Version 9 - Historique - Id2ndR - tetaneutral.net

Id2ndR » Historique » Version 9

Fabien ADAM, 18/12/2014 00:52
routage sélectif

-Fabien ADAM
+h1. Mes travaux perso relatifs à Tetaneutral
 Fabien ADAM
-Fabien ADAM
+Auteur : Id2ndR
 Fabien ADAM
-Fabien ADAM
+h2. Virtualisation
 Fabien ADAM
-Fabien ADAM
+Au dessus, de libvirt, je fais tourner quelques VM sur ma machine Zbox ID18 http://www.ldlc.com/fiche/PB00158714.html : Celeron double cœurs supportant le VT, avec 8Go de RAM
 Fabien ADAM
-Fabien ADAM
+h2. OpenWRT
 Fabien ADAM
-Fabien ADAM
+Je possède un TP-Link WDR3600 gigabit et double bande N. Il tourne sous Barrier Breaker 14.04.
 Fabien ADAM
-Fabien ADAM
+Objectifs :
-Fabien ADAM
+- connecter le routeur à Internet via une connexion 4G
-Fabien ADAM
+- sortir sur une VM tournant sur ma machine à Tetaneutral, pour avoir un accès réseau complet (IP fixe, IPv6, téléphonie SIP, pas de bridage ni de modification du flux via les proxys transparents)
-Fabien ADAM
+- brancher un téléphone IP ethernet (offre Plug&Phone d'OVH) qui passe dans le VPN, et qui fonctionne normalement sans aucune configuration
 Fabien ADAM
-Fabien ADAM
+h3. 4G
 Fabien ADAM
-Fabien ADAM
+Inspiré de http://wiki.openwrt.org/doc/howto/usb.tethering
-Fabien ADAM
+<pre>
-Fabien ADAM
+root@OpenWrt:~# opkg update
-Fabien ADAM
+root@OpenWrt:~# opkg install kmod-usb-net-rndis
-Fabien ADAM
+root@OpenWrt:~# insmod usbnet
-Fabien ADAM
+root@OpenWrt:~# insmod cdc_ether
-Fabien ADAM
+root@OpenWrt:~# insmod rndis_host
-Fabien ADAM
+root@OpenWrt:~# ifconfig usb0
-Fabien ADAM
+usb0      Link encap:Ethernet  HWaddr 02:34:68:55:02:03
-Fabien ADAM
+          BROADCAST MULTICAST  MTU:1500  Metric:1
-Fabien ADAM
+          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
-Fabien ADAM
+          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
-Fabien ADAM
+          collisions:0 txqueuelen:1000
-Fabien ADAM
+          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
-Fabien ADAM
+</pre>
-Fabien ADAM
+Dans Luci, Network > Interfaces : créer une interface nommée 4G exploitant l'interface usb0, en client dhcp
 Fabien ADAM
-Fabien ADAM
+Pinguer depuis le routeur.
 Fabien ADAM
-Fabien ADAM
+h3. OpenVPN
 Fabien ADAM
-Fabien ADAM
+Mise en place :
-Fabien ADAM
+* Certificat SSL du serveur (VM) : généré par CA-Cert (je n'ai jamais pu faire marcher le VPN sur OpenWRT avec un certificat auto-signé)
-Fabien ADAM
+* Certificat d'un certificat client : généré avec easy-rsa (build-ca, build-key-server, build-key). Remarque : il n'est pas nécessaire que ces certificats soient issues du certificat du serveur vérifié à la connexion, car le serveur connaît son référentiel de clef, indépendament du certificat serveur présenté sur le port d'écoute.
-Fabien ADAM
+* Configuration du serveur :
-Fabien ADAM
+<pre>
-Fabien ADAM
+id2ndr@id2ndr-vm: ~$ cat /etc/openvpn/id2ndr.conf
-Fabien ADAM
+##################################
-Fabien ADAM
+dev tun
-Fabien ADAM
+proto udp
-Fabien ADAM
+port 1194
 Fabien ADAM
-Fabien ADAM
+ca /etc/openvpn/easy-rsa/keys/class3.crt
-Fabien ADAM
+cert /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.crt
-Fabien ADAM
+key /etc/openvpn/easy-rsa/keys/id2ndr.toulan.fr.key
-Fabien ADAM
+dh /etc/openvpn/easy-rsa/keys/dh1024.pem
 Fabien ADAM
-Fabien ADAM
+user nobody
-Fabien ADAM
+group nogroup
-Fabien ADAM
+server 10.9.0.0 255.255.255.0
 Fabien ADAM
-Fabien ADAM
+persist-key
-Fabien ADAM
+#persist-tun
 Fabien ADAM
-Fabien ADAM
+keepalive 10 100
 Fabien ADAM
 Fabien ADAM
-Fabien ADAM
+status /var/log/openvpn-status.log
-Fabien ADAM
+verb 3
-Fabien ADAM
+client-to-client
 Fabien ADAM
 Fabien ADAM
-Fabien ADAM
