Pour éditer le wiki, il faut demander un compte à un Lapin !

Difference between revisions of "VM Heimdall"

From Le L∞p's Wiki
Jump to: navigation, search
(OpenVPN: Ajout de nouveaux pairs)
(Ajout de l'IP publique)
 
(19 intermediate revisions by 4 users not shown)
Line 1: Line 1:
La machine virtuelle '''heimdall.caserne''' fournit la connectivité du loop vers DN42.
+
La machine virtuelle '''heimdall''' fournit la connectivité du loop vers [[DN42]].
  
 
== OS ==
 
== OS ==
  
* Hébergée sur [[Serveur_undervixen|undervixen]]
+
* Hébergée sur [[Serveur_kraken|kraken]]
 
* Debian Wheezy créée par {{Deb|debootstrap}} :
 
* Debian Wheezy créée par {{Deb|debootstrap}} :
 
  xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
 
  xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
* IP : 172.22.147.65
+
* IP : 172.22.247.30, 178.20.51.133 (statiques)
* {{deb|bird}}, {{deb|openvpn}}
+
* A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
 +
* Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
 +
* {{deb|bird}}, {{deb|openvpn}} (''backport''), {{deb|strongswan}} 5 (''backport'')
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
 
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]]
  
 
== Services ==
 
== Services ==
  
* OpenVPN [http://www.openvpn.net] : tunnels ptp pour l'interco
+
* [http://www.openvpn.net OpenVPN] : tunnels ptp pour l'interco
* Bird [http://bird.network.cz/] : démon bgp
+
* [http://bird.network.cz/ Bird] : démon bgp
  
 
=== OpenVPN ===
 
=== OpenVPN ===
  
Subnet d'interco DN42 : <code>172.22.247.0/27</code> (non annoncé dans DN42)
+
Subnet d'interco DN42 : <code>172.22.247.0/27</code> (non annoncé dans DN42).
 +
La liste d'interco est sur la page [[DN42]].
  
Les intercos se font de préférence avec des liens point-à-point.
+
Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de <code>35000</code> à <code>36000</code> sont transférés depuis le routeur.
Quand le pair ne peut pas nous contacter (pas de port entrant depuis notre IP publique), ''client'' est précisé.
+
  
Intercos en place (la seconde IP du bloc est portée par <code>heimdall</code>) :
+
La version présente dans <code>wheezy-backports</code> a été préférée afin de profiter de certains ''bugfix''.
* <code>172.22.247.0/31</code> : [[User:kankan|kankan]] (OpenVPN, client) <code>AS64742</code>
+
* <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code>
+
* <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code>
+
* <code>172.22.247.6/31</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS</code>
+
* <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code>
+
  
 
=== Bird ===
 
=== Bird ===
  
Nous sommes l'AS <code>4242422121</code> et on a les [[Plan_d'adressage|préfixes]] suivants :
+
Nous sommes l'AS <code>4242422121</code> et on annonce les [[Plan_d'adressage|préfixes]] suivants :
 
* <code>172.22.59.0/24</code>
 
* <code>172.22.59.0/24</code>
 
* <code>172.22.146.0/23</code>
 
* <code>172.22.146.0/23</code>
* <code>172.22.247.0/27</code>
 
  
[[Category:Infrastructure]]
+
=== IPSec ===
 +
 
 +
Pour certaines intercos, on utilise aussi IPSec.
 +
Du coup, {{deb|strongswan}} a été installé par [[User:nicoo|nicoo]].
 +
 
 +
La version 5 a été installée depuis <code>wheezy-backports</code> afin de profiter du nouveau format de configuration, plus simple et mieux documenté.
 +
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions<ref>https://dn42.net/howto/IPsecWithPublicKeys</ref>.
 +
 
 +
Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</small> entre 2 hôtes (ou même 2 réseaux).
 +
Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente.
 +
C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
 +
 
 +
== Références ==
 +
 
 +
<references />
 +
 
 
[[Category:VM]]
 
[[Category:VM]]
 +
[[Category:DN42]]

Latest revision as of 22:02, 15 June 2015

La machine virtuelle heimdall fournit la connectivité du loop vers DN42.

OS

xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
  • IP : 172.22.247.30, 178.20.51.133 (statiques)
  • A une patte sur le vlan "fibre" via eth1 et une IP publique sur ce vlan, pour faciliter les peerings via ipsec&cie
  • Branchée dans un VLAN dédié (services-dn42) pour router le trafic dn42 vers la blackloop.
  • bird, openvpn (backport), strongswan 5 (backport)
  • Installée par kankan. Root: nicoo, ToM, dlgg, kankan

Services

  • OpenVPN : tunnels ptp pour l'interco
  • Bird : démon bgp

OpenVPN

Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42). La liste d'interco est sur la page DN42.

Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 35000 à 36000 sont transférés depuis le routeur.

La version présente dans wheezy-backports a été préférée afin de profiter de certains bugfix.

Bird

Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :

  • 172.22.59.0/24
  • 172.22.146.0/23

IPSec

Pour certaines intercos, on utilise aussi IPSec. Du coup, strongswan a été installé par nicoo.

La version 5 a été installée depuis wheezy-backports afin de profiter du nouveau format de configuration, plus simple et mieux documenté. On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions[1].

Pour ceux qui ont besoin d'une piqûre de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.

Références

  1. https://dn42.net/howto/IPsecWithPublicKeys