Wiki de grifon

Outils pour utilisateurs

Outils du site

Piste :
machines:grifon:lns01

Différences

Ci-dessous, les différences entre deux révisions de la page.


machines:grifon:lns01 [2019/03/09 12:46] (Version actuelle) – créée - modification externe 127.0.0.1
Ligne 1: Ligne 1:
 +====== lns01 A METTRE A JOUR ======
  
 +Machine virtuelle sous Gentoo
 +
 +<code>
 +Linux lns01.rns-cogent.grifon.fr #1 SMP Wed Feb 27 16:42:46 CET 2019 x86_64 Intel(R) Xeon(R) CPU E5645 @ 2.40GHz GenuineIntel GNU/Linux
 +</code>
 +
 +Routeur de collecte ADSL
 +
 +===== Administrateurs =====
 +
 +  * alarig
 +  * dotux
 +  * gizmo
 +  * nemo
 +
 +===== Services =====
 +
 +  * RADIUS, freeradius (non utilisé)
 +  * L2TP, xl2tpd
 +  * PPP, ppp patché
 +  * RA, radvd
 +  * DHCPv6, kea
 +  * BGP, bird
 +
 +==== RADIUS ====
 +
 +Ce service n'est pas utilisé sur les LNS mais sur bgp-adsl. Il est toujours présent pour des raisons historiques ainsi que dans un éventuel besoin futur.
 +
 +Pour plus d'informations, se référer à la page sur la machine bgp-adsl.
 +
 +==== L2TP ====
 +
 +<code>emerge -va net-dialup/xl2tpd</code>
 +
 +Notre infra de collecte est très classique, nous nous faisons livrer au travers d’un tunnel L2TP. La communication avec le pppd se fait au travers d’un port série virtuel créé dans ''/dev/pts''.
 +
 +<file | /etc/xl2tpd/xl2tpd.conf>
 +
 +[lns default]                                                   ; Our fallthrough LNS definition
 +assign ip = no
 +local ip = 89.234.186.11                                ; * Our local IP to use
 +pppoptfile = /etc/ppp/options
 +</file>
 +
 +Attention cependant, les versions (au moins) inférieures à 1.3.6 ne supportent pas ce port série virtuel.
 +==== PPP ====
 +
 +<code>emerge -va net-dialup/ppp
 +# avec le patch plus bas et le USE radius</code>
 +
 +Cela nous sert à terminer le tunnel PPP initié par l’abonné. Ça va créer une interface ''ppp${n}'' par abonné, avec n allant de 0 à ${abonnes_connectes} - 1.
 +
 +La configuration IPv4 est directement gérée par PPP avec de l’IPCP. En IPv6 il faut envoyer les RA et réponses DHCP avec des programmes externes. On utilise les scripts post-up pour ça.
 +
 +Nous utilisons le plugin ''radattr.so'' afin de récupérer les informations RADIUS dans un fichier plat et de pouvoir configurer les daemons IPv6 « à la volée ».
 +
 +Il faut également modifier le dictionnaire RADIUS car les attributs IPv6 ne sont pas présents par défaut.