+#push "redirect-gateway def1"
-Fabien ADAM
+#set the dns servers
-Fabien ADAM
+#push "dhcp-option DNS 8.8.8.8"
-Fabien ADAM
+#push "dhcp-option DNS 8.8.4.4"
-Fabien ADAM
+push "redirect-gateway def1"
-Fabien ADAM
+push dhcp-option DNS 91.224.149.254
 Fabien ADAM
 Fabien ADAM
-Fabien ADAM
+log-append /var/log/openvpn
-Fabien ADAM
+comp-lzo adaptive
-Fabien ADAM
+</pre>
 Fabien ADAM
-Fabien ADAM
+* Installation du client :
-Fabien ADAM
+<pre>
-Fabien ADAM
+root@OpenWrt:~# opkg update; opkg install openvpn-openssl
-Fabien ADAM
+root@OpenWrt:~# uci set openvpn.custom_config.enabled=1
-Fabien ADAM
+root@OpenWrt:~# uci commit
-Fabien ADAM
+root@OpenWrt:~# cat /etc/openvpn/my-vpn.conf
-Fabien ADAM
+dev tun
-Fabien ADAM
+client
-Fabien ADAM
+#proto tcp
-Fabien ADAM
+proto udp
-Fabien ADAM
+remote id2ndr.toulan.fr 1195
-Fabien ADAM
+resolv-retry infinite
-Fabien ADAM
+nobind
-Fabien ADAM
+persist-key
-Fabien ADAM
+persist-tun
-Fabien ADAM
+ca /etc/openvpn/class3.crt
-Fabien ADAM
+cert /etc/openvpn/Id2ndR.crt
-Fabien ADAM
+key /etc/openvpn/Id2ndR.key
-Fabien ADAM
+comp-lzo no
-Fabien ADAM
+verb 3
-Fabien ADAM
+root@OpenWrt:/etc/openvpn# wget http://www.cacert.org/certs/class3.crt
-Fabien ADAM
+root@OpenWrt:~# vi /etc/openvpn/Id2ndR.crt
-Fabien ADAM
+root@OpenWrt:~# vi /etc/openvpn/Id2ndR.key
-Fabien ADAM
+root@OpenWrt:~# uci set openvpn.custom_config.enabled=1
-Fabien ADAM
+root@OpenWrt:~# uci commit
-Fabien ADAM
+root@OpenWrt:~# /etc/init.d/openvpn start
-Fabien ADAM
+root@OpenWrt:~# logread
-Fabien ADAM
+[..]
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.warn openvpn(custom_config)[25584]: WARNING: file '/etc/openvpn/Id2ndR.key' is group or others accessible
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice netifd: Interface 'wan_vpn' is disabled
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: Socket Buffers: R=[163840->131072] S=[163840->131072]
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link local: [undef]
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: UDPv4 link remote: [AF_INET]91.224.149.109:1195
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: TLS: Initial packet from [AF_INET]91.224.149.109:1195, sid=2e0c718b e9ec8be6
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=1, O=CAcert Inc., OU=http://www.CAcert.org, CN=CAcert Class 3 Root
-Fabien ADAM
+Sat Dec  6 19:35:15 2014 daemon.notice openvpn(custom_config)[25584]: VERIFY OK: depth=0, CN=id2ndr.toulan.fr
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: Control Channel: TLSv1.0, cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA, 2048 bit RSA
-Fabien ADAM
+Sat Dec  6 19:35:16 2014 daemon.notice openvpn(custom_config)[25584]: [id2ndr.toulan.fr] Peer Connection Initiated with [AF_INET]91.224.149.109:1195
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: SENT CONTROL [id2ndr.toulan.fr]: 'PUSH_REQUEST' (status=1)
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 91.224.149.254,route 10.9.0.0 255.255.255.0,topology net30,ping 30,ping-restart 100,ifconfig 10.9.0.6 10.9.0.5'
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: timers and/or timeouts modified
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ifconfig/up options modified
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: route options modified
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP device tun0 opened
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: TUN/TAP TX queue length set to 100
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/ifconfig tun0 10.9.0.6 pointopoint 10.9.0.5 mtu 1500
-Fabien ADAM
