Id2ndR » Historique » Version 3
Fabien ADAM, 06/12/2014 21:53
4G
1 | 1 | Fabien ADAM | h1. Mes travaux perso relatifs à Tetaneutral |
---|---|---|---|
2 | 1 | Fabien ADAM | |
3 | 1 | Fabien ADAM | Auteur : Id2ndR |
4 | 1 | Fabien ADAM | |
5 | 1 | Fabien ADAM | h2. Virtualisation |
6 | 1 | Fabien ADAM | |
7 | 1 | Fabien ADAM | Au dessus, de libvirt, je fais tourner quelques VM sur ma machine Zbox ID18 [[http://www.ldlc.com/fiche/PB00158714.html]] : Celeron double cœurs supportant le VT, avec 8Go de RAM |
8 | 1 | Fabien ADAM | |
9 | 1 | Fabien ADAM | h2. OpenWRT |
10 | 1 | Fabien ADAM | |
11 | 1 | Fabien ADAM | Je possède un TP-Link WDR3600 gigabit et double bande N. Il tourne sous Barrier Breaker 14.04. |
12 | 1 | Fabien ADAM | |
13 | 1 | Fabien ADAM | Objectifs : |
14 | 1 | Fabien ADAM | - connecter le routeur à Internet via une connexion 4G |
15 | 1 | Fabien ADAM | - sortir sur une VM tournant sur ma machine à Tetaneutral, pour avoir un accès réseau complet (IP fixe, IPv6, téléphonie SIP, pas de bridage ni de modification du flux via les proxys transparents) |
16 | 1 | Fabien ADAM | |
17 | 1 | Fabien ADAM | h3. 4G |
18 | 1 | Fabien ADAM | |
19 | 3 | Fabien ADAM | <pre> |
20 | 3 | Fabien ADAM | root@OpenWrt:~# opkg update |
21 | 3 | Fabien ADAM | root@OpenWrt:~# opkg install kmod-usb-net-rndis |
22 | 3 | Fabien ADAM | root@OpenWrt:~# insmod usbnet |
23 | 3 | Fabien ADAM | root@OpenWrt:~# insmod cdc_ether |
24 | 3 | Fabien ADAM | root@OpenWrt:~# insmod rndis_host |
25 | 3 | Fabien ADAM | root@OpenWrt:~# ifconfig usb0 |
26 | 3 | Fabien ADAM | usb0 Link encap:Ethernet HWaddr 02:34:68:55:02:03 |
27 | 3 | Fabien ADAM | BROADCAST MULTICAST MTU:1500 Metric:1 |
28 | 3 | Fabien ADAM | RX packets:0 errors:0 dropped:0 overruns:0 frame:0 |
29 | 3 | Fabien ADAM | TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 |
30 | 3 | Fabien ADAM | collisions:0 txqueuelen:1000 |
31 | 3 | Fabien ADAM | RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) |
32 | 3 | Fabien ADAM | </pre> |
33 | 3 | Fabien ADAM | Dans Luci, Network > Interfaces : créer une interface nommée 4G exploitant l'interface usb0, en client dhcp |
34 | 3 | Fabien ADAM | |
35 | 1 | Fabien ADAM | h3. OpenVPN |
36 | 1 | Fabien ADAM | |
37 | 1 | Fabien ADAM | Mise en place : |
38 | 1 | Fabien ADAM | * Certificat SSL du serveur (VM) : généré par CA-Cert (je n'ai jamais pu faire marcher le VPN sur OpenWRT avec un certificat auto-signé) |
39 | 1 | Fabien ADAM | * Certificat d'un certificat client : généré avec easy-rsa (build-ca, build-key-server, build-key). Remarque : il n'est pas nécessaire que ces certificats soient issues du certificat du serveur vérifié à la connexion, car le serveur connaît son référentiel de clef, indépendament du certificat serveur présenté sur le port d'écoute. |
40 | 1 | Fabien ADAM | * Configuration du serveur : |
41 | 1 | Fabien ADAM | <pre> |
42 | 1 | Fabien ADAM | id2ndr@id2ndr-vm: ~$ cat /etc/openvpn/id2ndr.conf |
43 | 1 | Fabien ADAM | ################################## |
44 | 1 | Fabien ADAM | dev tun |
45 | 1 | Fabien ADAM | proto udp |
46 | 1 | Fabien ADAM | port 1194 |
47 | 1 | Fabien ADAM | |
48 | 1 | Fabien ADAM | ca /etc/openvpn/easy-rsa/keys/class3.crt |