 +
 +<file | /etc/ppp/options>
 +ms-dns 89.234.186.18
 +asyncmap 0
 +auth
 +lock
 +hide-password
 +modem
 +mru 1492
 +-pap
 ++chap
 +-vj
 +mtu 1492
 +name judicael
 +lcp-echo-interval 30
 +lcp-echo-failure 4
 +noipx
 ++ipv6
 +plugin radius.so
 +plugin radattr.so
 +</file>
 +
 +<file bash | /etc/ppp/ip-up.d/00-grifon.sh>
 +#!/bin/sh
 +
 +PPP_IFACE="$1"
 +PPP_TTY="$2"
 +PPP_SPEED="$3"
 +PPP_LOCAL="$4"
 +PPP_REMOTE="$5"
 +PPP_IPPARAM="$6"
 +
 +if [ ${PPP_LOCAL} = '89.234.186.11' ]; then
 +        exit 0
 +fi
 +
 +prefix_interco=$(awk '$1 == "Framed-IPv6-Prefix" { print $2 }' /run/radattr.$PPP_IFACE)
 +prefix_deleg=$(awk '$1 == "Delegated-IPv6-Prefix" { print $2 }' /run/radattr.$PPP_IFACE)
 +
 +ip -6 addr add ${prefix_interco%/64}1/64 dev ${PPP_IFACE}
 +ip -6 route add $prefix_deleg via $PPP_REMOTE dev $PPP_IFACE
 +
 +if [ ! -d /run/vpn/ ]; then
 +        mkdir /run/vpn/
 +fi
 +
 +echo "
 +interface $PPP_IFACE
 +{
 +        AdvSendAdvert on;
 +        IgnoreIfMissing on;
 +
 +        prefix $prefix_interco {};
 +};
 +# $PPP_LOCAL $PPP_REMOTE
 +" > /run/vpn/radvd-user.${PPP_IFACE}.conf
 +cat /etc/radvd.conf.base > /etc/radvd.conf
 +cat /run/vpn/radvd-user.*.conf >> /etc/radvd.conf
 +
 +kill -HUP $(cat /run/radvd/radvd.pid)
 +
 +sed \
 +        -e "s|#IFACE#|${PPP_IFACE}|" \
 +        -e "s|#PF_INTERCO#|${prefix_interco}|" \
 +        -e "s|#INET6_INTERCO#|${prefix_interco%/64}|g" \
 +        -e "s|#PF_PD#|${prefix_deleg%/48}|" \
 +        /etc/kea/kea-dhcp6-ppp.conf > /run/vpn/kea-dhcpd6-${PPP_IFACE}.conf
 +
 +/usr/sbin/kea-dhcp6 -c/run/vpn/kea-dhcpd6-${PPP_IFACE}.conf &
 +
 +# Forcer un RA après le démarage du DHCPv6
 +kill -HUP $(cat /run/radvd/radvd.pid)
 +</file>
 +
 +<file bash | /etc/ppp/ip-down.d/00-grifon.sh>
 +#!/bin/sh
 +
 +PPP_IFACE="$1"
 +PPP_TTY="$2"
 +PPP_SPEED="$3"
 +PPP_LOCAL="$4"
 +PPP_REMOTE="$5"
 +PPP_IPPARAM="$6"
 +
 +rm -f /run/vpn/radvd-user.${PPP_IFACE}.conf
 +cat /etc/radvd.conf.base > /run/vpn/radvd-vpn.conf
 +cat /run/vpn/radvd-user.*.conf >> /run/vpn/radvd-vpn.conf
 +kill -HUP $(cat /run/radvd/radvd.pid)
 +
 +ip -6 route del $prefix dev ${PPP_IFACE}
 +
 +kill $(cat /var/lib/kea/kea-dhcpd6-${PPP_IFACE}.kea-dhcp6.pid)
 +rm /run/vpn/kea-dhcpd6-${PPP_IFACE}.conf
 +</file>
 +
 +<file | /etc/ppp/radius/dictionary>
 +[…]
 +#IPv6
 +
 +ATTRIBUTE       Framed-IPv6-Prefix      97      ipv6prefix
 +ATTRIBUTE       Framed-IPv6-Address     168     ipv6addr
 +ATTRIBUTE       Framed-Interface-Id     96      string
 +ATTRIBUTE       Delegated-IPv6-Prefix   123     ipv6prefix
 +</file>
 +
 +PPP ne supporte pas les attributs RADIUS IPv6, il faut donc le patcher pour que ça fonctionne. Le patch a déjà publié sur la ML upstream il y a un an et demi, mais n’est toujours pas intégré. Pour le moment, on se contente donc de le mettre dans ''/etc/portage/patches/net-dialup/ppp/Handle-IPv6-RADIUS-attributes.patch'' pour qu’emerge modifie la source à chaque fois qu’il faut re-compiler.