+Sat Dec  6 19:35:18 2014 daemon.notice openvpn(custom_config)[25584]: /sbin/route add -net 91.224.149.109 netmask 255.255.255.255 gw 192.168.0.1
-Fabien ADAM
+</pre>
 Fabien ADAM
-Fabien ADAM
+Résultats :
-Fabien ADAM
+* j'ai mesuré environ 70% d'utilisation CPU sur le routeur pour faire passer 17 méga. Ceci est cohérent avec [[Benchmark_VPN]].
-Fabien ADAM
+* en 4G, avec une SIM Red, je fais passé en général 6 méga down / 1 méga up (mais parfois beaucoup plus)
 Fabien ADAM
-Fabien ADAM
+h3. Routage
 Fabien ADAM
-Fabien ADAM
+* Nat via le VPN : inspiré de http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tun Use-Case 3
-Fabien ADAM
+** Dans Luci, Network > Interfaces : créer une interface nommée wan_vpn exploitant l'interface tun0, en client dhcp
-Fabien ADAM
+** Dans Luci, Network > Firewall : créer une zone wan_vpn avec l'interface wan_vpn en activant Masquerading
-Fabien ADAM
+** Dans Luci, Network > Firewall : supprimer la zone lan existante. Créer la zone lan avec le forward vers la zone wan_vpn
-Fabien ADAM
+** Depuis un PC derrière le routeur : traceroute google.fr doit sortir par h7.tetaneutral.net (4ème nœuds chez moi, à cause de la VM)
 Fabien ADAM
-Fabien ADAM
+Résultats :
-Fabien ADAM
+* Le VPN ajoute en général 20-25ms par rapport à une route directe (vers un autre site que tetaneutral).
-Fabien ADAM
+* Le VPN ne réduit pas le débit par rapport à la connexion hors VPN.
-Fabien ADAM
+* La VoIP (SIP) fonctionne très bien via le VPN
 Fabien ADAM
-Fabien ADAM
+Limites :
-Fabien ADAM
+* Pour les jeux en ligne, on tourne autour de 100-105ms de ping avec le VPN contre 80ms en connexion direct.
-Fabien ADAM
+* Pas de sélection des flux à faire passer dans le VPN, et ceux à faire passer directement en 4G :
-Fabien ADAM
+** Le masquerade d'OpenWRT fait via luci fonctionne par zone, et s'il est possible d'autoriser le forward d'une zone vers plusieurs zones, seule la dernière zone est prise en compte
-Fabien ADAM
+** Il n'est pas possible via Luci d'utiliser une même zone dans plusieurs règles de forward vers chacun une zone différente
-Fabien ADAM
+** La table de routage du noyau linux ne permet pas de définir plusieurs passerelles par défaut.
 Fabien ADAM
-Fabien ADAM
+Piste à explorer pour contourner les limites ci-dessus : installer iproute2, et ajouter des étiquettes sur les différents flux, pour faire un routage plus évolué.
 Fabien ADAM
-Fabien ADAM
+h2. Raspberry Pi
 Fabien ADAM
-Fabien ADAM
+Objectifs :
-Fabien ADAM
+* Transformer le rPi en routeur, avec comme interface de sortie vers Internet un appareil en usb, et comme interface LAN, le port ethernet
-Fabien ADAM
+* Encapsuler la connexion des clients sur le LAN dans le VPN
-Fabien ADAM
+* Faire du filtrage pour choisir explicitement quoi router dans le VPN, et quoi faire passer en direct
 Fabien ADAM
-Fabien ADAM
+h3. Routage
 Fabien ADAM
-Fabien ADAM
+* Configurer l'interface ethernet en hotplug, avec une IP fixe; et l'usb en dhcp (Internet)
-Fabien ADAM
+<pre>
-Fabien ADAM
+auto eth0
-Fabien ADAM
+allow-hotplug eth0
-Fabien ADAM
+iface eth0 inet static
-Fabien ADAM
+        address 192.168.1.1
-Fabien ADAM
+        netmask 255.255.255.0
-Fabien ADAM
+        post-up iptables-restore < /etc/network/iptables
 Fabien ADAM
-Fabien ADAM
+auto usb0
-Fabien ADAM
+allow-hotplug usb0
-Fabien ADAM
+        iface usb0 inet dhcp
-Fabien ADAM
+</pre>
-Fabien ADAM
+* Installer le paquet dnsmasq, et lui donner la page d'IP à allouer en DHCP. dnsmasq fait office de relai DNS de manière automatique, et fourni également la route par défaut (il indique que le rPi fait office de passerelle vers Internet) : echo "dhcp-range=eth0,192.168.1.2,192.168.1.10,4h" | sudo tee /etc/dnsmasq.d/raspberry.conf
