Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
travaux:dn42 [2013/11/15 01:38] zorun Précisions |
travaux:dn42 [2015/05/08 19:35] (Version actuelle) alarig [Participants] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/ | Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/ | ||
- | C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de : | + | C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de ([[https:// |
- | + | ) : | |
- | * demander | + | * s' |
* établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ; | * établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ; | ||
* monter des sessions BGP avec ses voisins et annoncer son préfixe. | * monter des sessions BGP avec ses voisins et annoncer son préfixe. | ||
- | ===== Intérêt pour FFDN ===== | + | ==== Documentation officielle ==== |
+ | |||
+ | Le [[https:// | ||
+ | |||
+ | Une [[http:// | ||
+ | |||
+ | |||
+ | ===== DN42 et FFDN ===== | ||
+ | |||
+ | ==== Liste de diffusion et canal IRC ==== | ||
+ | |||
+ | La fédération a une liste de diffusion dédiée à dn42 : https:// | ||
+ | |||
+ | Il y a également un canal IRC, ''# | ||
+ | |||
+ | ==== Intérêt pour FFDN ==== | ||
* Apprendre à faire du routage (BGP, peering) sans risque | * Apprendre à faire du routage (BGP, peering) sans risque | ||
* (S' | * (S' | ||
+ | * S' | ||
- | ===== Idées de projets pour FFDN ===== | + | ==== Idées de projets pour FFDN ==== |
* Simplement faire du peering entre FAI de la fédé | * Simplement faire du peering entre FAI de la fédé | ||
- | * Faire tourner un point d' | + | * Faire tourner un point d' |
* Avoir quelqu' | * Avoir quelqu' | ||
- | ===== Documentation | + | ===== Point d' |
- | Le [[https:// | + | Nous avons un point d'échange virtuel avec un Route Server BGP, ouvert à toute personne liée à la fédération possédant un ASN et un range sur dn42. L' |
- | Une [[http://dn42.volcanis.me/initenv.1.html|copie de l'ancien wiki]] est disponible. **Attention | + | **Note |
+ | |||
+ | Le switch virtuel est construit grâce à tinc en mode switch, et opère dans le subnet '' | ||
+ | |||
+ | Les Route Servers BGP sont '' | ||
+ | |||
+ | ==== Participants ==== | ||
+ | |||
+ | ^ Noeud Tinc ^ Adresse | ||
+ | | tower | 172.22.250.1 | ||
+ | | polaris | ||
+ | | beta | 172.22.250.3 | ||
+ | | bzh | 172.22.250.4 | ||
+ | | mirsal | ||
+ | | cajou | 172.22.250.6 | ||
+ | | knu | 172.22.250.7 | ||
+ | | mejis | 172.22.250.8 | ||
+ | | ryuk | 172.22.250.9 | ||
+ | | haruhi | ||
+ | | taupo | 172.22.250.11 | taziden | ||
+ | | octarine | ||
+ | | Atlas | 172.22.250.13 | atlas | 4242421337 | | | ||
+ | | mandelkind | 172.22.250.14 | mandelkind | ||
+ | | ironman | ||
+ | | heimdall | ||
+ | | henry | 172.22.250.17 | kouak | 4242420036 | | | ||
+ | | twilight_sparkle | 172.22.250.18 | Bawaaaaah | 4242422434 | OVH | | ||
+ | | scrown | ||
+ | | polokov | ||
+ | | jarvis | ||
+ | | guinch | ||
+ | ==== Se connecter au switch ==== | ||
+ | |||
+ | Pour cela, vous avez besoin | ||
+ | |||
+ | < | ||
+ | mkdir -p / | ||
+ | </ | ||
+ | |||
+ | Dans ''/ | ||
+ | |||
+ | < | ||
+ | Name = <nom de votre noeud tinc> | ||
+ | |||
+ | # Nom de l' | ||
+ | #Interface = tap-ffdn | ||
+ | |||
+ | # Pour faire le vpn en layer2 (tap) pour permettre IPv6 *et* IPv4 | ||
+ | Mode = switch | ||