 +
 +<file diff | /etc/portage/patches/net-dialup/ppp/Handle-IPv6-RADIUS-attributes.patch>
 +From 5c0cac0eeecc32e5023d353a8420633827800e8e Mon Sep 17 00:00:00 2001
 +From: Benjamin Cama <benoar@dolka.fr>
 +Date: Sun, 11 Oct 2015 18:08:11 +0200
 +Subject: [PATCH] Handle IPv6 RADIUS attributes
 +
 +---
 + pppd/plugins/radius/avpair.c       | 26 +++++++++++++++++++++++++-
 + pppd/plugins/radius/dict.c         | 12 ++++++++++++
 + pppd/plugins/radius/radiusclient.h | 11 +++++++++++
 + 3 files changed, 48 insertions(+), 1 deletion(-)
 +
 +diff --git a/pppd/plugins/radius/avpair.c b/pppd/plugins/radius/avpair.c
 +index 716d23f..7536941 100644
 +--- a/pppd/plugins/radius/avpair.c
 ++++ b/pppd/plugins/radius/avpair.c
 +@@ -222,6 +222,9 @@ VALUE_PAIR *rc_avpair_gen (AUTH_HDR *auth)
 +                        {
 +
 +                            case PW_TYPE_STRING:
 ++                           case PW_TYPE_IFID:
 ++                           case PW_TYPE_IPV6ADDR:
 ++                           case PW_TYPE_IPV6PREFIX:
 +                                memcpy (pair->strvalue, (char *) ptr, (size_t) attrlen);
 +                                pair->strvalue[attrlen] = '\0';
 +                                pair->lvalue = attrlen;
 +@@ -692,9 +695,10 @@ int rc_avpair_parse (char *buffer, VALUE_PAIR **first_pair)
 + int rc_avpair_tostr (VALUE_PAIR *pair, char *name, int ln, char *value, int lv)
 + {
 +        DICT_VALUE     *dval;
 +-       char            buffer[32];
 ++       char            buffer[INET6_ADDRSTRLEN + 4]; // for a prefix: addr + '/' + prefixlen
 +        struct in_addr  inad;
 +        unsigned char         *ptr;
 ++       char            *str;
 +
 +        *name = *value = '\0';
 +
 +@@ -753,6 +757,26 @@ int rc_avpair_tostr (VALUE_PAIR *pair, char *name, int ln, char *value, int lv)
 +                strncpy(value, buffer, lv-1);
 +                break;
 +
 ++           case PW_TYPE_IFID:
 ++               ptr = pair->strvalue;
 ++               snprintf(buffer, sizeof (buffer), "%x:%x:%x:%x",
 ++                        (ptr[0] << 8) + ptr[1], (ptr[2] << 8) + ptr[3],
 ++                        (ptr[4] << 8) + ptr[5], (ptr[6] << 8) + ptr[7]);
 ++               strncpy(value, buffer, lv-1);
 ++               break;
 ++
 ++           case PW_TYPE_IPV6ADDR:
 ++               inet_ntop(AF_INET6, pair->strvalue, buffer, sizeof (buffer));
 ++               strncpy(value, buffer, lv-1);
 ++               break;
 ++
 ++           case PW_TYPE_IPV6PREFIX:
 ++               inet_ntop(AF_INET6, pair->strvalue + 2, buffer, sizeof (buffer));
 ++               str = buffer + strlen(buffer);
 ++               snprintf(str, sizeof (buffer) - (str - buffer), "/%d", *(pair->strvalue + 1));
 ++               strncpy(value, buffer, lv-1);
 ++               break;
 ++
 +            default:
 +                error("rc_avpair_tostr: unknown attribute type %d", pair->type);
 +                return (-1);
 +diff --git a/pppd/plugins/radius/dict.c b/pppd/plugins/radius/dict.c
 +index 72b3e70..3b2add2 100644
 +--- a/pppd/plugins/radius/dict.c
 ++++ b/pppd/plugins/radius/dict.c
 +@@ -158,6 +158,18 @@ int rc_read_dictionary (char *filename)
 +                        {
 +                                type = PW_TYPE_DATE;
 +                        }
 ++                       else if (strcmp (typestr, "ifid") == 0)
 ++                       {
 ++                               type = PW_TYPE_IFID;
 ++                       }
 ++                       else if (strcmp (typestr, "ipv6addr") == 0)
 ++                       {
 ++                               type = PW_TYPE_IPV6ADDR;
 ++                       }
 ++                       else if (strcmp (typestr, "ipv6prefix") == 0)
 ++                       {
 ++                               type = PW_TYPE_IPV6PREFIX;
 ++                       }
 +                        else
 +                        {
 +                                error("rc_read_dictionary: invalid type on line %d of dictionary %s",
 +diff --git a/pppd/plugins/radius/radiusclient.h b/pppd/plugins/radius/radiusclient.h
 +index 51b959a..ab4ef2d 100644
 +--- a/pppd/plugins/radius/radiusclient.h
 ++++ b/pppd/plugins/radius/radiusclient.h
 +@@ -77,6 +77,17 @@ typedef struct pw_auth_hdr
 + #define PW_TYPE_INTEGER                        1
 + #define PW_TYPE_IPADDR                 2
 + #define PW_TYPE_DATE                   3
 ++#define PW_TYPE_ABINARY                        4
 ++#define PW_TYPE_OCTETS                 5
 ++#define PW_TYPE_IFID                   6
 ++#define PW_TYPE_IPV6ADDR               7
 ++#define PW_TYPE_IPV6PREFIX             8
 ++#define PW_TYPE_BYTE                   9
 ++#define PW_TYPE_SHORT                  10
 ++#define PW_TYPE_ETHERNET               11
 ++#define PW_TYPE_SIGNED                 12
 ++#define PW_TYPE_COMBO_IP               13
 ++#define PW_TYPE_TLV                    14
 +
 + /* standard RADIUS codes */
 +
 +--
 +2.1.4
 +</file>
 +==== RA ====
 +
 +<code>emerge -va net-misc/radvd</code>
 +
 +radvd veut nécessairement une configuration non vide dans ''/etc/radvd.conf'' pour démarrer.
