« DN42 » : différence entre les versions
Aucun résumé des modifications |
|||
Ligne 13 : | Ligne 13 : | ||
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ; | * établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ; | ||
* monter des sessions BGP avec ses voisins et annoncer son préfixe. | * monter des sessions BGP avec ses voisins et annoncer son préfixe. | ||
== Quelques liens === | |||
* Le site de DN42: https://dn42.net/Home | |||
* La documentation de FFDN à ce sujet: http://www.ffdn.org/wiki/doku.php?id=travaux:dn42 | |||
* Une carte du réseau: http://nixnodes.net/dn42/graph/ | |||
== Setup du hackerspace == | == Setup du hackerspace == |
Version du 14 novembre 2014 à 19:41
Intro
From http://www.ffdn.org/wiki/doku.php?id=travaux:dn42:
DN42 est un réseau overlay, dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).
Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).
C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de (source ) :
- s'attribuer un ASN et une plage d'adresse ;
- établir des tunnels (IPsec, GRE, OpenVPN, Tinc, …) avec des participants existants ;
- monter des sessions BGP avec ses voisins et annoncer son préfixe.
Quelques liens =
- Le site de DN42: https://dn42.net/Home
- La documentation de FFDN à ce sujet: http://www.ffdn.org/wiki/doku.php?id=travaux:dn42
- Une carte du réseau: http://nixnodes.net/dn42/graph/
Setup du hackerspace
Un noeud DN42 tourne sur la VM du hackerspace et est ainsi accessible via le VPN fournit aux membres.
Celui-ci est connecté:
- Au noeud fournit par User:petrus
- Au point d'échange virtuel de la fédération FDN: http://www.ffdn.org/wiki/doku.php?id=travaux:dn42
Ressources:
Le hackerspace utilise les ressources suivantes:
- Le numero d'AS: 64708
- La plage d'IPs: 172.22.108.0/23
Configuration des tunnels
TODO
Configuration du routage IP
On utilise le deamon quagga pour annoncer et recevoir les routes BGP.
Fichier /etc/quagga/bgpd.conf:
! ! Zebra configuration saved from vty ! 2014/02/11 15:12:31 ! ! router bgp 64708 bgp router-id 172.22.108.1 network 172.22.108.0/23 neighbor 172.22.250.1 remote-as 76142 neighbor 172.22.250.1 description dn42-vix-RS neighbor 172.22.250.1 prefix-list dn42-in in neighbor 172.22.250.1 prefix-list dn42-in out neighbor 172.22.250.2 remote-as 76142 neighbor 172.22.250.2 description dn42-vix-RS2 neighbor 172.22.250.2 prefix-list dn42-in in neighbor 172.22.250.2 prefix-list dn42-in out neighbor 172.23.255.254 remote-as 64751 neighbor 172.23.255.254 description petrus-beta neighbor 172.23.255.254 prefix-list dn42-in in neighbor 172.23.255.254 prefix-list dn42-in out ! ip prefix-list dn42-in description dn42 IPv4 filter ip prefix-list dn42-in seq 10 permit 172.22.0.0/15 ge 22 le 28 ip prefix-list dn42-in seq 11 permit 172.22.254.0/23 ge 26 le 30 ip prefix-list dn42-in seq 12 permit 172.22.0.53/32 ip prefix-list dn42-in seq 13 permit 172.22.53.0/24 le 32 ip prefix-list dn42-in seq 14 permit 172.23.64.0/20 le 29 ip prefix-list dn42-in seq 1000 deny 0.0.0.0/0 le 32 ip prefix-list vpn-in description BGP IPv4 import filter ip prefix-list vpn-in seq 10 permit 172.22.0.0/15 ge 22 le 28 ip prefix-list vpn-in seq 11 permit 172.22.254.0/23 ge 26 le 30 ip prefix-list vpn-in seq 12 permit 172.22.0.53/32 ip prefix-list vpn-in seq 13 permit 172.22.53.0/24 le 32 ip prefix-list vpn-in seq 14 permit 172.23.64.0/20 le 29 ip prefix-list vpn-in seq 18 permit 192.175.48.0/24 ip prefix-list vpn-in seq 20 