Difference between revisions of "VM Heimdall"

Revision as of 18:54, 9 April 2015

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

• Hébergée sur kraken
• Debian Wheezy créée par debootstrap :

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp

• IP : 172.22.247.30 (statique)
• Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
• bird, openvpn (backport), strongswan 5 (backport)
• Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

• OpenVPN : tunnels ptp pour l'interco
• Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000 à 36000 sont transférés depuis le routeur.

La version présente dans wheezy-backports a été préférée afin de profiter de certains bugfix.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

• 172.22.59.0/24
• 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, strongswan a été installé par nicoo.

La version 5 a été installée depuis wheezy-backports afin de profiter du nouveau format de configuration, plus simple et mieux documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions^[1].

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

Références

1. ↑ https://dn42.net/howto/IPsecWithPublicKeys