Version 3 - Historique - Iproute2 - tetaneutral.net

Iproute2 » Historique » Version 3

Laurent GUERBY, 01/12/2012 17:43

-Laurent GUERBY
+{{>toc}}
 Laurent GUERBY
-Laurent GUERBY
+h1. Iproute2
 Laurent GUERBY
-Laurent GUERBY
+h2. ADSL multiple
 Laurent GUERBY
-Laurent GUERBY
+En cas de multiples box ADSL en mode routeur, activer la redirection 2222 vers localIP:22 pour pouvoir acceder a la machine derriere les box, il faut aussi faire du source routing :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+# Orange routing, local IP 10.0.0.221
-Laurent GUERBY
+ip route add 10.0.0.0/24 dev eth0 table 253
-Laurent GUERBY
+ip route add default via 10.0.0.253 table 253
-Laurent GUERBY
+ip rule add from 10.0.0.221 table 253
 Laurent GUERBY
-Laurent GUERBY
+# FDN routing, local IP 192.168.88.221
-Laurent GUERBY
+ip route add 192.168.88.0/24 dev eth0 table 88
-Laurent GUERBY
+ip route add default via 192.168.88.2 table 88
-Laurent GUERBY
+ip rule add from 192.168.88.221 table 88
 Laurent GUERBY
-Laurent GUERBY
+# Free routing, local IP 192.168.89.221
-Laurent GUERBY
+ip route add 192.168.89.0/24 dev eth0 table 89
-Laurent GUERBY
+ip route add default via 192.168.89.1 table 89
-Laurent GUERBY
+ip rule add from 192.168.89.221 table 89
 Laurent GUERBY
-Laurent GUERBY
+# via VPN tap
-Laurent GUERBY
+ip link set tapbackup up
-Laurent GUERBY
+# openvpn...
-Laurent GUERBY
+ip addr add 172.30.30.3/31 dev tapbackup
-Laurent GUERBY
+ip route add default via 172.31.30.2 table 15
-Laurent GUERBY
+ip rule add from 172.30.30.3 table 15
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Ensuite "openvpn --local 10.0.0.221 --lport 0"  passera par Orange, "openvpn --local 192.168.88.221 --lport 0" par FDN, etc... idem pour toute appli qui bind une socket sur l'IP locale de son choix
 Laurent GUERBY
-Laurent GUERBY
+Note : IPv6 via la freebox donne une IPv6 publique.
 Laurent GUERBY
-Laurent GUERBY
+h2. Routage via tun
 Laurent GUERBY
-Laurent GUERBY
+Par rapport a un device "tap" un device "tun" permet d'economiser des IP d'interconnexion et un peu de dÃ©bit car les headers ethernet ne sont plus transmis, seul IP passe sur le device.
 Laurent GUERBY
-Laurent GUERBY
+Pour simplifier les regles entre iptables et iproute2 on donne le meme noms aux tables qu'au device a la table :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+# /etc/iproute2/rt_tables
-Laurent GUERBY
+tunadsl1
-Laurent GUERBY
+tunadsl2
-Laurent GUERBY
+tunadsl3
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Creation d'un tun sur adsl :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+openvpn --mktun --dev-type tun --dev tunadsl1
-Laurent GUERBY
+ip link set tunadsl1 up
-Laurent GUERBY
+openvpn --dev-type tun --dev tunadsl1 --comp-lzo yes --cipher none --proto udp  --verb 3 --daemon --keepalive 10 30 --persist-tun \
-Laurent GUERBY
+ --local $ip_lan_modem --remote $server_ip _server_port --secret mykey.key \
-Laurent GUERBY
+ --log-append mylog.log --mssfix 1400 --fragment 1400 --lport 0
-Laurent GUERBY
+ip route add default dev tunstg table tunstg
-Laurent GUERBY
+ip route add $prefix_private dev $dev_private table tunadsl1
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Ajout SNAT/DNAT et routage entre $ip_public et $ip_private sur le tun $dev
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+ip a add $ip_public/32 dev lo
-Laurent GUERBY
+iptables -t nat -A PREROUTING -d $ip_public -j DNAT --to-destination $ip_private -i $dev
-Laurent GUERBY
+iptables -t nat -A POSTROUTING -s $ip_private -j SNAT --to-source $ip_public -o $dev
-Laurent GUERBY
+ip rule add from $ip_public table $dev
-Laurent GUERBY
+ip rule add from $ip_private table $dev
-Laurent GUERBY
+</pre>

Projet

Général

Profil

Iproute2 » Historique » Version 3