+ | |||
+ | # Il faut établir des méta-connexions avec plusieurs autres noeuds Tinc | ||
+ | ConnectTo = tower | ||
+ | ConnectTo = polaris | ||
+ | ConnectTo = beta | ||
+ | ConnectTo = mejis | ||
+ | |||
+ | # Si on utilise Tinc 1.1, cette option augmente | ||
+ | # | ||
+ | |||
+ | # Si on utilise Tinc 1.1 | ||
+ | ExperimentalProtocol = no | ||
+ | |||
+ | </ | ||
+ | |||
+ | === Création de la paire de clés === | ||
+ | |||
+ | < | ||
+ | tincd -n ix-ffdn -K | ||
+ | </ | ||
+ | |||
+ | Il faut envoyer la clé publique ainsi générée (''/ | ||
+ | |||
+ | === Ajout des clés publiques des autres noeuds Tinc === | ||
+ | |||
+ | Pour chaque noeud Tinc indiqué dans une directive ConnectTo ('' | ||
+ | |||
+ | == tower == | ||
+ | |||
+ | < | ||
+ | Compression = 10 | ||
+ | Address = tower.polyno.me | ||
+ | |||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEAugI9ruG970MsIuKV4Cn0H5ni77GUmwFckaATBh2QrP3wytPs8+su | ||
+ | yPQS8weI6U+sJoU9HmicJJiJ1qHgDPH36nqkBirqbmOSPBWaA632wXIuu0yQO9v0 | ||
+ | 9vpw4x8ZxceDX0u1Ww3UjN4n0AI+cpQkZuG/ | ||
+ | dtIjjRzcvYbYMJeOQgtJxlNBQrPLkRqIaOskCqaRG6Ya77fkfiGUlxP5K00b5lrl | ||
+ | vZyPfcGyCoDAwpJXy7N+WIvsGrsgLvbfqqBAAdmLhGoXuQnttML8fScmt2Kyq3CA | ||
+ | XBmj3KrNd9KxWjXzBHw6f1XZAXaKfs191wIDAQAB | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | |||
+ | == polaris == | ||
+ | |||
+ | < | ||
+ | Address = polaris.poum.tk | ||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIICCgKCAgEA5XwLzepsX7pgj+ymhrDqYA9VqVaZMMK+3Mi9SY27TxcUZWBI2Cnm | ||
+ | qvYnzPAsPVuD7sjS8uAX7nHQhKZSaSEHQHw97v+BOqGBOuzm0Z2w+xDn4+5C2Z1G | ||
+ | KvTAAqMPbDGvgJ7x0wY9QdGtoaovmcbMMXPYoc9po3g+3w5XlLydUjf9iCAmfzG6 | ||
+ | 2vuLsSJ/ | ||
+ | q8GH1pQ3vyK4qPQe3MAPrABZVACYhnPB01Ph1rXRFnwfWeRGL4F212mnY+kOBofZ | ||
+ | WQ4K3wtCvRNpoGGK6fLB8G6mnMhdq0YEVuA5wHKR1b/ | ||
+ | sbP+9RjN/ | ||
+ | X9Ny/ | ||
+ | qVlDpH+qhVcR4Bj3Mu3tliiwFjtx4yOZZl3NZLQGXKvLRjemMsa8g0PggvMm2/ | ||
+ | ZqOz7ZhNMvvMzLWVzqp4cUxDmK2PCm5/ | ||
+ | T9o590HaJ3Dw1Wg4Z3wxS3z8IgaErztO83yLrS0nRyI+W9NQYGE7OTsCAwEAAQ== | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | |||
+ | == knu == | ||
+ | |||
+ | < | ||
+ | Compression = 10 | ||
+ | Address = karchnu.fr | ||
+ | |||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEAoSrngJJ2Vn8ptP9CGlo3149oyPD+Q263tDj40foESQNoWcuaGnoE | ||
+ | i/ | ||
+ | 77c9F3m2YWtzNQA2O+vaMTi1ahITjY7TWldH9GxMCnHRjSF1ZD+x91mJtmpkaMH/ | ||
+ | 96+fNiNJUo6+1N7BIHW/ | ||
+ | nhURUmN8+UaSfcySwc2nVCpK9wg2nkgH1JDPohnbj45zxCidiocYb02fvvhovYgw | ||
+ | oJXgWyFcztZy5mnzxpApr0VU6mMYlRVgaQIDAQAB | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | |||
+ | == mejis == | ||
+ | |||
+ | < | ||
+ | Compression = 10 | ||
+ | Address = mejis.polyno.me | ||
+ | |||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEAs/ | ||
+ | RUYBDRwC/ | ||
+ | ZFNTV2cgoMdxjAjur9Z0v9xQQd85GXNifN1ORV1KBw5zfRxo3INdIUs3jNbu4oYh | ||
+ | / | ||
+ | OYO/ | ||
+ | y37rQXoXBDRAF9UbYpJHspzwWAJzKZsICQIDAQAB | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | |||
+ | == beta == | ||
+ | |||
+ | < | ||
+ | Address = beta.poum.tk | ||
+ | Port = 656 | ||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEAyXcBf1EiDocB9u8lNY/ | ||
+ | 9ZmDwYmXUNhTLFYpI+zLTfu9CDlJ/ | ||
+ | XEoM8dwX1VHOFcYY0LG2elJ0tPIv3/ | ||
+ | ZrbFrZ8y1HeSnsZ08R2wEWzJOMblBi85p1CrlzSevH1oCBPwMH8xGI1oZUK9Udn5 | ||
