Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Annoncez votre réseau sur pfSense avec OpenBGPd

AncienUtilisateur

Utilisateur d'origine : Pierre

Avertissement : Ce tutoriel est obsolète, étant donné que le paquet OpenBGPD n'est plus disponible dans les dépôts de pfSense, et est remplacé par FRR.

Ce tutoriel a pour objectif de vous expliquer comment mettre en place un réseau minimal. Après l'avoir suivi, vous serez capable de :

Comprendre, dans leurs grandes lignes, les mécanismes d'attribution des ASNs et adresses IP
Annoncer un préfixe IP sur un routeur virtuel pfSense grâce à OpenBGPD
Configurer une adresse IP de votre préfixe sur l'interface LAN

Posséder et gérer son propre réseau nécessite des compétences et connaissances conséquentes. Il est déconseillé et inutile de vous lancer dans cette expérience si vous ne disposez pas des compétences suffisantes, ou si vous n'avez pas l'intention de mener à bien un projet réel.

Si vous souhaitez simplement vous exercer, vous pouvez suivre ce tutoriel en l'appliquant à des réseaux "parallèles" tels que DN42.

Pré-requis

Pour créer votre réseau, vous aurez besoin :

D'un numéro de système autonome (AS)
D'un bloc IP
D'un routeur
D'une session BGP
De transit IP

Dyjix peut vous fournir le N° d'AS, un préfixe, un routeur virtuel, une session BGP et le transit. Vous pouvez retrouver nos offres en cliquant ici.

Données

Dans la suite de ce tutoriel, nous allons admettre que vous avez acquis tous les pré-requis, et que votre transitaire sera votre premier pair BGP. Nous travaillerons avec IPv6 car plus abordable, mais le fonctionnement est similaire (pour ne pas dire identique) à IPv4.

Nous considèrerons alors que :

L'AS de votre transitaire est AS64496
Votre AS est AS64497
Votre préfixe IPv6 est 2001:db8:2::/48
Votre adresse IPv6 d'interconnexion est 2001:db8::5

Administratif

Généralement, l'acquisition d'un numéro d'AS nécessite :

Une pièce identité
Un justificatif de domicile
Une autorisation parentale si vous êtes mineur
La création d'un compte sur le site du RIPE NCC

Une fois votre AS et le préfixe créé, ils seront rattachés à votre compte RIPE, et vous pourrez les gérer depuis la section My Resources.

Pour la suite du tutoriel, vous allez avoir besoin de créer un objet dans la base de données RIPE afin d'autoriser votre AS à annoncer votre préfixe. Pour ceci, rendez-vous dans My Resources, puis, dans la barre latérale à gauche, Ripe Database -> Create an Object. Sélectionnez le type route6 (ou route si vous annoncez un bloc IPv4) et remplissez les informations demandées :

Maintainer : c'est la liste du ou des personnes autorisées à modifier l'objet, il faut qu'au moins vous y soyez
route6 (ou route pour un bloc IPv4) : le préfixe que vous allez annoncer (2001:db8:2::/48 dans notre cas)
origin : le numéro d'AS autorisé à annoncer le préfixe (pour nous : AS64497)

Configuration initiale de pfSense

A l'installation, pfSense vous demande plusieurs informations, notamment les interfaces qu'il est nécessaire de configurer. Pour l'instant, ne configurez que WAN, et indiquez votre adresse IP d'interconnexion :

Si vous avez une IPv6, configurez cette adresse en mode statique et désactivez l'IPv4 sur l'interface WAN
Si vous avez une IPv4, configurez cette adresse en mode statique et désactivez l'IPv6 sur l'interface WAN
Si vous avez une IPv6 et une IPv4 d'interconnexion, vous pouvez configurer les deux adresses en mode statique sur l'interface WAN

Vous devriez maintenant être en mesure d'accéder à l'interface d'administration de votre routeur virtuel via son IP d'interconnexion. Les identifiants par défaut sont les suivants :

Utilisateur : admin
Mot de passe : pfsense

Un petit guide vous permet de configurer les paramètres essentiels de votre routeur. Ne changez aucun paramètre, sauf le mot de passe d'administration. Depuis ce guide, vous pouvez également configurer le DNS (indispensable pour la suite), mais si vous souhaitez renseigner des IPv6 comme serveur DNS, vous ne pourrez pas le faire maintenant. Il faudra valider l'installation sans serveur DNS, puis les renseigner dans System -> General Setup.

