Depuis que j’ai commencé la serie de billets qui parlent de tunnels, on me demande en substance “c’est chouette et tout mais… tu vas ou là ?”. Rappelez-vous, le premier billet de cette serie parlait de tunnels suédois, et bien évidemment, je ne suis pas le seul à désirer contrôler plus finement le chemin qu’empruntent les paquets IP qui sortent de mes machines. Aussi, avec quelques amis, avons nous décidé de mettre en place un réseau possiblement sécurisé, interconnecté, et hautement disponible. Ainsi, l’objectif est de pouvoir contacter nos réseaux à travers des liens cryptés, et de sortir sur le Net en utilisant differents tunnels, ces routes se construisant dynamiquement grâce au protocole BGP. Hormis l’aspect purement pratique de la chose, le projet est passionnant et les techniques employées sont élégantes et interessantes. For teh lulz quoi.

…so i put a tunnel in your tunnel so you can route while you route. Une fois n’est pas coutume, Xzibit résume assez bien la situation.

Mais revenons quelques heures en arrière.

Alors que nos tunnels IPsec fonctionnent sans broncher depuis nos dernières experiences, l’un des objectifs finaux de l’opération montrait le boût de son nez: router des réseaux à travers nos fâmeuses liaisons IPsec. Et “ça marche pas”(tm). Plus précisemment, il apparaît impossible de joindre d’autres réseaux que ceux liés par IPsec, ou plus particulièrement la SPD, et en y reflechissant à deux fois, ceci est parfaitement normal. La solution ? Un tunnel par dessus le tunnel !

02 / 08 / 2011 - Mise à jour il-ne-faut-pas utiliser lo0 comme interface pivot, il ne faut pas. Pour une raison que j’ignore totalement, aucun autre protocole qu’ICMP n’a jamais fonctionné pendant nos tests, si d’aucuns ont une explication rationelle, je suis toutes ouïes. Le problème est résolu en utilisant les interfaces physiques.

IPsec. À l’évocation de ce terme technique, vous avez avalé d’un trait votre Gin Tonic, vous éteignez votre écran en espérant qu’il s’agisse d’un mauvais rève et vous décrivez des cercles dans votre bureau en vous frappant la tête avec une règle metallique. Je le sais, j’étais pareil.

Update

Le post ci-dessous est à considérer “historique”, car depuis pkgsrc-2012Q2, php-fpm est disponible en standard et se configure le plus aisemment du monde.

---

Il y a une foultitude de documentations sur la façon de faire tourner PHP via fastCGI sur un nginx, et à chaque fois, j’ai l’impression de lire des tambouilles copiées/collées de ci et de là. Ça cause de scripts (non portables la plupart du temps), de wrappers, et autres solutions capillotractées, et ça me plaît pas. En dépilant un peu, j’ai abouti à une solution que je trouve élégante… sous NetBSD evidemment :)

Aujourd’hui, en raison des diverses lois liberticides mises en oeuvre pour controler l’activité des usagers sur Internet dans notre beau pays de la plainte, je me suis abonné à un très bon service de VPN fourni par la société Suédoise VPNtunnel.

Le service est impeccable, la conf OpenVPN fonctionne out-of-the-box, et ainsi la route par defaut de ma machine client prend le chemin de la Suède. Nickel.

Mais vous me connaissez, j’aime bien me compliquer la vie. Le service en question ne fournit pas d’IP fixe, et c’est bien normal au vu de l’objectif même de l’offre; seulement voila, la machine que j’ai raccordé à ce service n’est pas une bête workstation, mais plutot un serveur situé “quelque part”. Évidemment, je me connecte via ssh à cette machine, et il m’est fort désagréable de devoir retrouver son IP en permanence. Pas question de bidouiller un truc à base de dynamic DNS, on est pas des sauvages tout de même.

Puisqu’on en parle, voici la liste de quelques MIBs nécessaires à l’utilisation d’OIDs “textuels” lors de l’interrogation via SNMP d’un Juniper J-Series, en particulier ceux relatifs à l’obtention d’informations sur le chassis et la pile BGP:

• mib-SNMPv2-SMI.txt
• mib-SNMPv2-TC.txt
• mib-jnx-bgpmib2.txt
• mib-jnx-chassis.txt
• mib-jnx-exp.txt
• mib-jnx-smi.txt
• mib-rfc2571.txt
• mib-rfc2575.txt
• mib-rfc2851.txt Ces derniers se téléchargent à partir de cette adresse.

Afin de les utiliser avec snmpwalk, il vous suffira de les déposer dans le repertoire ${HOME}/.snmp/mibs de votre machine UNIX; il est alors possible d’interroger votre équipement de cette façon:

Ça cause pas des masses ici hein… ouais ouais je sais, mais nan j’ai rien laché, je suis juste très accaparé par ma boite, beaucoup d’activité, beaucoup de clients, beaucoup de R&D. Difficile de trouver un instant libre ces temps cis.

Je profite de ce long week end pour noter ici un boût de conf pour lequel j’ai mis quelques heures à rassembler les pièces. Comme vous vous en rappelez peut-être, ce sont des Juniper J2350 qui routent les paquets magiques de mon réseau pro, et comme l’activité s’accélère, je vais certainement passer au modèle supérieur, possiblement J6350 ou MX5, plus puissants, tant en terme de CPU que de quantité de mémoire.

Le 6 Juin 2011, c’était l’opening des soirées Masquerade Motel de la Swedish House Mafia, au Pacha d’Ibiza. Et j’y étais.

18:30 - En route pour San Antonio, direction le mythique Café Mambo ou aura lieu la pre-party du trio, on remarquera Flaix en fond sonore…

[MEDIA=34]

19:00 - À la terrasse du Café del Mar nous observons les préparatifs, mais surtout, nous achetons les précieuses places pour le Pacha. [MEDIA=35]

“début juin à Ibiza, c’est calme quand même”(c)

[MEDIA=33]

Je posterai les autres vidz à mon retour, j’ai un link de merde.