[User:Capslock|CapsLock]], [[User:Corentin|corentin]], [[User:Dermiste|dermiste]], [[User:Edelwin|Edelwin]], [[User:Gric|gric]] et [[User:Okhin|okhin]] ont également un accès root sur le système.

=== Services ===

==== Munin ====

===== Serveur =====

Viré sur [[VM muninvm|muninvm]] en novembre 2013 (et ça se voit : [http://munin.lan.leloop.org/munin/lan.leloop.org/aiguilleur.lan.leloop.org/cpu.html CPU], [http://munin.lan.leloop.org/munin/lan.leloop.org/aiguilleur.lan.leloop.org/load.html load], [http://munin.lan.leloop.org/munin/lan.leloop.org/aiguilleur.lan.leloop.org/index.html etc]).

===== Node =====

Plugins notoires : <code>[https://github.com/d-matt/freebox_munin freebox_]</code> qui ne [http://munin.lan.leloop.org/munin/lan.leloop.org/aiguilleur.lan.leloop.org/freebox_uptime.html fonctionne plus] depuis que la Freebox sert du json...

==== Smokeping ====

http://aiguilleur.gare.xp/smokeping/

Ping <code>leloop.org</code> et <code>8.8.8.8</code>.

==== ntop ====

http://aiguilleur.gare.xp/ntop/

Pour connaître l'utilisation du réseau, les horaires, les goulots.

==== DHCP / DNS ====

Bind9 + ISC-DHCPD, sert une zone <code>gare.xp</code>, zone peuplée automatiquement par ISC-DHCPD.

Range DHCP : <code>192.168.0.150-192.168.0.254</code>.

Le PXE est servi par tFTP.

==== Proxy ====

Proxy polipo, principalement utilisé pour les mises à jour <code>apt-get</code>.

Fichier {{fichier|/etc/apt/apt.conf.d/90polipo-apt-proxy}} :

<nowiki>Acquire::http::Proxy "http://aiguilleur.gare.xp:8123";</nowiki>

==== Serveur web ====

Apache a été installé pour servir les pages de Munin, ntop et Smokeping. Il fait aussi du reverse pour le [[calendrier]] et autres.

==== tFTP ====

Un serveur tftp est mis en place à l'aide du paquet <code>atftp</code>, pour servir les images pour le boot par PXE : Debian Wheezy (i386 et amd64) et une vieille Ubuntu.

Pour l'instant ça sert du Debian Wheezy amd64, même pas tu test ; mais un menu de sélection serait le bienvenu.

[[Category:Infrastructure]]

Plan d'adressage

2014-08-21T21:08:59Z

Kankan:

Ce document détaille les sous-réseaux présents au Loop.

Le détail des allocations [[DN42]] apparait également dans la base Whois et [http://109.24.208.244:8888/dn42-netblock-visu/registry.html dans la visualisation graphique].

== LOOP ==

* <code>172.22.146.0/23</code> : Allocation DN42
** <code>172.22.146.0/25</code>, <code>2001:470:c9ca:1::/64</code> : Réseau Ethernet, VLAN ''space'' (40), ports 17 à 24
** <code>172.22.146.128/25</code>, <code>2001:470:c9ca:2::/64</code> : Réseau WiFi, VLAN ''space-wifi'' (45), port 7
** <code>172.22.147.0/25</code>, <code>2001:470:c9ca::/64</code> : Services, VLAN ''services'' (30), ports 9 à 16
** <code>172.22.147.128/25</code> : VPN ?

Chaque <code>/25</code> contient 125 IPs utilisables (+ passerelle).
Tous ces réseaux sont joignables depuis DN42 sur le port 22 (SSH).

== Squats ==

* <code>172.22.59.0/24</code> : Allocation DN42
** <code>172.22.59.0/25</code>, <code>2001:470:c9ca:3::/64</code> : Jardin d'Alice, VLAN ''alice'' (50), port 5

Seul ICMP est autorisé depuis DN42.

[[Category:Infrastructure]]