Projet

Général

Profil

ConfigWifiEvenement » Historique » Version 17

Matthieu Herrb, 29/05/2023 19:07

1 1 Matthieu Herrb
h1. Configuration d'un routeur pour un événement
2 1 Matthieu Herrb
3 13 Matthieu Herrb
{{>toc}}
4 13 Matthieu Herrb
5 1 Matthieu Herrb
Exemple du THSF 2023
6 1 Matthieu Herrb
7 1 Matthieu Herrb
h2. Matériel 
8 1 Matthieu Herrb
9 1 Matthieu Herrb
# 1 PC avec 2 interfaces réseau (ou alors faire avec des vlans sur un switch)
10 1 Matthieu Herrb
# 2 Bornes Unifi UAC-M-Pro de Tetaneutral.net
11 1 Matthieu Herrb
# 1 switch PoE (802.11af)
12 1 Matthieu Herrb
# câbles RJ45
13 1 Matthieu Herrb
# multiprise
14 1 Matthieu Herrb
15 1 Matthieu Herrb
h2. Logiciel
16 1 Matthieu Herrb
17 1 Matthieu Herrb
# Ubuntu 20.04 sur le PC
18 17 Matthieu Herrb
# Paquets : @openssh-server emacs-nox  nftables isc-dhcp-server unbound wireguard resolvconf radvd borgbackup iftop@# Unifi Controler 7 
19 17 Matthieu Herrb
# Unifi Controller
20 17 Matthieu Herrb
21 1 Matthieu Herrb
22 1 Matthieu Herrb
h2. Configuration
23 1 Matthieu Herrb
24 1 Matthieu Herrb
PC : 2 interfaces : 
25 1 Matthieu Herrb
26 1 Matthieu Herrb
* lan : @enp0s31f6@
27 1 Matthieu Herrb
* wan : @enp2s0@
28 1 Matthieu Herrb
29 1 Matthieu Herrb
On fera un VPN wiregard vers tetaneutral sur l'interface wan, et sur le LAN on met un serveur DHCP pour IPv4, et un serveur radvd pour autoconf IPv6, ainsi que unbound pour le DNS et une config nftables pour faire le NAT vers l'IPv4 unique de la config wireguard.
30 1 Matthieu Herrb
31 1 Matthieu Herrb
A noter que l'IP wireguard se retrouve codée en dur à plusieurs endroits, pas cool mais bon.
32 1 Matthieu Herrb
33 1 Matthieu Herrb
Dans l'exemple THSF 2023:
34 1 Matthieu Herrb
35 6 Matthieu Herrb
* IPv4 : 185.119.170.12 et on prend 10.23.0.0/16 pour le LAN
36 1 Matthieu Herrb
* IPv6 : 2a03:7220:8087:c00::/56 ; on prend 2a03:7220:8087:c01::/64 pour le LAN
37 1 Matthieu Herrb
38 1 Matthieu Herrb
h3. Config réseau : netplan
39 1 Matthieu Herrb
40 1 Matthieu Herrb
* @/etc/netplan/00-installer-config.yaml@ :
41 1 Matthieu Herrb
<pre>
42 1 Matthieu Herrb
network:
43 1 Matthieu Herrb
  ethernets:
44 1 Matthieu Herrb
    enp0s31f6:
45 1 Matthieu Herrb
      addresses:
46 1 Matthieu Herrb
      - 10.23.0.1/16
47 1 Matthieu Herrb
      - 2a03:7220:8087:c01::1/64
48 1 Matthieu Herrb
      nameservers:
49 1 Matthieu Herrb
        addresses: []
50 1 Matthieu Herrb
        search: []
51 1 Matthieu Herrb
    enp2s0:
52 1 Matthieu Herrb
      dhcp4: true
53 1 Matthieu Herrb
  version: 2
54 1 Matthieu Herrb
</pre>
55 1 Matthieu Herrb
56 1 Matthieu Herrb
h3. Config réseau : wireguard
57 1 Matthieu Herrb
58 16 Matthieu Herrb
On alloue d'abord un service wireguard dans le SI (ici avec l'IP 185.119.170.12) Cf la page [[VPN]] et le wiki des bénévoles pour la config coté SI et serveurs. 
59 16 Matthieu Herrb
 
