Tunnels
Cette page décrit les différents tunnels qui existent au sein du ResEl. Pour un joli schéma de ces tunnels, reportez vous à la page architecture.
Utilisé | Type | Brest | IP publique | IP privée | Réseau | Rennes | IP publique | IP privée | Réseau | Chiffré | Routing |
---|---|---|---|---|---|---|---|---|---|---|---|
Oui | GRE | GrandOurs | 192.108.116.134 | 192.168.10.1 | Renater | Pessac | 192.44.77.70 | 192.168.10.2 | Renater | Non | 0.0/23 + 2.0/23 |
Oui | OpenVPN | Zahia | 46.20.170.141 | 172.22.151.1 | Adista | Peach | 185.132.75.51 | 172.23.151.1 | Quantic | Oui | 42.0/23 + 199/19 |
Supprimé | GRE | Zahia | 192.108.116.131 | 172.22.150.42 | Renater | Peach | 192.44.77.67 | 172.22.150.40 | Renater | Non | 42.0/23 + 199/19 |
Tunnels
Tunnel GRE entre Grandours et Pessac
Ce tunnel GRE relie les deux routeurs de coeur de Brest et Rennes et passe par le réseau Renater.
Il est configuré en point à point (192.168.10.1 pour Grandours, 192.168.10.2 pour Pessac), et le réseau admin 172.xx.0.0/22 est ensuite routé au travers de ce tunnel. Pour configurer ce tunnel, les adresses IP publiques Renater des deux routeurs sont utilisées.
Ce tunnel n'est pas chiffré !
Tunnel OpenVPN entre Zahia et Peach
Ce tunnel OpenVPN relie les deux firewall de Brest et Rennes et passe par le réseau Adista/Quantic.
Il utilise le paquet OpenVPN de debian en mode clef partagée (/etc/openvpn/secret.key) et les configurations sont dans le dossier /etc/openvpn/*.conf Il est configuré en point à point (172.22.151.1 pour Zahia, 172.23.151.1 pour Peach), et le réseau admin-pub 172.xx.42.0/23 et 172.xx.199.0/19 est ensuite routé au travers de ce tunnel.
Pour permettre la connexion, l'ip de service publique de Zahia et de Peach sont utilisées et la connexion est réalisée sur le port udp 4500, autorisée en accès sur le firewall. Ce tunnel est chiffré.
Avantage de l'architecture
Les deux tunnels permettent d'avoir une redondance de connexion entre les sites de Brest et de Rennes. Ainsi en cas de perte d'un des deux tunnels, il est toujours possible de se connecter à distance sur le site de Brest ou de Rennes.
Projet de tunnel full OpenVPN
Le projet est d'utiliser le tunnel OpenVPN Zahia-Peach pour router tout le traffic et de garder le tunnel GRE GrandOurs-Pessac en secours en cas de perte du tunnel principal.
L'avantage serait d'unifier les flux et de décharger les routeurs cisco. De plus tout le traffic serait ainsi chiffré.
Il faudrait alors créer un subnet (172.2x.4.0/24) pour des machines pouvant communiquer via le tunnel GRE de secours.
Ancien Tunnel GRE entre Zahia et Peach
Ce tunnel n'est plus utilisé, et a été remplacé par le tunnel OpenVPN, ayant l'avantage d'être chiffré
Ce tunnel GRE reliait les deux firewall de Brest et Rennes et passait par le réseau Renater.
Il utilise l'implémentation GRE faite dans debian et est configuré dans le fichier /etc/network/interfaces Il est configuré en point à point (172.22.150.42 pour Zahia, 172.22.150.40 pour Peach), et le réseau admin-pub 172.xx.42.0/23 et 172.xx.199.0/19 est ensuite routé au travers de ce tunnel.