 +Ce que nous faisons, c’est que nous créons ''/etc/radvd.conf.base'' comprenant une conf qui ne fait strictement rien, mais suffisante. Ensuite, nous créons un fichier ''/run/vpn/radvd-user.ppp${n}.conf'' par abonné que nous concaténons au fichier de base et que nous écrivons dans ''/etc/radvd.conf'' (cf. le script de post-up PPP).
 +
 +Au reboot, nous écrasons le ''/etc/radvd.conf'' car rien ne nous garantit que la machine s’est arrêtée proprement et que tous les scripts de post-down se sont déroulé pour supprimer les configurations qui ne sont plus nécessaires.
 +
 +<file | /etc/radvd.conf.base>
 +interface lo {};
 +interface eth0 {
 +        AdvSendAdvert off;
 +};
 +</file>
 +
 +<file | /run/vpn/radvd-user.ppp0.conf>
 +
 +interface ppp0
 +{
 +        AdvSendAdvert on;
 +        IgnoreIfMissing on;
 +
 +        prefix 2a00:5884:1100:1::/64 {};
 +};
 +# fe80::09e0:1d8b:94af:8d16 fe80::021b:21ff:fe1a:e9c0
 +
 +</file>
 +
 +<file | /etc/radvd.conf>
 +interface lo {};
 +interface eth0 {
 +        AdvSendAdvert off;
 +};
 +
 +interface ppp0
 +{
 +        AdvSendAdvert on;
 +        IgnoreIfMissing on;
 +
 +        prefix 2a00:5884:1100:1::/64 {};
 +};
 +# fe80::09e0:1d8b:94af:8d16 fe80::021b:21ff:fe1a:e9c0
 +
 +</file>
 +==== DHCPv6 ====
 +
 +Nous utilisons kea pour le DHCPv6. Pourquoi pas le serveur classique isc-dhcp ? Simplement parce qu’il ne supporte pas le medium ppp… « ''Unsupported device type 512 for "ppp0"'' ».
 +
 +La configuration de kea est passablement merdique (c’est du JSON…). Donc plutôt que de se taper 100 lignes de template dans le script d’up, je sed une conf type que je copie dans /run/vpn et je dis à kea d’utiliser ça.
 +
 +<file | /etc/kea/kea-dhcp6-ppp.conf>
 +{
 +"Dhcp6": {
 +  "interfaces-config": {
 +    "interfaces": [ "#IFACE#" ]
 +  },
 +  "option-data": [
 +        {
 +                "name": "dns-servers",
 +                "code": 23,
 +                "space": "dhcp6",
 +                "csv-format": true,
 +                "data": "2a00:5884::7, 2a00:5884:8218::1"
 +        }
 +],
 +  "lease-database": {
 +    "type": "memfile"
 +  },
 +
 +  "expired-leases-processing": {
 +    "reclaim-timer-wait-time": 10,
 +    "flush-reclaimed-timer-wait-time": 25,
 +    "hold-reclaimed-time": 3600,
 +    "max-reclaim-leases": 100,
 +    "max-reclaim-time": 250,
 +    "unwarned-reclaim-cycles": 5
 +  },
 +
 +  "preferred-lifetime": 3000,
 +  "valid-lifetime": 4000,
 +  "renew-timer": 1000,
 +  "rebind-timer": 2000,
 +
 +  "subnet6": [
 +        {
 +                "subnet": "#PF_INTERCO#",
 +                "interface": "#IFACE#",
 +                "pools": [
 +                        { "pool": "#INET6_INTERCO#2-#INET6_INTERCO#ffff" }
 +                ],
 +        "pd-pools": [
 +                {
 +                        "prefix": "#PF_PD#",
 +                        "prefix-len": 48,
 +                        "delegated-len": 56
 +                }
 +        ]
 +        }
 +   ]
 +},
 +
 +"Logging": {
 +  "loggers": [
 +    {
 +      "name": "kea-dhcp6",
 +      "output_options": [
 +          {
 +            "output": "/var/log/kea-dhcp6.log"
 +          }
 +      ],
 +      "severity": "INFO",
 +      "debuglevel": 0
 +    },
 +  ]
 +}
 +
 +}
 +</file>
 +
 +<note important>
 +Cette configuration n’est pas compatible avec la version 1.2.0-r1, il est donc impératif de rester en version 1.1.0.
