Titre: Fabriquer son internet (4)
Auteur: Bruno
Date: Wed 20 Mar 2013 22:36:21 +0100
Lien: https://blog.spyou.org/wordpress-mu/2013/03/20/fabriquer-son-internet-4/

[image 2][2]

Crédit photo : Benoit Theodore

Dans l’épisode précédent, on a vu comment remplacer le coeur de réseau[3] de 
notre copain FAI-du-début. Il ne reste que deux choses sur lesquelles nous 
n’avons pas la main :

  * Le transport de nos données entre chez nous et le datacenter qui abrite 
    notre coeur de réseau
  * La sortie du tunnel L2TP qui supporte notre connexion ADSL qui se fait 
    toujours sur le LNS du FAI copain que nous utilisons

Attardons nous sur ce second point. Le LNS est donc, comme expliqué dans un 
article précédent, un serveur (ou un routeur hardware si vous avez les moyens 
de vous en offrir un) qui concentre les terminaisons de connexions ADSL. Si 
vous avez l’habitude de la commande ifconfig, vous vous retrouverez, au choix, 
avec une interface qui concentre tout le trafic des utilisateurs ADSL, ou bien 
une interface par connexion distante. Pour ceux qui n’ont rien compris à la 
phrase précédente, vous voyez votre switch à la maison (ou bien votre box ADSL)
avec plusieurs connecteur réseau derrière, eh ben le LNS c’est la même chose de
l’autre coté, une connexion réseau par utilisateur ADSL connecté, à ceci prêt 
que ce ne sont bien entendu pas des connexions physiques mais virtuelles 
puisque l’ensemble du trafic arrive sur un seul câble.

Quel intérêt, me direz vous, d’avoir son propre LNS, puisqu’on en a déjà un qui
fait le job ? Il y en a plein en fait. Avec votre propre LNS, vous pouvez par 
exemple distribuer des adresses IP privées à certaines connexions, ajouter des 
blocs d’adresse IP vous même sans avoir besoin d’aller parler au LNS du 
copain-FAI, etc.

Mais avant de mettre en route votre LNS, vous allez avoir besoin d’un radius. 
Il s’agit d’un logiciel plutôt idiot à qui on dit « tiens, y’a tatie Martine 
qui veut se connecter, elle dit que son mot de passe c’est ‘canard’, est-ce 
qu’elle a bon ? », et le radius de répondre « non » ou bien « oui, et tiens, 
tant que t’es là, tu vas lui donner telle adresse IP, tels serveurs DNS, etc. 
».

On va donc installer notre LNS sur le routeur au datacenter (oui, le même que 
celui qui fait BGP, vous avez à peine 20 utilisateurs derrière, ça ira très 
bien pour commencer) et son petit copain radius et on va expliquer au premier 
qu’il faut aller demander au second si les gens ont le droit de se connecter.

Et là, c’est le drame. Vous avez un LNS et un radius qui discutent ensemble, 
mais comment faire pour que le LNS de votre copain FAI envoie les connexions 
qui vous concernent à votre LNS à vous et ne se les garde pas jalousement pour 
lui comme il le faisait jusqu’à présent ? C’est ici que je vous introduis 
auprès d’un nouveau terme barbarre : le realm.

C’est la seconde partie d’un login ADSL. Par exemple, chez SFR, votre login est
du genre adresse_mac@neufpnp. Le realm est neufpnp. C’est lui qui va permettre 
à tout le réseau de transport entre chez vous et le coeur de réseau du FAI de 
savoir où doit aboutir votre lien ADSL. Chez FDN, les logins sont de la forme 
login@fdn.nerim. Le « nerim » permet à SFR ou Orange (qui assurent le début du 
transport) de savoir qu’il faut ensuite envoyer les données à Nerim, et le « 
fdn » permet à Nerim de savoir qu’il faut passer la communication à FDN.