-Fabien ADAM
+* Activer le routage sur le rPi :
-Fabien ADAM
+** l'ip forward : Décommenter la ligne _net.ipv4.ip_forward=1_ dans /etc/sysctl.conf, et appliquer les modifications avec _sudo sysctl -p /etc/sysctl.conf_ (vérification : sudo sysctl net.ipv4.ip_forward)
-Fabien ADAM
+** le nat : sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE; sudo iptables-save | sudo tee /etc/network/iptables
 Fabien ADAM
-Fabien ADAM
+h3. OpenVPN
 Fabien ADAM
-Fabien ADAM
+* Installer le paquet openvpn.
-Fabien ADAM
+* Recopier la conf (4 fichier) dans /etc/openvpn
-Fabien ADAM
+* Redémarrer le service
 Fabien ADAM
-Fabien ADAM
+TODO : tester 2 connexions VPN en //, pour éventuellement faire du bounding (si FreeMobile limite le débit vers tetaneutral par flux)
 Fabien ADAM
-Fabien ADAM
+TODO : mettre en place de l'IPv6
 Fabien ADAM
-Fabien ADAM
+h3. Routage sélectif
 Fabien ADAM
-Fabien ADAM
+TODO : avec iproute2
 Fabien ADAM
-Fabien ADAM
+Ici le rPi :
-Fabien ADAM
+* prend le net via la 4G, soit en usb, soit en wifi, cela ne change rien (sauf l'IP de la passerelle utilisée ci-dessous)
-Fabien ADAM
+* partage le net via son port ethernet, branché sur un switch, en faisant serveur DHCP
 Fabien ADAM
-Fabien ADAM
+Objectif : faire transiter tous les flux dans le VPN, sauf ceux qui ne doivent pas être ralentis (ping ou bridage FreeMobile)
-Fabien ADAM
+Source : http://irp.nain-t.net/doku.php/100iproute:020_iproute2
 Fabien ADAM
-Fabien ADAM
+Démo : ici on va faire passer le web via la 4G, et le reste dans le VPN.
-Fabien ADAM
+<pre>
-Fabien ADAM
+id2ndr@raspberrypi ~ $ sudo vim.tiny /etc/iproute2/rt_tables                    # Ajout de la ligne "200    4G"
-Fabien ADAM
+id2ndr@raspberrypi ~ $ sudo ip rule add fwmark 80 table 4G
-Fabien ADAM
+id2ndr@raspberrypi ~ $ ip rule list
-Fabien ADAM
+:      from all lookup local
-Fabien ADAM
+:  from all fwmark 0x50 lookup 4G
-Fabien ADAM
+:  from all fwmark 0x50 lookup 4G
-Fabien ADAM
+:  from all lookup main
-Fabien ADAM
+:  from all lookup default
-Fabien ADAM
+id2ndr@raspberrypi ~ $ ip a s dev wlan0
-Fabien ADAM
+: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
-Fabien ADAM
+    link/ether 00:08:a1:ac:cf:ab brd ff:ff:ff:ff:ff:ff
-Fabien ADAM
+    inet 192.168.43.241/24 brd 192.168.43.255 scope global wlan0
-Fabien ADAM
+       valid_lft forever preferred_lft forever
-Fabien ADAM
+    inet6 fe80::208:a1ff:feac:cfab/64 scope link
-Fabien ADAM
+       valid_lft forever preferred_lft forever
-Fabien ADAM
+id2ndr@raspberrypi ~ $ sudo ip route add default via 192.168.43.1 table 4G
-Fabien ADAM
+id2ndr@raspberrypi ~ $ ip r s
-Fabien ADAM
+.0.0.0/1 via 10.9.0.5 dev tun0
-Fabien ADAM
+default via 192.168.43.1 dev wlan0
-Fabien ADAM
+.9.0.0/24 via 10.9.0.5 dev tun0
-Fabien ADAM
+.9.0.5 dev tun0  proto kernel  scope link  src 10.9.0.6
-Fabien ADAM
+.0.0.0/1 via 10.9.0.5 dev tun0
-Fabien ADAM
+.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1
-Fabien ADAM
+.168.43.0/24 dev wlan0  proto kernel  scope link  src 192.168.43.241
-Fabien ADAM
+id2ndr@raspberrypi ~ $ ip r s table 4G
-Fabien ADAM
+default via 192.168.43.1 dev wlan0
-Fabien ADAM
+id2ndr@raspberrypi ~ $ sudo iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK --set-mark 80
-Fabien ADAM
+</pre>
 Fabien ADAM
-Fabien ADAM
+En activant ou non la règle iptables à la fin, on peut comparer un speedtest passant dans le VPN ou en direct
 Fabien ADAM
-Fabien ADAM
+Tests :
-Fabien ADAM
+* sudo tcptraceroute google.fr 80  # doit sortir en direct
-Fabien ADAM
+* sudo tcptraceroute google.fr 100 # doit passer par tetaneutral

Projet

Général

Profil

Id2ndR » Historique » Version 9