60 14 Matthieu Herrb
* Générer une clé privée
61 14 Matthieu Herrb
<pre>
62 14 Matthieu Herrb
# umask 077
63 14 Matthieu Herrb
# wg genkey > /etc/wiregard/private
64 15 Matthieu Herrb
</pre>
65 14 Matthieu Herrb
66 14 Matthieu Herrb
* Voir la clé publique pour la mettre dans le SI :
67 14 Matthieu Herrb
<pre>
68 14 Matthieu Herrb
# wg pubkey < /etc/wireguard/private
69 14 Matthieu Herrb
</pre>
70 1 Matthieu Herrb
71 1 Matthieu Herrb
* @/etc/wireguard/wg0.conf@ :
72 1 Matthieu Herrb
73 1 Matthieu Herrb
<pre>
74 1 Matthieu Herrb
[Interface]
75 1 Matthieu Herrb
Address = 185.119.170.12/32,2a03:7220:8087:c00::/56
76 1 Matthieu Herrb
DNS = 91.224.148.10,91.224.149.254
77 1 Matthieu Herrb
PrivateKey = <mettre ici la clé privée>
78 1 Matthieu Herrb
79 1 Matthieu Herrb
[Peer]
80 1 Matthieu Herrb
Publickey = DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A=
81 1 Matthieu Herrb
AllowedIPs = 0.0.0.0/0,::/0
82 1 Matthieu Herrb
EndPoint = 89.234.156.116:51820
83 1 Matthieu Herrb
PersistentKeepalive = 25
84 1 Matthieu Herrb
</pre>
85 2 Matthieu Herrb
86 2 Matthieu Herrb
* Activier le service : 
87 2 Matthieu Herrb
<pre>
88 2 Matthieu Herrb
# systemctl enable wg-quick@wg0.service
89 2 Matthieu Herrb
# systemctl start wg-quick@wg0.service
90 2 Matthieu Herrb
</pre>
91 2 Matthieu Herrb
92 3 Matthieu Herrb
h3. nftables
93 3 Matthieu Herrb
94 3 Matthieu Herrb
On fait du NAT sur l'interface wan et sur wireguard + MSS Clamping pour TCP au MTU de l'interface wireguard. 
95 3 Matthieu Herrb
96 11 Matthieu Herrb
* @/etc/nftables.conf@ :
97 3 Matthieu Herrb
<pre>
98 3 Matthieu Herrb
#!/usr/sbin/nft -f
99 3 Matthieu Herrb
100 3 Matthieu Herrb
table inet filter {
101 3 Matthieu Herrb
        chain input {
102 3 Matthieu Herrb
                        type filter hook input priority filter; policy accept;
103 3 Matthieu Herrb
        }
104 3 Matthieu Herrb
105 3 Matthieu Herrb
        chain forward {
106 3 Matthieu Herrb
                        type filter hook forward priority filter; policy accept;
107 3 Matthieu Herrb
                                        tcp flags syn tcp option maxseg size set rt mtu
108 3 Matthieu Herrb
        }
109 3 Matthieu Herrb
110 3 Matthieu Herrb
        chain output {
111 3 Matthieu Herrb
                        type filter hook output priority filter; policy accept;
112 3 Matthieu Herrb
        }
113 3 Matthieu Herrb
}
114 3 Matthieu Herrb
115 3 Matthieu Herrb
table ip nat {
116 3 Matthieu Herrb
      chain prerouting {
117 3 Matthieu Herrb
           type nat hook prerouting priority dstnat; policy accept;
118 3 Matthieu Herrb
      }
119 3 Matthieu Herrb
120 3 Matthieu Herrb
      chain postrouting {
121 3 Matthieu Herrb
           type nat hook postrouting priority srcnat; policy accept;
122 3 Matthieu Herrb
           oifname "wg0" masquerade
123 3 Matthieu Herrb
           oifname "enp2s0" masquerade
124 3 Matthieu Herrb
      }
125 3 Matthieu Herrb
}
126 3 Matthieu Herrb
</pre>
127 3 Matthieu Herrb
128 10 Matthieu Herrb
* Activation :
129 10 Matthieu Herrb
<pre>
130 10 Matthieu Herrb
# systemctl enable nftables.service
131 10 Matthieu Herrb
# nft -f /etc/nftables.conf
132 10 Matthieu Herrb
</pre>
133 10 Matthieu Herrb
134 1 Matthieu Herrb
h3. Serveur DHCP
135 4 Matthieu Herrb
136 5 Matthieu Herrb
Remarque : baux de 24h pour faciliter l'exploitation des logs si besoin. nécessite un /16 pour le LAN pour ne pas avoir besoin de réutiliser des IPs.
137 5 Matthieu Herrb
138 4 Matthieu Herrb
* @/etc/dhcp/dhcpd.conf@ :
139 4 Matthieu Herrb
<pre>
140 4 Matthieu Herrb
option domain-name "tetaneutral.net";
141 4 Matthieu Herrb
option domain-name-servers 10.23.0.1;
142 4 Matthieu Herrb
143 4 Matthieu Herrb
default-lease-time 86400;
144 4 Matthieu Herrb
max-lease-time 172800;
145 4 Matthieu Herrb
