Pour éditer le wiki, il faut demander un compte à un Lapin !
Difference between revisions of "VM Heimdall"
(Ajout de l'IP publique) |
|||
(26 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
− | La machine virtuelle '''heimdall | + | La machine virtuelle '''heimdall''' fournit la connectivité du loop vers [[DN42]]. |
== OS == | == OS == | ||
− | * Hébergée sur [[ | + | * Hébergée sur [[Serveur_kraken|kraken]] |
* Debian Wheezy créée par {{Deb|debootstrap}} : | * Debian Wheezy créée par {{Deb|debootstrap}} : | ||
xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp | xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp | ||
− | * IP : 172.22. | + | * IP : 172.22.247.30, 178.20.51.133 (statiques) |
− | * {{deb|bird}}, {{deb|openvpn}} | + | * A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie |
− | * Installée par [[User: | + | * Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop. |
+ | * {{deb|bird}}, {{deb|openvpn}} (''backport''), {{deb|strongswan}} 5 (''backport'') | ||
+ | * Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]] | ||
== Services == | == Services == | ||
− | * | + | * [http://www.openvpn.net OpenVPN] : tunnels ptp pour l'interco |
− | * | + | * [http://bird.network.cz/ Bird] : démon bgp |
=== OpenVPN === | === OpenVPN === | ||
− | Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42 | + | Subnet d'interco DN42 : <code>172.22.247.0/27</code> (non annoncé dans DN42). |
+ | La liste d'interco est sur la page [[DN42]]. | ||
− | Les intercos se font de préférence avec des liens point-à-point | + | Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de <code>35000</code> à <code>36000</code> sont transférés depuis le routeur. |
− | + | La version présente dans <code>wheezy-backports</code> a été préférée afin de profiter de certains ''bugfix''. | |
− | + | ||
− | + | ||
− | + | ||
=== Bird === | === Bird === | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | [[ | + | Nous sommes l'AS <code>4242422121</code> et on annonce les [[Plan_d'adressage|préfixes]] suivants : |
+ | * <code>172.22.59.0/24</code> | ||
+ | * <code>172.22.146.0/23</code> | ||
+ | |||
+ | === IPSec === | ||
+ | |||
+ | Pour certaines intercos, on utilise aussi IPSec. | ||
+ | Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]]. | ||
+ | |||
+ | La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et mieux documenté. | ||
+ | On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>. | ||
+ | |||
+ | Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</small> entre 2 hôtes (ou même 2 réseaux). | ||
+ | Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. | ||
+ | C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec. | ||
+ | |||
+ | == Références == | ||
+ | |||
+ | <references /> | ||
+ | |||
[[Category:VM]] | [[Category:VM]] | ||
+ | [[Category:DN42]] |
Latest revision as of 22:02, 15 June 2015
La machine virtuelle heimdall fournit la connectivité du loop vers DN42.
Contents
OS
- Hébergée sur kraken
- Debian Wheezy créée par
debootstrap
:
xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
- IP : 172.22.247.30, 178.20.51.133 (statiques)
- A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
- Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
-
bird
,openvpn
(backport),strongswan
5 (backport) - Installée par kankan. Root: nicoo, ToM, dlgg, kankan
Services
OpenVPN
Subnet d'interco DN42 : 172.22.247.0/27
(non annoncé dans DN42).
La liste d'interco est sur la page DN42.
Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000
à 36000
sont transférés depuis le routeur.
La version présente dans wheezy-backports
a été préférée afin de profiter de certains bugfix.
Bird
Nous sommes l'AS 4242422121
et on annonce les préfixes suivants :
-
172.22.59.0/24
-
172.22.146.0/23
IPSec
Pour certaines intercos, on utilise aussi IPSec.
Du coup, strongswan
a été installé par nicoo.
La version 5 a été installée depuis wheezy-backports
afin de profiter du nouveau format de configuration, plus simple et mieux documenté.
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions[1].
Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
Références
Hidden categories > Wiki > Le Loop > Infrastructure > DN42
Hidden categories > Wiki > Le Loop > Infrastructure > VM