deny 10.10.10.0/24 le 32 ip prefix-list vpn-in seq 21 permit 10.0.0.0/8 ge 12 ip prefix-list vpn-in seq 30 permit 172.31.0.0/16 ge 22 le 28 ip prefix-list vpn-in seq 39 permit 100.64.0.0/10 ip prefix-list vpn-in seq 40 permit 195.160.168.0/23 ip prefix-list vpn-in seq 41 permit 91.204.4.0/22 ip prefix-list vpn-in seq 43 permit 193.43.220.0/23 ip prefix-list vpn-in seq 46 permit 83.133.178.0/23 le 29 ip prefix-list vpn-in seq 47 permit 87.106.29.254/32 ip prefix-list vpn-in seq 50 permit 85.25.246.16/28 ip prefix-list vpn-in seq 51 permit 46.4.248.192/27 ip prefix-list vpn-in seq 60 permit 94.45.224.0/19 ip prefix-list vpn-in seq 70 permit 195.191.196.0/23 le 29 ip prefix-list vpn-in seq 80 permit 80.244.241.224/27 ip prefix-list vpn-in seq 90 permit 46.19.90.48/28 ip prefix-list vpn-in seq 91 permit 46.19.90.96/28 ip prefix-list vpn-in seq 100 permit 178.63.170.40/32 ip prefix-list vpn-in seq 110 permit 188.40.34.241/32 ip prefix-list vpn-in seq 120 permit 195.16.84.40/29 le 32 ip prefix-list vpn-in seq 130 permit 37.1.89.160/29 le 32 ip prefix-list vpn-in seq 140 permit 178.33.32.123/32 ip prefix-list vpn-in seq 141 permit 87.98.246.19/32 ip prefix-list vpn-in seq 1000 deny 0.0.0.0/0 le 32 ! route-map RM_SET_SRC permit 10 match ip address prefix-list dn42-in ! line vty !
Configuration DNS
On utilise Bind pour rediriger les requêtes DNS vers les serveurs (resolvers) DNS de DN42:
Fichier /etc/bind/named.conf.local:
// // Forward // zone "dn42" { type forward; forwarders {172.22.0.53;172.22.228.85;172.22.177.2;172.22.177.1;}; };
OLD: Proposition de topologie IPv4
- 172.22.108.0/23
- 172.22.108.0/27 172.22.108.0 - 172.22.108.31 Network
- 172.22.108.0/30 172.22.108.0 - 172.22.108.3 Main
- 172.22.108.1/32 172.22.108.1 - 172.22.108.1 core
- 172.22.108.2/32 172.22.108.2 - 172.22.108.2 gate
- 172.22.108.3/32 172.22.108.3 - 172.22.108.3 nat
- 172.22.108.4/30 172.22.108.4 - 172.22.108.7 Peer 1
- 172.22.108.8/30 172.22.108.7 - 172.22.108.11 Peer 2
- 172.22.108.12/30 172.22.108.12 - 172.22.108.15 Peer 3
- 172.22.108.16/30 172.22.108.16 - 172.22.108.19 Peer 4
- 172.22.108.20/30 172.22.108.20 - 172.22.108.23 Peer 5
- 172.22.108.24/30 172.22.108.24 - 172.22.108.27 Peer 6
- 172.22.108.28/30 172.22.108.28 - 172.22.108.31 Peer 7
- 172.22.108.0/30 172.22.108.0 - 172.22.108.3 Main
- 172.22.108.32/27 172.22.108.32 - 172.22.108.61 Servers / Reserved
- 172.22.108.32/28 172.22.108.32 - 172.22.108.47 Servers / Services / VM
- 172.22.108.33/32 172.22.108.33 - 172.22.108.33 Host
- 172.22.108.34/32 172.22.108.34 - 172.22.108.34 DNS-Root
- 172.22.108.35/32 172.22.108.35 - 172.22.108.35 DNS-Resolver
- 172.22.108.36/32 172.22.108.36 - 172.22.108.36 DNS-Auth
- 172.22.108.37/32 172.22.108.37 - 172.22.108.37 HTTP
- 172.22.108.38/32 172.22.108.38 - 172.22.108.38 Mail
- 172.22.108.39/32 172.22.108.39 - 172.22.108.39 Reserved
- 172.22.108.40/32 172.22.108.40 - 172.22.108.40 Reserved
- 172.22.108.41/32 172.22.108.41 - 172.22.108.41 Reserved
- 172.22.108.42/32 172.22.108.42 - 172.22.108.42 Reserved
- 172.22.108.43/32 172.22.108.43 - 172.22.108.43 Reserved
- 172.22.108.44/32 172.22.108.44 - 172.22.108.44 Reserved
- 172.22.108.45/32 172.22.108.45 - 172.22.108.45 Reserved
- 172.22.108.46/32 172.22.108.46 - 172.22.108.46 Reserved
- 172.22.108.48/28 172.22.108.48 - 172.22.108.63 Reserved
- 172.22.108.32/28 172.22.108.32 - 172.22.108.47 Servers / Services / VM
- 172.22.108.0/27 172.22.108.0 - 172.22.108.31 Network