146 4 Matthieu Herrb
ddns-update-style none;
147 4 Matthieu Herrb
authoritative;
148 4 Matthieu Herrb
log-facility local7;
149 4 Matthieu Herrb
150 4 Matthieu Herrb
subnet 10.23.0.0 netmask 255.255.0.0 {
151 4 Matthieu Herrb
     range 10.23.1.0 10.23.255.254;
152 4 Matthieu Herrb
     option routers 10.23.0.1;
153 4 Matthieu Herrb
}
154 4 Matthieu Herrb
</pre>
155 4 Matthieu Herrb
156 4 Matthieu Herrb
* activation :
157 4 Matthieu Herrb
<pre>
158 4 Matthieu Herrb
# systemctl restart isc-dhcp-server
159 4 Matthieu Herrb
</pre>
160 2 Matthieu Herrb
161 2 Matthieu Herrb
h3. Serveur radvd
162 2 Matthieu Herrb
163 7 Matthieu Herrb
Diffuse les adresses de serveurs DNS local (unbound) + un recursif ttnn en secours.
164 7 Matthieu Herrb
165 7 Matthieu Herrb
* `/etc/radvd.conf`
166 7 Matthieu Herrb
<pre>
167 7 Matthieu Herrb
interface enp0s31f6
168 7 Matthieu Herrb
{
169 7 Matthieu Herrb
    AdvSendAdvert on;
170 7 Matthieu Herrb
    prefix 2a03:7220:8087:c01::/64
171 7 Matthieu Herrb
    {
172 7 Matthieu Herrb
        AdvOnLink on;
173 7 Matthieu Herrb
        AdvAutonomous on;
174 7 Matthieu Herrb
    };
175 7 Matthieu Herrb
    RDNSS 2a03:7220:8087:c01::1 2a03:7220:8081:fe00::1 {
176 7 Matthieu Herrb
        AdvRDNSSLifetime 1200;
177 7 Matthieu Herrb
        FlushRDNSS on;
178 7 Matthieu Herrb
    };
179 7 Matthieu Herrb
};
180 7 Matthieu Herrb
</pre>
181 7 Matthieu Herrb
182 9 Matthieu Herrb
* Activation:
183 9 Matthieu Herrb
<pre>
184 9 Matthieu Herrb
# systemctl restart radvd.service
185 9 Matthieu Herrb
</pre>
186 9 Matthieu Herrb
187 9 Matthieu Herrb
188 1 Matthieu Herrb
h3. Unbound
189 8 Matthieu Herrb
190 8 Matthieu Herrb
Autorise les requêtes depuis le LAN et bloque le reste.
191 8 Matthieu Herrb
192 8 Matthieu Herrb
* @/etc/unbound/unbound.conf.d/server.conf@ :
193 8 Matthieu Herrb
<pre>
194 8 Matthieu Herrb
server:
195 8 Matthieu Herrb
    interface: 10.23.0.1
196 8 Matthieu Herrb
    interface: ::
197 8 Matthieu Herrb
    interface: 127.0.0.1
198 8 Matthieu Herrb
199 8 Matthieu Herrb
    access-control: 0.0.0.0/0 refuse
200 8 Matthieu Herrb
    access-control: 10.23.0.0/16 allow
201 8 Matthieu Herrb
    access-control: ::0/0 refuse
202 8 Matthieu Herrb
    access-control: fe80::/16 allow
203 8 Matthieu Herrb
    access-control: 2a03:7220:8087:c01::/64 allow
204 8 Matthieu Herrb
205 8 Matthieu Herrb
    hide-identity: yes
206 8 Matthieu Herrb
    hide-version: yes
207 8 Matthieu Herrb
208 8 Matthieu Herrb
    aggressive-nsec: yes
209 8 Matthieu Herrb
    qname-minimisation: yes
210 8 Matthieu Herrb
</pre>
211 8 Matthieu Herrb
212 8 Matthieu Herrb
* Activation
213 8 Matthieu Herrb
<pre>
214 8 Matthieu Herrb
# systemctl restart unbound.service
215 8 Matthieu Herrb
</pre>
216 12 Matthieu Herrb
217 12 Matthieu Herrb
h2. Unifi
218 12 Matthieu Herrb
219 12 Matthieu Herrb
Téléchargement : https://ui.com/download/unifi/default/default/unifi-network-application-7383-unifi-os-consoles-and-debianubuntu
220 12 Matthieu Herrb
221 12 Matthieu Herrb
(Downloads -> unifi -> software)
222 12 Matthieu Herrb
223 12 Matthieu Herrb
h3. Installer le controleur
224 12 Matthieu Herrb
225 12 Matthieu Herrb
* Définir un compte admin + mot de passe
226 12 Matthieu Herrb
* Configurer le reseau 'default' avec les adresses IPv4 et IPv6 du lan
227 12 Matthieu Herrb
* Définir un (ou plusieurs) réseaux wifi SSID + mot de passe WPA2 
228 12 Matthieu Herrb
229 12 Matthieu Herrb
h3. Adopter les bornes 
230 12 Matthieu Herrb
231 12 Matthieu Herrb
# connecter une borne au switch PoE du LAN
232 12 Matthieu Herrb
# faire un reset de la borne (connecter en maintenant le bouton RESET appuyé jusqu'à flash bleu/blanc)
233 1 Matthieu Herrb
# Attendre config DHCP de la borne, puis déconnecter/reconnecter -
234 14 Matthieu Herrb
# Adopter la borne dans l'interface.