49 | 1 | Fabien ADAM | cert /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.crt |
50 | 1 | Fabien ADAM | key /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.key |
51 | 1 | Fabien ADAM | dh /etc/openvpn/easy-rsa/keys/dh1024.pem |
52 | 1 | Fabien ADAM | |
53 | 1 | Fabien ADAM | user nobody |
54 | 1 | Fabien ADAM | group nogroup |
55 | 1 | Fabien ADAM | server 10.9.0.0 255.255.255.0 |
56 | 1 | Fabien ADAM | |
57 | 1 | Fabien ADAM | persist-key |
58 | 1 | Fabien ADAM | #persist-tun |
59 | 1 | Fabien ADAM | |
60 | 1 | Fabien ADAM | keepalive 30 100 |
61 | 1 | Fabien ADAM | |
62 | 1 | Fabien ADAM | |
63 | 1 | Fabien ADAM | status /var/log/openvpn-status.log |
64 | 1 | Fabien ADAM | verb 3 |
65 | 1 | Fabien ADAM | client-to-client |
66 | 1 | Fabien ADAM | |
67 | 1 | Fabien ADAM | |
68 | 1 | Fabien ADAM | #push "redirect-gateway def1" |
69 | 1 | Fabien ADAM | #set the dns servers |
70 | 1 | Fabien ADAM | #push "dhcp-option DNS 8.8.8.8" |
71 | 1 | Fabien ADAM | #push "dhcp-option DNS 8.8.4.4" |
72 | 1 | Fabien ADAM | push "redirect-gateway def1" |
73 | 1 | Fabien ADAM | push dhcp-option DNS 91.224.149.254 |
74 | 1 | Fabien ADAM | |
75 | 1 | Fabien ADAM | |
76 | 1 | Fabien ADAM | log-append /var/log/openvpn |
77 | 1 | Fabien ADAM | comp-lzo adaptive |
78 | 1 | Fabien ADAM | </pre> |
79 | 1 | Fabien ADAM | |
80 | 1 | Fabien ADAM | * Installation du client : |
81 | 1 | Fabien ADAM | <pre> |
82 | 1 | Fabien ADAM | root@OpenWrt:~# opkg update; opkg install openvpn-openssl |
83 | 2 | Fabien ADAM | root@OpenWrt:~# uci set openvpn.custom_config.enabled=1 |
84 | 2 | Fabien ADAM | root@OpenWrt:~# uci commit |
85 | 1 | Fabien ADAM | root@OpenWrt:~# cat /etc/openvpn/my-vpn.conf |
86 | 1 | Fabien ADAM | dev tun |
87 | 1 | Fabien ADAM | client |
88 | 1 | Fabien ADAM | #proto tcp |
89 | 1 | Fabien ADAM | proto udp |
90 | 1 | Fabien ADAM | remote id2ndr.toulan.fr 1195 |
91 | 1 | Fabien ADAM | resolv-retry infinite |
92 | 1 | Fabien ADAM | nobind |
93 | 1 | Fabien ADAM | persist-key |
94 | 1 | Fabien ADAM | persist-tun |
95 | 1 | Fabien ADAM | ca /etc/openvpn/class3.crt |
96 | 1 | Fabien ADAM | cert /etc/openvpn/Id2ndR.crt |
97 | 1 | Fabien ADAM | key /etc/openvpn/Id2ndR.key |
98 | 1 | Fabien ADAM | comp-lzo no |
99 | 1 | Fabien ADAM | verb 3 |
100 | 1 | Fabien ADAM | root@OpenWrt:/etc/openvpn# wget http://www.cacert.org/certs/class3.crt |
101 | 1 | Fabien ADAM | root@OpenWrt:~# vi /etc/openvpn/Id2ndR.crt |
102 | 1 | Fabien ADAM | root@OpenWrt:~# vi /etc/openvpn/Id2ndR.key |
103 | 2 | Fabien ADAM | root@OpenWrt:~# uci set openvpn.custom_config.enabled=1 |
104 | 2 | Fabien ADAM | root@OpenWrt:~# uci commit |
105 | 2 | Fabien ADAM | root@OpenWrt:~# /etc/init.d/openvpn start |
106 | 2 | Fabien ADAM | root@OpenWrt:~# logread |
107 | 2 | Fabien ADAM | [..] |
108 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.warn openvpn(custom_config)[25584]: WARNING: file '/etc/openvpn/Id2ndR.key' is group or others accessible |
109 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice netifd: Interface 'wan_vpn' is disabled |
110 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: Socket Buffers: R=[163840->131072] S=[163840->131072] |
