AtelierNuitDebout » Historique » Version 8
Skuld Skuld, 20/07/2017 20:49
1 | 1 | Laurent GUERBY | {{>toc}} |
---|---|---|---|
2 | 1 | Laurent GUERBY | |
3 | 1 | Laurent GUERBY | h1. AtelierNuitDebout |
4 | 1 | Laurent GUERBY | |
5 | 1 | Laurent GUERBY | Mise en place OpenWRT+OpenVPN pour partage de connection a travers un tunnel pour Nuit Debout place du capitole |
6 | 1 | Laurent GUERBY | |
7 | 1 | Laurent GUERBY | h2. Technique |
8 | 1 | Laurent GUERBY | |
9 | 1 | Laurent GUERBY | Prendre deux routeurs supportés par Linux ou OpenWRT, ici on a pris 2 TP-Link 740N v4 |
10 | 1 | Laurent GUERBY | Flasher OpenWRT sur les deux routeurs, ici on a pris Chaos Chalmer 15.05.1 |
11 | 4 | Laurent GUERBY | Ensuite sur les deux routeur |
12 | 4 | Laurent GUERBY | # mettre un mot de passe a root |
13 | 5 | Laurent GUERBY | # desactiver le firewall |
14 | 4 | Laurent GUERBY | # changer la plage d'ip sur le LAN pour eviter 192.168.1.* et les conflits d'IP LAN/WAN, ici on a pris 192.168.111.0/24 |
15 | 4 | Laurent GUERBY | # connecter le port WAN a internet, puis ssh dessus et faire : |
16 | 1 | Laurent GUERBY | <pre> |
17 | 1 | Laurent GUERBY | # opkg update |
18 | 1 | Laurent GUERBY | # opkg install ip openvpn-nossl |
19 | 1 | Laurent GUERBY | # ip link show dev eth1 # noter l'adresse MAC |
20 | 1 | Laurent GUERBY | </pre> |
21 | 1 | Laurent GUERBY | |
22 | 1 | Laurent GUERBY | h3. Serveur OpenVPN |
23 | 1 | Laurent GUERBY | |
24 | 1 | Laurent GUERBY | Un des deux routeurs, le "serveur" va faire serveur OpenVPN, il va etre branché en filaire via son port WAN (bleu) sur la box de la personne qui va preter son addresse IP fixe (identité), ici la box tetaneutral.net de Mix'Art Myrys le PC "chaussette" avec comme IP publique IP_PUBLIQUE_BOX_PRETEUSE |
25 | 1 | Laurent GUERBY | |
26 | 6 | Laurent GUERBY | Sur cette box il faut donner une IP fixe dans le LAN pour le routeur serveur (via MAC <=> IP dans DHCP), et rediriger sur cette IP LAN fixe un port UDP PORT. |
27 | 6 | Laurent GUERBY | Dans notre cas sur chaussette qui est un PC Linux : |
28 | 1 | Laurent GUERBY | |
29 | 6 | Laurent GUERBY | <pre> |
30 | 7 | Laurent GUERBY | # IFACE_WAN est l'interface wan de chaussette : |
31 | 7 | Laurent GUERBY | iptables -t nat -A PREROUTING -p udp -i IFACE_WAN -d IP_PUBLIQUE_BOX_PRETEUSE --dport PORT -j DNAT --to-destination IP_LAN:PORT |
32 | 6 | Laurent GUERBY | # Dans /etc/dnsmasq.d/my.conf ajouter : |
33 | 6 | Laurent GUERBY | dhcp-host=00:11:22:33:44:55,nuitdebout,IP_LAN # remplace 00:11 par la MAC de eth1 du routeur. |
34 | 6 | Laurent GUERBY | # Puis : |
35 | 6 | Laurent GUERBY | /etc/init.d/dnsmasq restart |
36 | 6 | Laurent GUERBY | </pre> |
37 | 6 | Laurent GUERBY | |
38 | 6 | Laurent GUERBY | Sur le routeur editer /etc/rc.local en remplaçant PORT et IP_LAN par les bonnes valeurs : |
39 | 1 | Laurent GUERBY | |
40 | 1 | Laurent GUERBY | <pre> |
41 | 1 | Laurent GUERBY | sleep 20 |
42 | 1 | Laurent GUERBY | |
43 | 1 | Laurent GUERBY | openvpn --mktun --dev-type tun --dev tunndb |
44 | 1 | Laurent GUERBY | ip link set tunndb up |
45 | 1 | Laurent GUERBY | openvpn --dev tunndb --dev-type tun --port PORT --verb 3 --proto udp --local IP_LAN --daemon --keepalive 10 60 |
46 | 1 | Laurent GUERBY | ip addr add 10.0.111.1/24 dev tunndb |
47 | 1 | Laurent GUERBY | |
48 | 1 | Laurent GUERBY | iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -o eth1 -j MASQUERADE |
49 | 1 | Laurent GUERBY | ip route add 192.168.111.0/24 dev tunndb |
50 | 1 | Laurent GUERBY | |
51 | 1 | Laurent GUERBY | </pre> |
52 | 1 | Laurent GUERBY | |
53 | 1 | Laurent GUERBY | Puis redemarrer le routeur |
54 | 1 | Laurent GUERBY | |
55 | 1 | Laurent GUERBY | h3. Client OpenVPN |
56 | 1 | Laurent GUERBY | |
57 | 1 | Laurent GUERBY | L'autre routeur, le "client" va etre client OpenVPN, il va etre branché en filaire via son port WAN (bleu) sur la box d'un sympathisant pas loin du capitole. |
58 | 1 | Laurent GUERBY | |
59 | 1 | Laurent GUERBY | Editer /etc/rc.local en remplacant IP_PUBLIQUE_BOX_PRETEUSE et PORT par les bonnes valeurs. |
60 | 1 | Laurent GUERBY | <pre> |
61 | 1 | Laurent GUERBY | sleep 10 |
62 | 1 | Laurent GUERBY | |
63 | 1 | Laurent GUERBY | openvpn --mktun --dev-type tun --dev tunndb |
64 | 1 | Laurent GUERBY | ip link set tunndb up |
65 | 1 | Laurent GUERBY | openvpn --dev tunndb --dev-type tun --lport 0 --proto udp --daemon --remote IP_PUBLIQUE_BOX_PRETEUSE PORT --keepalive 10 60 |
66 | 1 | Laurent GUERBY | ip addr add 10.0.111.2/24 dev tunndb |
67 | 1 | Laurent GUERBY | |
68 | 1 | Laurent GUERBY | ip route add default dev tunndb table 31 |
69 | 1 | Laurent GUERBY | ip route add 192.168.111.0/24 dev br-lan table 31 |
70 | 1 | Laurent GUERBY | ip rule add iif br-lan table 31 prio 1000 |
71 | 1 | Laurent GUERBY | |
72 | 1 | Laurent GUERBY | </pre> |
73 | 1 | Laurent GUERBY | |
74 | 1 | Laurent GUERBY | Mettre sur le LAN du routeur 192.168.111.1/24 et comme serveur DNS 10.0.111.1 |
75 | 1 | Laurent GUERBY | |
76 | 1 | Laurent GUERBY | Activer et configurer le wifi si besoin. |
77 | 2 | Laurent GUERBY | |
78 | 2 | Laurent GUERBY | TODO: IPv6 si disponible, sinon supprimer par sécurité l'interface WAN6 du routeur. |