Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "VM Heimdall"

From Le L∞p's Wiki
Jump to: navigation, search
m (IPSec: Correction (s/plus/mieux/bien))
Line 36: Line 36:
 
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].
 
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].
  
La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté.
+
La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et mieux documenté.
 
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.
 
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.
  

Revision as of 18:54, 9 April 2015

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
  • IP : 172.22.247.30 (statique)
  • Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
  • bird, openvpn (backport), strongswan 5 (backport)
  • Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

  • OpenVPN : tunnels ptp pour l'interco
  • Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000 à 36000 sont transférés depuis le routeur.

La version présente dans wheezy-backports a été préférée afin de profiter de certains bugfix.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

  • 172.22.59.0/24
  • 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, strongswan a été installé par nicoo.

La version 5 a été installée depuis wheezy-backports afin de profiter du nouveau format de configuration, plus simple et mieux documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions[1].

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

Références

  1. https://dn42.net/howto/IPsecWithPublicKeys