Projet

Général

Profil

Id2ndR » Historique » Version 3

Fabien ADAM, 06/12/2014 21:53
4G

1 1 Fabien ADAM
h1. Mes travaux perso relatifs à Tetaneutral
2 1 Fabien ADAM
3 1 Fabien ADAM
Auteur : Id2ndR
4 1 Fabien ADAM
5 1 Fabien ADAM
h2. Virtualisation
6 1 Fabien ADAM
7 1 Fabien ADAM
Au dessus, de libvirt, je fais tourner quelques VM sur ma machine Zbox ID18 [[http://www.ldlc.com/fiche/PB00158714.html]] : Celeron double cœurs supportant le VT, avec 8Go de RAM
8 1 Fabien ADAM
9 1 Fabien ADAM
h2. OpenWRT
10 1 Fabien ADAM
11 1 Fabien ADAM
Je possède un TP-Link WDR3600 gigabit et double bande N. Il tourne sous Barrier Breaker 14.04.
12 1 Fabien ADAM
13 1 Fabien ADAM
Objectifs :
14 1 Fabien ADAM
- connecter le routeur à Internet via une connexion 4G
15 1 Fabien ADAM
- sortir sur une VM tournant sur ma machine à Tetaneutral, pour avoir un accès réseau complet (IP fixe, IPv6, téléphonie SIP, pas de bridage ni de modification du flux via les proxys transparents)
16 1 Fabien ADAM
17 1 Fabien ADAM
h3. 4G
18 1 Fabien ADAM
19 3 Fabien ADAM
<pre>
20 3 Fabien ADAM
root@OpenWrt:~# opkg update
21 3 Fabien ADAM
root@OpenWrt:~# opkg install kmod-usb-net-rndis
22 3 Fabien ADAM
root@OpenWrt:~# insmod usbnet
23 3 Fabien ADAM
root@OpenWrt:~# insmod cdc_ether
24 3 Fabien ADAM
root@OpenWrt:~# insmod rndis_host
25 3 Fabien ADAM
root@OpenWrt:~# ifconfig usb0
26 3 Fabien ADAM
usb0      Link encap:Ethernet  HWaddr 02:34:68:55:02:03  
27 3 Fabien ADAM
          BROADCAST MULTICAST  MTU:1500  Metric:1
28 3 Fabien ADAM
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
29 3 Fabien ADAM
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
30 3 Fabien ADAM
          collisions:0 txqueuelen:1000 
31 3 Fabien ADAM
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
32 3 Fabien ADAM
</pre>
33 3 Fabien ADAM
Dans Luci, Network > Interfaces : créer une interface nommée 4G exploitant l'interface usb0, en client dhcp
34 3 Fabien ADAM
35 1 Fabien ADAM
h3. OpenVPN
36 1 Fabien ADAM
37 1 Fabien ADAM
Mise en place :
38 1 Fabien ADAM
* Certificat SSL du serveur (VM) : généré par CA-Cert (je n'ai jamais pu faire marcher le VPN sur OpenWRT avec un certificat auto-signé)
39 1 Fabien ADAM
* Certificat d'un certificat client : généré avec easy-rsa (build-ca, build-key-server, build-key). Remarque : il n'est pas nécessaire que ces certificats soient issues du certificat du serveur vérifié à la connexion, car le serveur connaît son référentiel de clef, indépendament du certificat serveur présenté sur le port d'écoute.
40 1 Fabien ADAM
* Configuration du serveur :
41 1 Fabien ADAM
<pre>
42 1 Fabien ADAM
id2ndr@id2ndr-vm: ~$ cat /etc/openvpn/id2ndr.conf 
43 1 Fabien ADAM
##################################
44 1 Fabien ADAM
dev tun
45 1 Fabien ADAM
proto udp
46 1 Fabien ADAM
port 1194
47 1 Fabien ADAM
48 1 Fabien ADAM
ca /etc/openvpn/easy-rsa/keys/class3.crt
49 1 Fabien ADAM
cert /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.crt
50 1 Fabien ADAM
key /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.key
51 1 Fabien ADAM
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
52 1 Fabien ADAM
53 1 Fabien ADAM
user nobody
54 1 Fabien ADAM
group nogroup
55 1 Fabien ADAM
server 10.9.0.0 255.255.255.0
56 1 Fabien ADAM
57 1 Fabien ADAM
persist-key
58 1 Fabien ADAM
#persist-tun
59 1 Fabien ADAM
60 1 Fabien ADAM
keepalive 30 100
61 1 Fabien ADAM
62 1 Fabien ADAM
63 1 Fabien ADAM
status /var/log/openvpn-status.log
64 1 Fabien ADAM
verb 3
65 1 Fabien ADAM
client-to-client
66 1 Fabien ADAM
67 1 Fabien ADAM
68 1 Fabien ADAM
#push "redirect-gateway def1"
69 1 Fabien ADAM
#set the dns servers
70 1 Fabien ADAM
#push "dhcp-option DNS 8.8.8.8"
71 1 Fabien ADAM
#push "dhcp-option DNS 8.8.4.4"
72 1 Fabien ADAM
push "redirect-gateway def1"
73 1 Fabien ADAM
push dhcp-option DNS 91.224.149.254
74 1 Fabien ADAM
75 1 Fabien ADAM
76 1 Fabien ADAM
log-append /var/log/openvpn
77 1 Fabien ADAM
comp-lzo adaptive
78 1 Fabien ADAM
</pre>
79 1 Fabien ADAM
80 1 Fabien ADAM
* Installation du client :
81 1 Fabien ADAM
<pre>
82 1 Fabien ADAM
root@OpenWrt:~# opkg update; opkg install openvpn-openssl
83 2 Fabien ADAM
root@OpenWrt:~# uci set openvpn.custom_config.enabled=1
84 2 Fabien ADAM
root@OpenWrt:~# uci commit
85 1 Fabien ADAM
root@OpenWrt:~# cat /etc/openvpn/my-vpn.conf 
86 1 Fabien ADAM
