Tunnels

Cette page décrit les différents tunnels qui existent au sein du ResEl. Pour un joli schéma de ces tunnels, reportez vous à la page architecture.

Utilisé Type Brest IP publique IP privée Réseau Rennes IP publique IP privée Réseau Chiffré Routing
Oui GRE GrandOurs 192.108.116.134 192.168.10.1 Renater Pessac 192.44.77.70 192.168.10.2 Renater Non 0.0/23 + 2.0/23
Oui OpenVPN Zahia 46.20.170.141 172.22.151.1 Adista Peach 185.132.75.51 172.23.151.1 Quantic Oui 42.0/23 + 199/19
Supprimé GRE Zahia 192.108.116.131 172.22.150.42 Renater Peach 192.44.77.67 172.22.150.40 Renater Non 42.0/23 + 199/19

Tunnels

Tunnel GRE entre Grandours et Pessac

Ce tunnel GRE relie les deux routeurs de coeur de Brest et Rennes et passe par le réseau Renater.

Il est configuré en point à point (192.168.10.1 pour Grandours, 192.168.10.2 pour Pessac), et le réseau admin 172.xx.0.0/22 est ensuite routé au travers de ce tunnel. Pour configurer ce tunnel, les adresses IP publiques Renater des deux routeurs sont utilisées.

Ce tunnel n'est pas chiffré !

Tunnel OpenVPN entre Zahia et Peach

Ce tunnel OpenVPN relie les deux firewall de Brest et Rennes et passe par le réseau Adista/Quantic.

Il utilise le paquet OpenVPN de debian en mode clef partagée (/etc/openvpn/secret.key) et les configurations sont dans le dossier /etc/openvpn/*.conf Il est configuré en point à point (172.22.151.1 pour Zahia, 172.23.151.1 pour Peach), et le réseau admin-pub 172.xx.42.0/23 et 172.xx.199.0/19 est ensuite routé au travers de ce tunnel.

Pour permettre la connexion, l'ip de service publique de Zahia et de Peach sont utilisées et la connexion est réalisée sur le port udp 4500, autorisée en accès sur le firewall. Ce tunnel est chiffré.

Actuellement, Peach devant être redémarrée avant de pouvoir créer le tunnel, c'est Fronsac qui porte la connexion rennaise

Une fois peach relancée, pessac devra être reroutée vers peach.

Avantage de l'architecture

Les deux tunnels permettent d'avoir une redondance de connexion entre les sites de Brest et de Rennes. Ainsi en cas de perte d'un des deux tunnels, il est toujours possible de se connecter à distance sur le site de Brest ou de Rennes.

Projet de tunnel full OpenVPN

Le projet est d'utiliser le tunnel OpenVPN Zahia-Peach pour router tout le traffic et de garder le tunnel GRE GrandOurs-Pessac en secours en cas de perte du tunnel principal.

L'avantage serait d'unifier les flux et de décharger les routeurs cisco. De plus tout le traffic serait ainsi chiffré.

Il faudrait alors créer un subnet (172.2x.4.0/24) pour des machines pouvant communiquer via le tunnel GRE de secours.

Ancien Tunnel GRE entre Zahia et Peach

Ce tunnel n'est plus utilisé, et a été remplacé par le tunnel OpenVPN, ayant l'avantage d'être chiffré

Ce tunnel GRE reliait les deux firewall de Brest et Rennes et passait par le réseau Renater.

Il utilise l'implémentation GRE faite dans debian et est configuré dans le fichier /etc/network/interfaces Il est configuré en point à point (172.22.150.42 pour Zahia, 172.22.150.40 pour Peach), et le réseau admin-pub 172.xx.42.0/23 et 172.xx.199.0/19 est ensuite routé au travers de ce tunnel.