Pour éditer le wiki, il faut demander un compte à un Lapin !
Difference between revisions of "VM Heimdall"
m (→Services) |
(Ajout d'une section IPSec) |
||
| Line 8: | Line 8: | ||
* IP : 172.22.247.30 (statique) | * IP : 172.22.247.30 (statique) | ||
* Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42. | * Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42. | ||
| − | * {{deb|bird}}, {{deb|openvpn}} | + | * {{deb|bird}}, {{deb|openvpn}}, {{deb|strongswan}} 5 (''backport'') |
* Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]] | * Installée par [[User:Kankan|kankan]]. Root: [[User:nicoo|nicoo]], [[User:ToM|ToM]], [[User:dlgg|dlgg]], [[User:Kankan|kankan]] | ||
| Line 28: | Line 28: | ||
* <code>172.22.59.0/24</code> | * <code>172.22.59.0/24</code> | ||
* <code>172.22.146.0/23</code> | * <code>172.22.146.0/23</code> | ||
| + | |||
| + | === IPSec === | ||
| + | |||
| + | Pour certaines intercos, on utilise aussi IPSec. | ||
| + | Du coup, {{deb:strongswan}} a été installé par [[User:nicoo|nicoo]] | ||
| + | |||
| + | La version 5 a été installée depuis <code>wheezy-backport</code> afin de profiter du nouveau format de configuration, plus simple et plus documenté. | ||
| + | On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [https://dn42.net/howto/IPsecWithPublicKeys] | ||
| + | |||
| + | Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré <small>et authentifié</code> entre 2 hôtes (ou même 2 réseaux). | ||
| + | Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. | ||
| + | C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec. | ||
| + | |||
[[Category:VM]] | [[Category:VM]] | ||
[[Category:DN42]] | [[Category:DN42]] | ||
Revision as of 22:38, 22 August 2014
La machine virtuelle heimdall fournit la connectivité du loop vers DN42.
Contents
OS
- Hébergée sur undervixen
- Debian Wheezy créée par
debootstrap:
xen-create-image --hostname heimdall --size 10G --dist wheezy --dhcp
- IP : 172.22.247.30 (statique)
- Branchée dans un VLAN dédié (services-dn42) qui a des règles de NAT/firewalling particulières pour DN42.
-
bird,openvpn,strongswan5 (backport) - Installée par kankan. Root: nicoo, ToM, dlgg, kankan
Services
OpenVPN
Subnet d'interco DN42 : 172.22.247.0/27 (non annoncé dans DN42).
La liste d'interco est sur la page DN42.
Les intercos se font de préférence avec des liens point-à-point ; pour ce faire, les ports de 30000 à 31000 sont tranférés depuis le routeur.
Bird
Nous sommes l'AS 4242422121 et on annonce les préfixes suivants :
-
172.22.59.0/24 -
172.22.146.0/23
IPSec
Pour certaines intercos, on utilise aussi IPSec. Du coup, Template:Deb:strongswan a été installé par nicoo
La version 5 a été installée depuis wheezy-backport afin de profiter du nouveau format de configuration, plus simple et plus documenté.
On préfèrera utiliser de l'authentification par clefs publiques pour les interconnexions. [1]
Pour ceux qui ont besoin d'une piqure de rappel, un tunnel IPSec permet d'avoir du traffic chiffré et authentifié</code> entre 2 hôtes (ou même 2 réseaux). Si un tunnel IPSec est établi entre A et B, il n'y a pas de nouvelle interface réseau, ni de nouvelle adresse : tout le traffic est chiffré de façon transparente. C'est pour ça qu'on peut vouloir établir un tunnel GRE par dessus le tunnel IPSec.
Hidden categories > Wiki > Le Loop > Infrastructure > DN42
Hidden categories > Wiki > Le Loop > Infrastructure > VM
