« DN42 » : différence entre les versions

De Breizh-Entropy
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Ligne 13 : Ligne 13 :
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ;
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ;
* monter des sessions BGP avec ses voisins et annoncer son préfixe.
* monter des sessions BGP avec ses voisins et annoncer son préfixe.
== Quelques liens ===
* Le site de DN42: https://dn42.net/Home
* La documentation de FFDN à ce sujet: http://www.ffdn.org/wiki/doku.php?id=travaux:dn42
* Une carte du réseau: http://nixnodes.net/dn42/graph/


== Setup du hackerspace ==
== Setup du hackerspace ==

Version du 14 novembre 2014 à 19:41

Intro

From http://www.ffdn.org/wiki/doku.php?id=travaux:dn42:

DN42 est un réseau overlay, dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).

Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).

C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de (source ) :

  • s'attribuer un ASN et une plage d'adresse ;
  • établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ;
  • monter des sessions BGP avec ses voisins et annoncer son préfixe.

Quelques liens =

Setup du hackerspace

Un noeud DN42 tourne sur la VM du hackerspace et est ainsi accessible via le VPN fournit aux membres.

Celui-ci est connecté:

Ressources:

Le hackerspace utilise les ressources suivantes:

  • Le numero d'AS: 64708
  • La plage d'IPs: 172.22.108.0/23

Configuration des tunnels

TODO

Configuration du routage IP

On utilise le deamon quagga pour annoncer et recevoir les routes BGP.

Fichier /etc/quagga/bgpd.conf:

!
! Zebra configuration saved from vty
!   2014/02/11 15:12:31
!
!
router bgp 64708
bgp router-id 172.22.108.1
network 172.22.108.0/23
neighbor 172.22.250.1 remote-as 76142
neighbor 172.22.250.1 description dn42-vix-RS
neighbor 172.22.250.1 prefix-list dn42-in in
neighbor 172.22.250.1 prefix-list dn42-in out
neighbor 172.22.250.2 remote-as 76142
neighbor 172.22.250.2 description dn42-vix-RS2
neighbor 172.22.250.2 prefix-list dn42-in in
neighbor 172.22.250.2 prefix-list dn42-in out
neighbor 172.23.255.254 remote-as 64751
neighbor 172.23.255.254 description petrus-beta
neighbor 172.23.255.254 prefix-list dn42-in in
neighbor 172.23.255.254 prefix-list dn42-in out
!
ip prefix-list dn42-in description dn42 IPv4 filter
ip prefix-list dn42-in seq 10 permit 172.22.0.0/15 ge 22 le 28
ip prefix-list dn42-in seq 11 permit 172.22.254.0/23 ge 26 le 30
ip prefix-list dn42-in seq 12 permit 172.22.0.53/32
ip prefix-list dn42-in seq 13 permit 172.22.53.0/24 le 32
ip prefix-list dn42-in seq 14 permit 172.23.64.0/20 le 29
ip prefix-list dn42-in seq 1000 deny 0.0.0.0/0 le 32
ip prefix-list vpn-in description BGP IPv4 import filter
ip prefix-list vpn-in seq 10 permit 172.22.0.0/15 ge 22 le 28
ip prefix-list vpn-in seq 11 permit 172.22.254.0/23 ge 26 le 30
ip prefix-list vpn-in seq 12 permit 172.22.0.53/32
ip prefix-list vpn-in seq 13 permit 172.22.53.0/24 le 32
ip prefix-list vpn-in seq 14 permit 172.23.64.0/20 le 29
ip prefix-list vpn-in seq 18 permit 192.175.48.0/24
ip prefix-list vpn-in seq 20 deny 10.10.10.0/24 le 32
ip prefix-list vpn-in seq 21 permit 10.0.0.0/8 ge 12
ip prefix-list vpn-in seq 30 permit 172.31.0.0/16 ge 22 le 28
ip prefix-list vpn-in seq 39 permit 100.64.0.0/10
ip prefix-list vpn-in seq 40 permit 195.160.168.0/23
ip prefix-list vpn-in seq 41 permit 91.204.4.0/22
ip prefix-list vpn-in seq 43 permit 193.43.220.0/23
ip prefix-list vpn-in seq 46 permit 83.133.178.0/23 le 29
ip prefix-list vpn-in seq 47 permit 87.106.29.254/32
ip prefix-list vpn-in seq 50 permit 85.25.246.16/28
ip prefix-list vpn-in seq 51 permit 46.4.248.192/27
ip prefix-list vpn-in seq 60 permit 94.45.224.0/19
ip prefix-list vpn-in seq 70 permit 195.191.196.0/23 le 29
ip prefix-list vpn-in seq 80 permit 80.244.241.224/27
ip prefix-list vpn-in seq 90 permit 46.19.90.48/28
ip prefix-list vpn-in seq 91 permit 46.19.90.96/28
ip prefix-list vpn-in seq 100 permit 178.63.170.40/32
ip prefix-list vpn-in seq 110 permit 188.40.34.241/32
ip prefix-list vpn-in seq 120 permit 195.16.84.40/29 le 32
ip prefix-list vpn-in seq 130 permit 37.1.89.160/29 le 32
ip prefix-list vpn-in seq 140 permit 178.33.32.123/32
ip prefix-list vpn-in seq 141 permit 87.98.246.19/32
ip prefix-list vpn-in seq 1000 deny 0.0.0.0/0 le 32
!
route-map RM_SET_SRC permit 10
 match ip address prefix-list dn42-in
!
line vty
!