+ | IfGrVLyTPZrTukDEYCPac2KvY8kVW0JycfgWriyrMObEfrubuEnV5mOvZbYhHXzS | ||
+ | zPMuqIzAXWwPae4kJo39wVK50mlpIud+hQIDAQAB | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | ECDSAPublicKey = DAAFJhWlLmpGY9PdXf6zpcGShZFuCqtfeo0iPaCyjaKiqtjBJYxa7aoWKGPb/ | ||
+ | </ | ||
+ | |||
+ | == henry == | ||
+ | |||
+ | < | ||
+ | Address = henry.kouak.org | ||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEAvsDVrn8ABSkoEkHInNKjZuI0RNnr/ | ||
+ | wNf1zqCtICbUneK2SBOY9eiLH0aUp12OQfE1W7LXAUAfk5yeCK5VKbvSb2O4uNZE | ||
+ | 57z5dE8N7FbX+w5p5DTZtqSg64HGpJvjU6+RuoRkBjQrbqiArf8S0OPWpfmPO84N | ||
+ | lHmCZ/ | ||
+ | 5YOEJ34r04p6pKQdmbmtbheWJz62qRwr4oHvi8/ | ||
+ | qHS7by7dcRXyzKCGo/ | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | |||
+ | == guinch == | ||
+ | < | ||
+ | Address = guinch.swordarmor.fr | ||
+ | -----BEGIN RSA PUBLIC KEY----- | ||
+ | MIIBCgKCAQEApjlfRyIHfNOyokykTLVbp32lYwpoOh0dqVDC0/ | ||
+ | jhCj0FZYZNONooRAWDIZg8Bt+82fGTJdCZRlpaIK0PyHOki5cRuXyUpJBzV7MTmJ | ||
+ | lJcfxuwOp2yCL6ffwoWpbFJM+oUad4TLxbftfg2q5S3y1yx84gPV5FF65dkVIYEU | ||
+ | BTo96b2ELMC7jQfyuqqZZdKMicGsMBumZt78Ol+1eeGUfWF8LTcy1jthpH1nUV3M | ||
+ | kNIzefU8rQ/ | ||
+ | nAkEfHwyMxs4FlPbUpCf7xLCb/ | ||
+ | -----END RSA PUBLIC KEY----- | ||
+ | </ | ||
+ | === Attribution | ||
+ | |||
+ | Choisir une adresse dans '' | ||
+ | |||
+ | < | ||
+ | ifconfig $INTERFACE up 172.22.250.X/ | ||
+ | </ | ||
+ | |||
+ | Ne pas oublier de rendre le script exécutable. | ||
+ | |||
+ | === Démarrage automatique === | ||
+ | |||
+ | Sous Debian, mettre '' | ||
+ | |||
+ | Sous FreeBSD, rajoute '' | ||
+ | |||
+ | === Test de connectivité === | ||
+ | |||
+ | Si tout va bien, une fois Tinc lancé, vous devriez pouvoir pinger '' | ||
+ | |||
+ | ==== Configuration BGP ==== | ||
+ | |||
+ | Configurez votre daemon | ||
+ | |||
+ | * endpoints : '' | ||
+ | * ASN : '' | ||
+ | |||
+ | Envoyez ensuite un mail sur la mailing list, avec votre endpoint dans '' | ||
+ | |||
+ | Attention, les Route Servers ne filtrent aucune route annoncée. À vous de vous assurer que vous filtrez, en entrée, les routes que vous ne voulez pas. | ||
+ | |||
+ | ===== Références ===== | ||
+ | |||
+ | ==== Configuration du Route Server ==== | ||
+ | |||
+ | Le Route Server est actuellement un Bird sous FreeBSD, avec une configuration très basique (pas de filtrage). | ||
+ | |||
+ | < | ||
+ | # Bird configuration for a simple dn42 Route Server. No filtering of any kind. | ||
+ | # Adapted from https:// | ||
+ | |||
+ | log "/ | ||
+ | log syslog all; | ||
+ | |||
+ | router id 172.22.250.1; | ||
+ | define myas = 76142; | ||
+ | |||
+ | protocol device { } | ||
+ | |||
+ | # Protocol template | ||
+ | template bgp PEERS { | ||
+ | local as myas; | ||
+ | import all; | ||
+ | export all; | ||
+ | route limit 10000; | ||
+ | rs client; | ||
+ | # We could apply a filter here, to only accept routes that belong to dn42. | ||
+ | #import filter bgp_dn42; | ||
+ | } | ||
+ | |||
+ | # Peers | ||
+ | protocol bgp PEER1 from PEERS | ||
+ | { | ||
+ | description "Peer1 peering"; | ||
+ | neighbor 172.22.250.2 as XXXXX; | ||
+ | } | ||
+ | |||
+ | protocol bgp PEER2 from PEERS | ||
+ | { | ||
+ | description "Peer2 peering"; | ||
+ | neighbor 172.22.250.3 as XXXXX; | ||
+ | } | ||
+ | </ |