Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "VM Heimdall"

From Le L∞p's Wiki
Jump to: navigation, search
m (OpenVPN: Correction)
(Ajout de l'IP publique)
 
(4 intermediate revisions by 3 users not shown)
Line 3: Line 3:
 
== OS ==
 
== OS ==
  
* Hébergée sur [[Serveur_undervixen|undervixen]]
+
* Hébergée sur [[Serveur_kraken|kraken]]
 
* Debian Wheezy créée par {{Deb|debootstrap}} :
 
* Debian Wheezy créée par {{Deb|debootstrap}} :
 
  xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
 
  xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
* IP : 172.22.247.30 (statique)
+
* IP : 172.22.247.30, 178.20.51.133 (statiques)
* Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
+
* A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
 +
* Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
 
* {{deb|bird}}, {{deb|openvpn}} (''backport''), {{deb|strongswan}} 5 (''backport'')
 
* {{deb|bird}}, {{deb|openvpn}} (''backport''), {{deb|strongswan}} 5 (''backport'')
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
Line 34: Line 35:
  
 
Pour certaines intercos, on utilise aussi IPSec.
 
Pour certaines intercos, on utilise aussi IPSec.
Du coup, {{deb:strongswan}} a été installé par [[User:nicoo|nicoo]]
+
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].
  
La version 5 a été installée depuis <code>wheezy-backport</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté.
+
La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et mieux documenté.
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [https://dn42.net/howto/IPsecWithPublicKeys]
+
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.
  
Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</code> entre 2 hôtes (ou même 2 réseaux).
+
Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</small> entre 2 hôtes (ou même 2 réseaux).
 
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
 
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
  
 +
== Références ==
 +
 +
<references />
  
 
[[Category:VM]]
 
[[Category:VM]]
 
[[Category:DN42]]
 
[[Category:DN42]]

Latest revision as of 22:02, 15 June 2015

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
  • IP : 172.22.247.30, 178.20.51.133 (statiques)
  • A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
  • Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
  • bird, openvpn (backport), strongswan 5 (backport)
  • Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

  • OpenVPN : tunnels ptp pour l'interco
  • Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000 à 36000 sont transférés depuis le routeur.

La version présente dans wheezy-backports a été préférée afin de profiter de certains bugfix.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

  • 172.22.59.0/24
  • 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, strongswan a été installé par nicoo.

La version 5 a été installée depuis wheezy-backports afin de profiter du nouveau format de configuration, plus simple et mieux documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions[1].

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

Références

  1. https://dn42.net/howto/IPsecWithPublicKeys
Retrieved from "http://wiki.leloop.org/index.php?title=VM_Heimdall&oldid=4795"