On pourrait éventuellement utiliser quelquechose comme login@monfai.fdn.nerim, 
mais ça obligerait à ennuyer Nerim à chaque nouveau FAI, ce qui serait un 
poil enquiquinant. On va donc tricher et utiliser un bout du login comme un 
realm secondaire, avec un identifiant du type login%monfai@fdn.nerim. Le radius
de FDN voyant arriver un login sous la forme tatiemartine%monfai va savoir 
qu’il ne faut pas traiter directement la demande de connexion mais aller poser 
la question à votre radius à vous.

Et que doit répondre votre radius ? Quelquechose qui permettra au LNS de FDN de
propager la connexion de vos utilisateurs jusqu’à votre LNS.

Votre LNS à vous va, ensuite, reposer la même question à votre radius, qui, à 
présent, va répondre « ah oui, tatie Martine, elle a le droit, et son IP c’est 
85.65.21.2″ et votre LNS va accepter la connexion de tatie Martine. Pour la 
petite histoire, un LNS qui ne termine pas une connexion mais ne fait que la 
propager à un autre, c’est un LAC (mais il n’y a pas d’eau dedans).

Je récapitule :

 1.Tatie Martine allume son modem ADSL (oui, depuis le temps, elle a été 
    couverte, et maintenant, c’est elle qui partage son ADSL avec ses voisins 
    malchanceux)
 2.Le modem initie une connexion L2TP à travers le réseau de l’opérateur de la 
    ligne ADSL (fort probablement SFR ou Orange, donc)
 3.L’infrastructure de l’opérateur reconnait la fin de l’identifiant de tatie 
    Martine et renvoie la demande de connexion à Nerim
 4.Le LAC de Nerim reconnait ‘fdn’ dans le realm et renvoie donc la connexion 
    au LNS de FDN
 5.Le LNS de FDN reconnait ‘monfai’ entre le % et l’@ de l’identifiant et va 
    donc demander à votre radius à vous quoi faire
 6.Votre radius répond, sans même vérifier que l’identifiant est bon, qu’il 
    faut renvoyer la connexion vers votre LNS à vous
 7.Le LNS de FDN se transforme en LAC et renvoie la connexion vers votre LNS à 
    vous
 8.Votre LNS redemande à votre radius ce qu’il doit faire de la demande de 
    connexion
 9.Votre radius répond que tatie Martine a bien le droit de se connecter avec 
    le mot de passe ‘canard’ et fournit, en prime, l’adresse IP à attribuer à 
    tatie
10.Votre LNS accueille à bras ouverts le modem ADSL de tatie Martine et 
    l’informe de l’adresse IP qu’il conviendra d’utiliser pour communiquer avec
    le reste d’internet

Quand vous allez avoir un nombre important de connexions ADSL, il sera temps de
redonder tout ça. Rien de bien compliqué, il faut ajouter une seconde machine 
avec radius et LNS dedans, et faire en sorte qu’elles utilisent une même IP 
pour discuter avec le LAC/radius de l’opérateur qui est en face. Si l’une des 
deux tombe en panne, l’autre prend le relais.

Notez enfin que tant que vous y êtes, si vous avez envie d’avoir une collecte 
opérateur directe, vous avez tout ce qu’il vous faut. Il suffit de négocier 
avec SFR ou Orange pour obtenir une porte de collecte et la brancher 
directement à votre couple LNS/radius. Prévoyez un petit chèque avec 5 zéros et
un coût mensuel non négligeable.

Nous voilà donc arrivés au moment fatidique où il ne reste plus que la collecte
ADSL à remplacer pour être 100% autonome depuis vos utilisateurs jusqu’à 
internet. Ça va pas être facile ni bon marché, je vous préviens. Nous y 
reviendrons un peu plus tard. D’ici là, le prochain article traitera un peu 
plus en détail du coeur de réseau et des relations de transit et de peering[4].

Liens:
[1]: http://www.flickr.com/photos/gelinh/6472545327/ (lien)
[2]: http://blog.spyou.org/wordpress-mu/files/2013/03/20130320-LAC-300x225.jpg (image)
[3]: http://blog.spyou.org/wordpress-mu/2013/03/19/fabriquer-son-internet-3/ (lien)
[4]: http://blog.spyou.org/wordpress-mu/2013/04/12/fabriquer-son-internet-5/ (lien)