Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "VM Heimdall"

From Le L∞p's Wiki
Jump to: navigation, search
m (OpenVPN: Correction)
m (IPSec: wikify)
Line 34: Line 34:
  
 
Pour certaines intercos, on utilise aussi IPSec.
 
Pour certaines intercos, on utilise aussi IPSec.
Du coup, {{deb:strongswan}} a été installé par [[User:nicoo|nicoo]]
+
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].
  
La version 5 a été installée depuis <code>wheezy-backport</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté.
+
La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté.
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [https://dn42.net/howto/IPsecWithPublicKeys]
+
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.
  
Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</code> entre 2 hôtes (ou même 2 réseaux).
+
Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</small> entre 2 hôtes (ou même 2 réseaux).
 
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
 
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

Revision as of 11:13, 14 November 2014

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
  • IP : 172.22.247.30 (statique)
  • Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
  • bird, openvpn (backport), strongswan 5 (backport)
  • Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

  • OpenVPN : tunnels ptp pour l'interco
  • Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000 à 36000 sont transférés depuis le routeur.

La version présente dans wheezy-backports a été préférée afin de profiter de certains bugfix.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

  • 172.22.59.0/24
  • 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, strongswan a été installé par nicoo.

La version 5 a été installée depuis wheezy-backports afin de profiter du nouveau format de configuration, plus simple et plus documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions[1].

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.

C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
  1. https://dn42.net/howto/IPsecWithPublicKeys