Kvadratsky

Kvadratsky (som i «firkantet sky» – det har ingenting med Russland å gjøre) er en slags tunnelbroker for folk internt i ITK, basert på litt shell, Perl og BGP (tidligere OSPF). Høydepunkter er:

Kvadratsky erstatter med andre ord statisk tunneloppsett, og tilbyr en viss redundans mot at én serverboks er nede. Grabb et IPv6-subnett fra IPv6-siden, route det opp lokalt og resten skjer i skyen.

Hvordan sette opp kvadratsky på maskinen din

Kvadratsky på OpenWrt

For å kjøre Kvadratsky på OpenWrt er det nødvendig å bygge en firmware som inkluderer nødvendige pakker. OpenSSL benyttes istedenfor perl til HMAC-generering.

Quagga-pakkene som skal benyttes må ha støtte for IPv6. For tiden kan disse hentes herfra.

Her er et eksempel som benytter OpenWrt 10.03 (Backfire) ImageBuilder (med Quagga-pakker backportet fra 10.03.1):

trygve@fiskekake:~/OpenWrt-ImageBuilder-brcm47xx-for-Linux-i686$ make image PROFILE="Broadcom-b43" PACKAGES="kmod-ipv6 -dnsmasq -iptables -firewall -kmod-ipt-nathelper -ppp -ppp-mod-pppoe kmod-b43 kmod-b43legacy ntpdate ip radvd openssl-util quagga quagga-bgpd quagga-libzebra quagga-vtysh kmod-gre"

Merk at iptables og dnsmasq m/venner er fjernet for å frigjøre plass, så dette lar seg ikke kombinere med IPv4 NAT ruting.

Ettersom perl-støtten i OpenWrt er laber, bytter vi ut perl-linjen i update-kvadratsky-bgp.sh med følgende linje:

echo -n "$1" | openssl dgst -sha1 -hmac "$MY_PASSWORD"

Resten av oppsettet er identisk med det som er beskrevet over.

router-id

Alle trenger hver sin unike router-id og AS-nummer på BGP. Om du har en fast IPv4-adresse, velg den – hvis ikke, velg noe annet som ikke er tatt. (Router-IDer i BGP kan ikke være multicastadresser, men 10.0.0.x går fint.)

AS-nummerrouter-idmaskineier
58302 129.241.93.30 altersex ITK
58302 129.241.93.35 pannekake sesse
64513 10.0.0.1 moccamaster sesse
64514 10.0.1.1 fjernsyn molven
48908 80.218.216.227 morgental sesse
64515 44.141.7.2 vega magne
64516 192.168.1.2 distraction klette
64517 192.168.1.1 iskapet berge
50213 92.62.47.98 uw-border1 akai
64518 10.37.3.10 kih jodal
64519 10.10.10.10 krydderkake trygve
64520 192.168.1.3 trikken klette
64521 192.168.0.1 oyarsa sandsmark
64523 10.0.1.2 vegglus molven
64524 81.167.19.103 server h-con
64525 80.86.216.26 vognskjul torvaldl
64526 10.11.12.2 mrslave dennis

Tilfeldige tanker rundt sikkerhet

Det er i utgangspunktet ikke ønskelig å kunne la eksterne aktører rute inn vilkårlige IPv6-nett, selv om altersex kun er i stand til å svare for 2001:700:300:1800::/56 eksternt. (Mao.: om noen i skyen ruter inn 2001:4860::/32, Googles nett, vil folk på f.eks. trådløsnettet få redirigert Google, men ingen på trådnettet.) I teorien burde man ikke stole på at IPer peker dit man venter uansett, men det er nå engang en del ting som gjør det i mer eller mindre grad, så man ønsker om ikke annet å holde unna de enkleste angrepene. Følgende elementer er relevante:

Merete har BGP-kobling til altersex og pannekake (via iBGP) og derfor til kvadratskyen, men har filtre slik at man ikke kan annonsere inn vilkårlige nett.

Lenker: Start, ipv6, ipv6multicast, til nye itkere, wlan

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2017-05-06 13:48 | Revisjon: 61 (historie, blame) | Totalt: 1468 kB | Rediger