¶ Situation antérieure et raison de l'installation
L'ancien VPN utilise SoftEther, qui agit comme un VPN de niveau 2 (c'est-à-dire de façon très grossière, comme un switch).
Cela a des avantages, par exemple la simplicité d'utilisation (du point de vue de l'utilisateur, il n'y a qu'un seul réseau visible à Saclay et chez OVH), mais beaucoup de données inutiles transitent par ce réseau (des échanges VRRP, beaucoup de requêtes ARP).
De plus, l'installation de SoftEther a été effectuée sans utiliser Ansible et ces machines ne sont pas mises à jour.
On choisit donc de déployer un VPN site-à-site basé sur Wireguard.
¶ Nouvelle installation
Tout est géré par le rôle Ansible wireguard-endpoint, qui est spécialisé via des host vars pour chaque côté.
¶ Côté OVH
Sur horus, l'hyperviseur installé chez OVH, on crée un nouvelle machine virtuelle vpn-ovh-ng.auro.re (NB: pas .adm.auro.re).
On ajoute une interface réseau, que l'on connecte au bridge d'OVH en fixant l'adresse MAC à la valeur MAC virtuelle associée à l'adresse IP qu'on souhaite donner (voir l'interface web SoYouStart).
¶ Côté plateau de Saclay
Deux endpoints WireGuard.
vpn-ng.adm.auro.re, le principal, est sur lancelot, à George Sand. Pas d'intérêt particulier à la mettre ailleurs, puisque si le coeur de réseau à GS tombe, la connexion VPN également.
vpn-ng-backup.adm.auro.re est sur chapalux, à EDC, qui est la résidence de redondance de GS.
¶ IPs
vpn-ovh-ng:
- 10.132.0.254/16
- 92.222.211.198/24
- 192.168.0.1/31 (interco GS)
- 192.168.0.3/31 (interco EdC)
vpn-ng:
- 10.128.0.224/16 (GW:
routeur-aurore) - 10.129.0.224/16
- 192.168.0.0/31 (interco OVH)
vpn-ng-backup:
- 10.128.0.124/16 (GW:
routeur-aurore) - 10.129.0.124/16
- 192.168.0.2/31 (interco OVH)
¶ Yggdrasil
yggdrasil(config)# router ospf enable
yggdrasil(config)# router ospf area backbone normal
yggdrasil(config)# vlan 129
yggdrasil(vlan-129)# ip ospf all
yggdrasil(vlan-129)# ip ospf hello-interval 2
yggdrasil(vlan-129)# ip ospf retransmit-interval 2
yggdrasil(vlan-129)# ip ospf dead-interval 30
yggdrasil(vlan-129)# write memory
¶ Références
- https://wiki.archlinux.org/index.php/WireGuard
- https://www.wireguard.com/quickstart/
- https://manpages.debian.org/testing/wireguard-tools/wg.8.en.html
- https://vincent.bernat.ch/fr/blog/2018-vpn-wireguard-route