Version 6 - Historique - Iproute2 - tetaneutral.net

Iproute2 » Historique » Version 6

Laurent GUERBY, 18/05/2014 10:42

-Laurent GUERBY
+{{>toc}}
 Laurent GUERBY
-Laurent GUERBY
+h1. Iproute2
 Laurent GUERBY
-Laurent GUERBY
+h2. Liens
 Laurent GUERBY
-Laurent GUERBY
+* cheat sheet http://baturin.org/docs/iproute2/
 Laurent GUERBY
-Laurent GUERBY
+h2. ADSL multiple
 Laurent GUERBY
-Laurent GUERBY
+En cas de multiples box ADSL en mode routeur, activer la redirection 2222 vers localIP:22 pour pouvoir acceder a la machine derriere les box, il faut aussi faire du source routing :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+# Orange routing, local IP 10.0.0.221
-Laurent GUERBY
+ip route add 10.0.0.0/24 dev eth0 table 253
-Laurent GUERBY
+ip route add default via 10.0.0.253 table 253
-Laurent GUERBY
+ip rule add from 10.0.0.221 table 253
 Laurent GUERBY
-Laurent GUERBY
+# FDN routing, local IP 192.168.88.221
-Laurent GUERBY
+ip route add 192.168.88.0/24 dev eth0 table 88
-Laurent GUERBY
+ip route add default via 192.168.88.2 table 88
-Laurent GUERBY
+ip rule add from 192.168.88.221 table 88
 Laurent GUERBY
-Laurent GUERBY
+# Free routing, local IP 192.168.89.221
-Laurent GUERBY
+ip route add 192.168.89.0/24 dev eth0 table 89
-Laurent GUERBY
+ip route add default via 192.168.89.1 table 89
-Laurent GUERBY
+ip rule add from 192.168.89.221 table 89
 Laurent GUERBY
-Laurent GUERBY
+# via VPN tap
-Laurent GUERBY
+ip link set tapbackup up
-Laurent GUERBY
+# openvpn...
-Laurent GUERBY
+ip addr add 172.30.30.3/31 dev tapbackup
-Laurent GUERBY
+ip route add default via 172.31.30.2 table 15
-Laurent GUERBY
+ip rule add from 172.30.30.3 table 15
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Ensuite "openvpn --local 10.0.0.221 --lport 0"  passera par Orange, "openvpn --local 192.168.88.221 --lport 0" par FDN, etc... idem pour toute appli qui bind une socket sur l'IP locale de son choix
 Laurent GUERBY
-Laurent GUERBY
+Note : IPv6 via la freebox donne une IPv6 publique.
 Laurent GUERBY
-Laurent GUERBY
+h2. Routage via tun
 Laurent GUERBY
-Laurent GUERBY
+Par rapport a un device "tap" un device "tun" permet d'economiser des IP d'interconnexion et un peu de débit car les headers ethernet ne sont plus transmis, seul IP passe sur le device.
 Laurent GUERBY
-Laurent GUERBY
+Pour simplifier les regles entre iptables et iproute2 on donne le meme noms aux tables qu'au device a la table :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+# /etc/iproute2/rt_tables
-Laurent GUERBY
+tunadsl1
-Laurent GUERBY
+tunadsl2
-Laurent GUERBY
+tunadsl3
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Creation d'un tun sur adsl :
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+openvpn --mktun --dev-type tun --dev tunadsl1
-Laurent GUERBY
+ip link set tunadsl1 up
-Laurent GUERBY
+openvpn --dev-type tun --dev tunadsl1 --comp-lzo yes --cipher none --proto udp  --verb 3 --daemon --keepalive 10 30 --persist-tun \
-Laurent GUERBY
+ --local $ip_lan_modem --remote $server_ip _server_port --secret mykey.key \
-Laurent GUERBY
+ --log-append mylog.log --mssfix 1400 --fragment 1400 --lport 0
-Laurent GUERBY
+ip route add default dev tunstg table tunstg
-Laurent GUERBY
+ip route add $prefix_private dev $dev_private table tunadsl1
-Laurent GUERBY
+</pre>
 Laurent GUERBY
-Laurent GUERBY
+Ajout SNAT/DNAT et routage entre $ip_public et $ip_private sur le tun $dev
 Laurent GUERBY
-Laurent GUERBY
+<pre>
-Laurent GUERBY
+ip a add $ip_public/32 dev lo
-Laurent GUERBY
+iptables -t nat -A PREROUTING -d $ip_public -j DNAT --to-destination $ip_private -i $dev
-Laurent GUERBY
+iptables -t nat -A POSTROUTING -s $ip_private -j SNAT --to-source $ip_public -o $dev
-Laurent GUERBY
+ip rule add from $ip_public table $dev
-Laurent GUERBY
+ip rule add from $ip_private table $dev
-Laurent GUERBY
+</pre>

Projet

Général

Profil

Iproute2 » Historique » Version 6