1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
|
Titre: Fabriquer son internet (4)
Auteur: Bruno
Date: Wed 20 Mar 2013 22:36:21 +0100
Lien: https://blog.spyou.org/wordpress-mu/2013/03/20/fabriquer-son-internet-4/
[image 2][2]
Crédit photo : Benoit Theodore
Dans l’épisode précédent, on a vu comment remplacer le coeur de réseau[3] de
notre copain FAI-du-début. Il ne reste que deux choses sur lesquelles nous
n’avons pas la main :
* Le transport de nos données entre chez nous et le datacenter qui abrite
notre coeur de réseau
* La sortie du tunnel L2TP qui supporte notre connexion ADSL qui se fait
toujours sur le LNS du FAI copain que nous utilisons
Attardons nous sur ce second point. Le LNS est donc, comme expliqué dans un
article précédent, un serveur (ou un routeur hardware si vous avez les moyens
de vous en offrir un) qui concentre les terminaisons de connexions ADSL. Si
vous avez l’habitude de la commande ifconfig, vous vous retrouverez, au choix,
avec une interface qui concentre tout le trafic des utilisateurs ADSL, ou bien
une interface par connexion distante. Pour ceux qui n’ont rien compris à la
phrase précédente, vous voyez votre switch à la maison (ou bien votre box ADSL)
avec plusieurs connecteur réseau derrière, eh ben le LNS c’est la même chose de
l’autre coté, une connexion réseau par utilisateur ADSL connecté, à ceci prêt
que ce ne sont bien entendu pas des connexions physiques mais virtuelles
puisque l’ensemble du trafic arrive sur un seul câble.
Quel intérêt, me direz vous, d’avoir son propre LNS, puisqu’on en a déjà un qui
fait le job ? Il y en a plein en fait. Avec votre propre LNS, vous pouvez par
exemple distribuer des adresses IP privées à certaines connexions, ajouter des
blocs d’adresse IP vous même sans avoir besoin d’aller parler au LNS du
copain-FAI, etc.
Mais avant de mettre en route votre LNS, vous allez avoir besoin d’un radius.
Il s’agit d’un logiciel plutôt idiot à qui on dit « tiens, y’a tatie Martine
qui veut se connecter, elle dit que son mot de passe c’est ‘canard’, est-ce
qu’elle a bon ? », et le radius de répondre « non » ou bien « oui, et tiens,
tant que t’es là, tu vas lui donner telle adresse IP, tels serveurs DNS, etc.
».
On va donc installer notre LNS sur le routeur au datacenter (oui, le même que
celui qui fait BGP, vous avez à peine 20 utilisateurs derrière, ça ira très
bien pour commencer) et son petit copain radius et on va expliquer au premier
qu’il faut aller demander au second si les gens ont le droit de se connecter.
Et là, c’est le drame. Vous avez un LNS et un radius qui discutent ensemble,
mais comment faire pour que le LNS de votre copain FAI envoie les connexions
qui vous concernent à votre LNS à vous et ne se les garde pas jalousement pour
lui comme il le faisait jusqu’à présent ? C’est ici que je vous introduis
auprès d’un nouveau terme barbarre : le realm.
C’est la seconde partie d’un login ADSL. Par exemple, chez SFR, votre login est
du genre adresse_mac@neufpnp. Le realm est neufpnp. C’est lui qui va permettre
à tout le réseau de transport entre chez vous et le coeur de réseau du FAI de
savoir où doit aboutir votre lien ADSL. Chez FDN, les logins sont de la forme
login@fdn.nerim. Le « nerim » permet à SFR ou Orange (qui assurent le début du
transport) de savoir qu’il faut ensuite envoyer les données à Nerim, et le «
fdn » permet à Nerim de savoir qu’il faut passer la communication à FDN.
