[Ninux-Wireless] Aiuto per nuovo collegamento a VPN Isole

Marco Tarquini marco.tarquini a gmail.com
Mar 24 Apr 2018 11:47:42 CEST 

Salve a tutti,

mi chiamo Marco, sono da pochissimo sulle ML ninux ed attualmente sto
seguendo la guida

http://wiki.ninux.org/IsoleVPNBGP

per provare a connettere una prima isola (atollo!) dall'Abruzzo.

L'hardware è un Ubiquiti Edgerouter, quindi devo vedere come adattare la
guida allo scopo, visto che non lo tratta nello specifico: EdgeOS è basato
su Vyatta 6.3 e dovrebbe usare Quagga per quel che ne so, quindi in teoria
potrei riuscirci.

Innanzitutto non conosco tinc, e tinc non c'è di default su Edgerouter
(quindi niente guide/supporto ufficiali: ho scaricato il pacchetto dal
repository debian wheezy e l'ho installato con dpkg -i, scoprirò eventuali
problemi quando andrò a provare la connessione).

Non conoscendo tinc (mai sentito in vita mia prima della guida), non so che
interfaccia mi ritrovo su quando lo attivo con lo script "tinc-up", e che
IP avrò su questa interfaccia.

E questo mi porta a BGP: ho "tradotto" le linee di bgpd,conf della guida in
comandi EdgeOS/Vyatta e, a parte un problema sulla vty (che a questo punto
non credo ci sia su Ubiquiti, perché i settaggi si imputano direttamente da
shell in modalità "configurazione" su EdgeOS), mi ritrovo con una serie di
comandi credo abbastanza autoesplicativi.

Lasciando un momento da parte la questione degli indirizzi locali della mia
isoletta (ancora da mettere bene a punto in collaborazione con Federico La
Morgia), questi sono i comandi che dovrei dare su EdgeOS (1.10.1):

---------------------------------------------------------------
configure
set interfaces loopback lo address 10.0.254.14/32
set protocols bgp 64519 router-id 10.150.254.14
set protocols bgp 64519 network 172.22.65.0/29
set protocols bgp 64519 aggregate-address 10.22.65.0/24
set protocols bgp 64519 neighbor 10.150.254.4 remote-as 64512
set protocols bgp 64519 neighbor 10.150.254.4 description BGP Roma
set protocols bgp 64519 neighbor 10.150.254.4 route-map FILTERIN in
set protocols bgp 64519 neighbor 10.150.254.4 route-map FILTEROUT out
set protocols bgp 64519 redistribute connected
set protocols bgp 64519 redistribute olsr
set policy prefix-list FILIN seq 10 deny 10.11.12.0/25 le 32
set policy prefix-list FILIN seq 20 deny 150.217.0.0/16 le 322
set policy prefix-list FILIN seq 30 deny 176.62.53.0/24 le 32
set policy prefix-list FILIN seq 41 deny 10.150.254.0/24 le 32
set policy prefix-list FILIN seq 42 deny 10.22.65.0/24 le 32
set policy prefix-list FILIN seq 43 deny 172.22.65.0/29 le 32
set policy prefix-list FILIN seq 70 permit any
set policy prefix-list FILOUT seq 22 deny 0.0.0.0/0 ge 32
set policy prefix-list FILOUT seq 41 deny 10.150.254.0/24 le 32
set policy prefix-list FILOUT seq 70 permit any
set policy route-map FILTERIN permit 10
set policy route-map match ip address prefix-list FILIN
set policy route-map FILTEROUT permit 10
set policy route-map match ip address prefix-list FILOUT
set policy route-map FILTER deny 50
commit
save ; exit
---------------------------------------------------------------

(La prima riga è consigliata dal manuale BGP di Vyatta ma sono indeciso
sull'inserirla, ma) il punto su cui sono maggiormente dubbioso riguarda la
update-source per il peering eBGP:

------------------------------------------------------------------------------------

set protocols bgp 64519 router-id 10.150.254.14
set protocols bgp 64519 neighbor 10.150.254.4 remote-as 64512
------------------------------------------------------------------------------------


Per avere uno scambio che funziona la update-source deve essere
raggiungibile dal peer, ed in particolare da Roma, e quindi da quello che
ho capito devo aggiungere nella configurazione del router due rotte
statiche per 10.150.254.14 (bgpISOLA) e 10.150.254.4 (bgpROMA) appunto
dalla update-source.

Ora, se il tunnel di tinc è una connessione punto-punto, sembrerebbe logico
utilizzare l'IP dell'endpoint locale di questo tunnel come update-source,
e, se ciò fosse giusto oltre che ragionevole, torniamo a quanto detto sopra
su tinc, non so che interfaccia e che indirizzo avrà (né me lo immagino).
Viceversa, se non fosse giusto usare l'IP dell'endpoint locale di tinc o se
non c'è, chi deve essere la mia update-source per le rotte statiche di cui
sopra?

In definitiva, qualcuno vuole per cortesia usarmi la pazienza di:

 a) correggere eventuali errori in quanto ho scritto;
 b) spiegarmi per bene questa cosa di tinc?

Grazie davvero dell'attenzione e scusate le ingenuità, i pressappochismi e
le inesattezze (qui è tutto nuovo per me).

Un cordiale saluto,
Marco
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20180424/246d23ae/attachment-0002.html>

Maggiori informazioni sulla lista Wireless