111 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link local: [undef] |
112 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link remote: [AF_INET]91.224.149.109:1195 |
113 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: TLS: Initial packet from [AF_INET]91.224.149.109:1195, sid=2e0c718b e9ec8be6 |
114 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=1, O=CAcert Inc., OU=http://www.CAcert.org, CN=CAcert Class 3 Root |
115 | 2 | Fabien ADAM | Sat Dec 6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=0, CN=id2ndr.toulan.fr |
116 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key |
117 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication |
118 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key |
119 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication |
120 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Control Channel: TLSv1.0, cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA, 2048 bit RSA |
121 | 2 | Fabien ADAM | Sat Dec 6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: [id2ndr.toulan.fr] Peer Connection Initiated with [AF_INET]91.224.149.109:1195 |
122 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: SENT CONTROL [id2ndr.toulan.fr]: 'PUSH_REQUEST' (status=1) |
123 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 91.224.149.254,route 10.9.0.0 255.255.255.0,topology net30,ping 30,ping-restart 100,ifconfig 10.9.0.6 10.9.0.5' |
124 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: timers and/or timeouts modified |
125 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ifconfig/up options modified |
126 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: route options modified |
127 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified |
128 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP device tun0 opened |
129 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP TX queue length set to 100 |
130 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 |
131 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/ifconfig tun0 10.9.0.6 pointopoint 10.9.0.5 mtu 1500 |
132 | 2 | Fabien ADAM | Sat Dec 6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/route add -net 91.224.149.109 netmask 255.255.255.255 gw 192.168.0.1 |
133 | 1 | Fabien ADAM | </pre> |
134 | 1 | Fabien ADAM | * Nat via le VPN : inspiré de [[http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tun]] Use-Case 3 |
135 | 1 | Fabien ADAM | ** Dans Luci, Network > Interfaces : créer une interface nommée wan_vpn exploitant l'interface tun0, en client dhcp |
136 | 1 | Fabien ADAM | ** Dans Luci, Network > Firewall : créer une zone wan_vpn avec l'interface wan_vpn en activant Masquerading |
137 | 1 | Fabien ADAM | ** Dans Luci, Network > Firewall : supprimer la zone lan existante. Créer la zone lan avec le forward vers la zone wan_vpn |
138 | 1 | Fabien ADAM | ** Depuis un PC derrière le routeur : traceroute google.fr doit sortir par h7.tetaneutral.net (4ème nœuds chez moi, à cause de la VM) |
139 | 1 | Fabien ADAM | |
140 | 1 | Fabien ADAM | Résultats : j'ai mesuré environ 70% d'utilisation CPU sur le routeur pour faire passer 17 méga. Ceci est cohérent avec [[Benchmark_VPN]]. |