On pourrait éventuellement utiliser quelquechose comme login@monfai.fdn.nerim,
mais ça obligerait à ennuyer Nerim à chaque nouveau FAI, ce qui serait un
poil enquiquinant. On va donc tricher et utiliser un bout du login comme un
realm secondaire, avec un identifiant du type login%monfai@fdn.nerim. Le radius
de FDN voyant arriver un login sous la forme tatiemartine%monfai va savoir
qu’il ne faut pas traiter directement la demande de connexion mais aller poser
la question à votre radius à vous.
Et que doit répondre votre radius ? Quelquechose qui permettra au LNS de FDN de
propager la connexion de vos utilisateurs jusqu’à votre LNS.
Votre LNS à vous va, ensuite, reposer la même question à votre radius, qui, à
présent, va répondre « ah oui, tatie Martine, elle a le droit, et son IP c’est
85.65.21.2″ et votre LNS va accepter la connexion de tatie Martine. Pour la
petite histoire, un LNS qui ne termine pas une connexion mais ne fait que la
propager à un autre, c’est un LAC (mais il n’y a pas d’eau dedans).
Je récapitule :
1.Tatie Martine allume son modem ADSL (oui, depuis le temps, elle a été
couverte, et maintenant, c’est elle qui partage son ADSL avec ses voisins
malchanceux)
2.Le modem initie une connexion L2TP à travers le réseau de l’opérateur de la
ligne ADSL (fort probablement SFR ou Orange, donc)
3.L’infrastructure de l’opérateur reconnait la fin de l’identifiant de tatie
Martine et renvoie la demande de connexion à Nerim
4.Le LAC de Nerim reconnait ‘fdn’ dans le realm et renvoie donc la connexion
au LNS de FDN
5.Le LNS de FDN reconnait ‘monfai’ entre le % et l’@ de l’identifiant et va
donc demander à votre radius à vous quoi faire
6.Votre radius répond, sans même vérifier que l’identifiant est bon, qu’il
faut renvoyer la connexion vers votre LNS à vous
7.Le LNS de FDN se transforme en LAC et renvoie la connexion vers votre LNS à
vous
8.Votre LNS redemande à votre radius ce qu’il doit faire de la demande de
connexion
9.Votre radius répond que tatie Martine a bien le droit de se connecter avec
le mot de passe ‘canard’ et fournit, en prime, l’adresse IP à attribuer à
tatie
10.Votre LNS accueille à bras ouverts le modem ADSL de tatie Martine et
l’informe de l’adresse IP qu’il conviendra d’utiliser pour communiquer avec
le reste d’internet
Quand vous allez avoir un nombre important de connexions ADSL, il sera temps de
redonder tout ça. Rien de bien compliqué, il faut ajouter une seconde machine
avec radius et LNS dedans, et faire en sorte qu’elles utilisent une même IP
pour discuter avec le LAC/radius de l’opérateur qui est en face. Si l’une des
deux tombe en panne, l’autre prend le relais.
Notez enfin que tant que vous y êtes, si vous avez envie d’avoir une collecte
opérateur directe, vous avez tout ce qu’il vous faut. Il suffit de négocier
avec SFR ou Orange pour obtenir une porte de collecte et la brancher
directement à votre couple LNS/radius. Prévoyez un petit chèque avec 5 zéros et
un coût mensuel non négligeable.
Nous voilà donc arrivés au moment fatidique où il ne reste plus que la collecte
ADSL à remplacer pour être 100% autonome depuis vos utilisateurs jusqu’à
internet. Ça va pas être facile ni bon marché, je vous préviens. Nous y
reviendrons un peu plus tard. D’ici là, le prochain article traitera un peu
plus en détail du coeur de réseau et des relations de transit et de peering[4].
Liens:
[1]: http://www.flickr.com/photos/gelinh/6472545327/ (lien)
[2]: http://blog.spyou.org/wordpress-mu/files/2013/03/20130320-LAC-300x225.jpg (image)
[3]: http://blog.spyou.org/wordpress-mu/2013/03/19/fabriquer-son-internet-3/ (lien)
[4]: http://blog.spyou.org/wordpress-mu/2013/04/12/fabriquer-son-internet-5/ (lien)
|