Configuration DNS

On utilise Bind pour rediriger les requêtes DNS vers les serveurs (resolvers) DNS de DN42:

Fichier /etc/bind/named.conf.local:

//
// Forward
//
zone "dn42" { 
	type forward;
	forwarders {172.22.0.53;172.22.228.85;172.22.177.2;172.22.177.1;};
};

OLD: Proposition de topologie IPv4

  • 172.22.108.0/23
    • 172.22.108.0/27 172.22.108.0 - 172.22.108.31 Network
      • 172.22.108.0/30 172.22.108.0 - 172.22.108.3 Main
        • 172.22.108.1/32 172.22.108.1 - 172.22.108.1 core
        • 172.22.108.2/32 172.22.108.2 - 172.22.108.2 gate
        • 172.22.108.3/32 172.22.108.3 - 172.22.108.3 nat
      • 172.22.108.4/30 172.22.108.4 - 172.22.108.7 Peer 1
      • 172.22.108.8/30 172.22.108.7 - 172.22.108.11 Peer 2
      • 172.22.108.12/30 172.22.108.12 - 172.22.108.15 Peer 3
      • 172.22.108.16/30 172.22.108.16 - 172.22.108.19 Peer 4
      • 172.22.108.20/30 172.22.108.20 - 172.22.108.23 Peer 5
      • 172.22.108.24/30 172.22.108.24 - 172.22.108.27 Peer 6
      • 172.22.108.28/30 172.22.108.28 - 172.22.108.31 Peer 7
    • 172.22.108.32/27 172.22.108.32 - 172.22.108.61 Servers / Reserved
      • 172.22.108.32/28 172.22.108.32 - 172.22.108.47 Servers / Services / VM
        • 172.22.108.33/32 172.22.108.33 - 172.22.108.33 Host
        • 172.22.108.34/32 172.22.108.34 - 172.22.108.34 DNS-Root
        • 172.22.108.35/32 172.22.108.35 - 172.22.108.35 DNS-Resolver
        • 172.22.108.36/32 172.22.108.36 - 172.22.108.36 DNS-Auth
        • 172.22.108.37/32 172.22.108.37 - 172.22.108.37 HTTP
        • 172.22.108.38/32 172.22.108.38 - 172.22.108.38 Mail
        • 172.22.108.39/32 172.22.108.39 - 172.22.108.39 Reserved
        • 172.22.108.40/32 172.22.108.40 - 172.22.108.40 Reserved
        • 172.22.108.41/32 172.22.108.41 - 172.22.108.41 Reserved
        • 172.22.108.42/32 172.22.108.42 - 172.22.108.42 Reserved
        • 172.22.108.43/32 172.22.108.43 - 172.22.108.43 Reserved
        • 172.22.108.44/32 172.22.108.44 - 172.22.108.44 Reserved
        • 172.22.108.45/32 172.22.108.45 - 172.22.108.45 Reserved
        • 172.22.108.46/32 172.22.108.46 - 172.22.108.46 Reserved
      • 172.22.108.48/28 172.22.108.48 - 172.22.108.63 Reserved