Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "VM Heimdall"

From Le L∞p's Wiki
Jump to: navigation, search
m (Services)
(Ajout d'une section IPSec)
Line 8: Line 8:
 
* IP : 172.22.247.30 (statique)
 
* IP : 172.22.247.30 (statique)
 
* Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
 
* Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
* {{deb|bird}}, {{deb|openvpn}}
+
* {{deb|bird}}, {{deb|openvpn}}, {{deb|strongswan}} 5 (''backport'')
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
  
Line 28: Line 28:
 
* <code>172.22.59.0/24</code>
 
* <code>172.22.59.0/24</code>
 
* <code>172.22.146.0/23</code>
 
* <code>172.22.146.0/23</code>
 +
 +
=== IPSec ===
 +
 +
Pour certaines intercos, on utilise aussi IPSec.
 +
Du coup, {{deb:strongswan}} a été installé par [[User:nicoo|nicoo]]
 +
 +
La version 5 a été installée depuis <code>wheezy-backport</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté.
 +
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [https://dn42.net/howto/IPsecWithPublicKeys]
 +
 +
Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</code> entre 2 hôtes (ou même 2 réseaux).
 +
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 +
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
 +
  
 
[[Category:VM]]
 
[[Category:VM]]
 
[[Category:DN42]]
 
[[Category:DN42]]

Revision as of 21:38, 22 August 2014

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
  • IP : 172.22.247.30 (statique)
  • Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
  • bird, openvpn, strongswan 5 (backport)
  • Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

  • OpenVPN : tunnels ptp pour l'interco
  • Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 30000 à 31000 sont tranférés depuis le routeur.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

  • 172.22.59.0/24
  • 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, Template:Deb:strongswan a été installé par nicoo

La version 5 a été installée depuis wheezy-backport afin de profiter du nouveau format de configuration, plus simple et plus documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [1]

Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié</code> entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.