 +</note>
 +==== BGP ====
 +
 +Sessions iBGP avec l'autre LNS (lns02), les ASBR (nominoe et budic) et bgp-adsl (seulement en IPv4).
 +===== Conf réseau =====
 +
 +La VM ne comporte qu’un port réseau public (''eth0'') et un port réseau privé (''eth1'').
 +
 +Le trafic rentre par l’interco avec phibee sur ''eth0.2001'' (L2TP) et ressort par ''eth0'' (Ethernet, VLAN natif 32).
 +
 +Les échanges RADIUS se font sur ''eth0.2000''.
 +
 +L’interface ''dummy0'' sert de loopback pour porter les IPs sur lesquelles se bind le RADIUS et le L2TP, que l’on annonce en BGP à phibee.
 +
 +La passerelle de la machine est ''89.234.186.201'' et ''2a00:5884:0:1::1'', ce qui correspond à un VRRP entre nominoe et budic.
 +
 +<file>
 +1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
 +    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 +    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
 +       valid_lft forever preferred_lft forever
 +    inet6 ::1/128 scope host
 +       valid_lft forever preferred_lft forever
 +2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
 +    link/ether 7a:0d:49:b8:6a:85 brd ff:ff:ff:ff:ff:ff
 +    inet 89.234.186.206/29 brd 89.234.186.207 scope global eth0
 +       valid_lft forever preferred_lft forever
 +    inet6 2a00:5884:0:1:ffff:ffff:ffff:ffff/64 scope global
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::780d:49ff:feb8:6a85/64 scope link
 +       valid_lft forever preferred_lft forever
 +3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
 +    link/ether be:a8:8a:55:c1:0e brd ff:ff:ff:ff:ff:ff
 +    inet 172.17.0.22/24 brd 172.17.0.255 scope global eth1
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::bca8:8aff:fe55:c10e/64 scope link
 +       valid_lft forever preferred_lft forever
 +4: dummy0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
 +    link/ether 02:8e:6a:62:b4:40 brd ff:ff:ff:ff:ff:ff
 +    inet 89.234.186.10/32 scope global dummy0
 +       valid_lft forever preferred_lft forever
 +    inet 89.234.186.11/32 scope global dummy0
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::8e:6aff:fe62:b440/64 scope link
 +       valid_lft forever preferred_lft forever
 +5: eth0.2000@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
 +    link/ether 7a:0d:49:b8:6a:85 brd ff:ff:ff:ff:ff:ff
 +    inet 78.41.191.125/31 scope global eth0.2000
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::780d:49ff:feb8:6a85/64 scope link
 +       valid_lft forever preferred_lft forever
 +6: eth0.2001@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
 +    link/ether 7a:0d:49:b8:6a:85 brd ff:ff:ff:ff:ff:ff
 +    inet 78.41.191.127/31 scope global eth0.2001
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::780d:49ff:feb8:6a85/64 scope link
 +       valid_lft forever preferred_lft forever
 +13: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN group default qlen 3
 +    link/ppp
 +    inet 89.234.186.11 peer 89.234.186.21/32 scope global ppp0
 +       valid_lft forever preferred_lft forever
 +    inet6 2a00:5884:1100:1::1/64 scope global
 +       valid_lft forever preferred_lft forever
 +    inet6 fe80::9e0:1d8b:94af:8d16/10 scope link
 +       valid_lft forever preferred_lft forever
 +</file>
machines/grifon/lns01.txt · Dernière modification : 2019/03/09 12:46 de 127.0.0.1