dev tun
87 1 Fabien ADAM
client
88 1 Fabien ADAM
#proto tcp
89 1 Fabien ADAM
proto udp
90 1 Fabien ADAM
remote id2ndr.toulan.fr 1195
91 1 Fabien ADAM
resolv-retry infinite
92 1 Fabien ADAM
nobind
93 1 Fabien ADAM
persist-key
94 1 Fabien ADAM
persist-tun
95 1 Fabien ADAM
ca /etc/openvpn/class3.crt
96 1 Fabien ADAM
cert /etc/openvpn/Id2ndR.crt
97 1 Fabien ADAM
key /etc/openvpn/Id2ndR.key
98 1 Fabien ADAM
comp-lzo no
99 1 Fabien ADAM
verb 3
100 1 Fabien ADAM
root@OpenWrt:/etc/openvpn# wget http://www.cacert.org/certs/class3.crt
101 1 Fabien ADAM
root@OpenWrt:~# vi /etc/openvpn/Id2ndR.crt
102 1 Fabien ADAM
root@OpenWrt:~# vi /etc/openvpn/Id2ndR.key
103 2 Fabien ADAM
root@OpenWrt:~# uci set openvpn.custom_config.enabled=1
104 2 Fabien ADAM
root@OpenWrt:~# uci commit
105 2 Fabien ADAM
root@OpenWrt:~# /etc/init.d/openvpn start
106 2 Fabien ADAM
root@OpenWrt:~# logread
107 2 Fabien ADAM
[..]
108 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.warn openvpn(custom_config)[25584]: WARNING: file '/etc/openvpn/Id2ndR.key' is group or others accessible
109 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice netifd: Interface 'wan_vpn' is disabled
110 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: Socket Buffers: R=[163840->131072] S=[163840->131072]
111 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link local: [undef]
112 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link remote: [AF_INET]91.224.149.109:1195
113 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: TLS: Initial packet from [AF_INET]91.224.149.109:1195, sid=2e0c718b e9ec8be6
114 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=1, O=CAcert Inc., OU=http://www.CAcert.org, CN=CAcert Class 3 Root
115 2 Fabien ADAM
Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=0, CN=id2ndr.toulan.fr
116 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
117 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
118 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
119 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
120 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Control Channel: TLSv1.0, cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA, 2048 bit RSA
121 2 Fabien ADAM
Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: [id2ndr.toulan.fr] Peer Connection Initiated with [AF_INET]91.224.149.109:1195
122 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: SENT CONTROL [id2ndr.toulan.fr]: 'PUSH_REQUEST' (status=1)
123 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 91.224.149.254,route 10.9.0.0 255.255.255.0,topology net30,ping 30,ping-restart 100,ifconfig 10.9.0.6 10.9.0.5'
124 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: timers and/or timeouts modified
125 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ifconfig/up options modified
126 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: route options modified
127 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
128 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP device tun0 opened
129 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP TX queue length set to 100
130 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
131 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/ifconfig tun0 10.9.0.6 pointopoint 10.9.0.5 mtu 1500
132 2 Fabien ADAM
Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/route add -net 91.224.149.109 netmask 255.255.255.255 gw 192.168.0.1
133 1 Fabien ADAM
</pre>
134 1 Fabien ADAM
* Nat via le VPN : inspiré de [[http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tun]] Use-Case 3
135 1 Fabien ADAM
** Dans Luci, Network > Interfaces : créer une interface nommée wan_vpn exploitant l'interface tun0, en client dhcp
136 1 Fabien ADAM
** Dans Luci, Network > Firewall : créer une zone wan_vpn avec l'interface wan_vpn en activant Masquerading
137 1 Fabien ADAM
** Dans Luci, Network > Firewall : supprimer la zone lan existante. Créer la zone lan avec le forward vers la zone wan_vpn
138 1 Fabien ADAM
** Depuis un PC derrière le routeur : traceroute google.fr doit sortir par h7.tetaneutral.net (4ème nœuds chez moi, à cause de la VM)
139 1 Fabien ADAM
140 1 Fabien ADAM
Résultats : j'ai mesuré environ 70% d'utilisation CPU sur le routeur pour faire passer 17 méga. Ceci est cohérent avec [[Benchmark_VPN]].