L'ancien VPN utilise SoftEther, qui agit comme un VPN de niveau 2 (c'est-à-dire de façon très grossière, comme un switch).
Cela a des avantages, par exemple la simplicité d'utilisation (du point de vue de l'utilisateur, il n'y a qu'un seul réseau visible à Saclay et chez OVH), mais beaucoup de données inutiles transitent par ce réseau (des échanges VRRP, beaucoup de requêtes ARP).
De plus, l'installation de SoftEther a été effectuée sans utiliser Ansible et ces machines ne sont pas mises à jour.
On choisit donc de déployer un VPN site-à-site basé sur Wireguard.
Tout est géré par le rôle Ansible wireguard-endpoint
, qui est spécialisé via des host vars pour chaque côté.
Sur horus
, l'hyperviseur installé chez OVH, on crée un nouvelle machine virtuelle vpn-ovh-ng.auro.re
(NB: pas .adm.auro.re
).
On ajoute une interface réseau, que l'on connecte au bridge d'OVH en fixant l'adresse MAC à la valeur MAC virtuelle associée à l'adresse IP qu'on souhaite donner (voir l'interface web SoYouStart).
Deux endpoints WireGuard.
vpn-ng.adm.auro.re
, le principal, est sur lancelot
, à George Sand. Pas d'intérêt particulier à la mettre ailleurs, puisque si le coeur de réseau à GS tombe, la connexion VPN également.
vpn-ng-backup.adm.auro.re
est sur chapalux
, à EDC, qui est la résidence de redondance de GS.
vpn-ovh-ng
:
vpn-ng
:
routeur-aurore
)vpn-ng-backup
:
routeur-aurore
)yggdrasil(config)# router ospf enable
yggdrasil(config)# router ospf area backbone normal
yggdrasil(config)# vlan 129
yggdrasil(vlan-129)# ip ospf all
yggdrasil(vlan-129)# ip ospf hello-interval 2
yggdrasil(vlan-129)# ip ospf retransmit-interval 2
yggdrasil(vlan-129)# ip ospf dead-interval 30
yggdrasil(vlan-129)# write memory