Annonce de votre préfixe via BGP

Pour annoncer au monde entier que c'est votre routeur qui gère votre préfixe, vous allez devoir installer un paquet. Pour ce faire, rendez-vous dans System -> Package Manager -> Available Packages et installez OpenBGPD.

Une fois l'installation terminée, vous allez pouvoir vous rendre dans Services -> OpenBGPD. Et c'est à partir de maintenant que nous allons réellement rentrer dans le vif du sujet.

La première étape est de configurer les paramètres généraux, dans l'onglet Settings :

Autonomous Systems (AS) Number : renseignez votre numéro d'AS, sans le préfixe "AS". Dans notre cas : 64497.
fib-update : yes
Listen on IP : le mieux est d'accepter les connexions depuis toutes les adresses IP, car vous risquez de vous connecter à d'autres pairs dans le futur : ::.
Router ID : doit être au format IPv4. Si vous n'annoncez que des préfixes IPv6, vous pouvez utiliser une adresse arbitraire du bloc 169.254.0.0/16. Si vous annoncez un ou plusieurs blocs IPv4, renseignez l'adresse de réseau de l'un des blocs.
Networks : ici, indiquez le préfixe que vous souhaitez annoncer. Dans notre cas : 2001:db8:2::/48. Si vous annoncez plusieurs préfixes, cliquez sur Add pour en ajouter.

Maintenant, nous allons entrer les informations du pair auquel nous allons nous connecter pour annoncer notre préfixe (ici, nous allons nous connecter au transitaire). On commence par ajouter un groupe dans l'onglet Groups :

Name : entrez un nom arbitraire pour votre pair
Remote AS : c'est le numéro d'AS du pair, sans le préfixe "AS" (pour nous : AS64496)

Maintenant, rendez-vous dans l'onglet Neighbors et ajoutez-en un :

Description : là encore, à vous de vous organiser
Neighbor : rentrez l'adresse IP de votre pair (ici, notre pair est notre transitaire, nous utiliserons donc l'IP d'interconnexion : 2001:db8::5)
Group : sélectionnez le groupe nouvellement créé

La configuration d'OpenBGPD est terminée ! Si vous vous rendez dans Status, vous devriez assez rapidement voir quelque chose comme ceci en dessous de OpenBPGD Summary :

Neighbor                   AS    MsgRcvd    MsgSent  OutQ Up/Down  State/PrfRcvd
transitaire           0.64496     275152       4215     0 1d23h17m 100422

Vous y voyez, entre autres :

Le nom de votre voisin BGP
Le numéro d'AS de votre pair au format décimal (plus d'infos)
Le nombre de messages envoyés et reçus
Le statut de la connexion et le temps depuis lequel elle est active

Une fois ceci fait, il est généralement nécessaire d'attendre 24 à 48h pour que votre préfixe soit annoncé. Pendant ce délai, le transitaire vérifiera notamment si vous êtes autorisés à annoncer votre préfixe (via l'objet route que vous avez créé précédemment).

Configuration de l'interface LAN

Votre préfixe est annoncé, et vous l'avez vérifié grâce à un traceroute : félicitations ! Le monde entier sait maintenant qu'il faut vous contacter vous pour envoyer les paquets à destination de ce préfixe. A l'inverse, vous disposez d'une table de routage tellement grande (que votre pair vous a envoyée) que vous savez précisément où envoyer n'importe quel paquet !

Maintenant que notre préfixe est annoncé, il est temps de configurer quelques adresses IP, vous ne pensez pas ? Nous allons donc utiliser le préfixe 2001:db8::/64 (nous avions un /48 d'assigné, pour rappel), pour les besoins internes de notre routeur.

Rendez-vous dans Interfaces -> Assignments. En face de l'interface LAN, choisissez un port réseau différent de celui que vous utilisez pour l'interface WAN. Si vous n'avez qu'un seul port réseau de disponible, contactez l'hébergeur de votre routeur virtuel.

Nous avons attribué un port réseau à notre interface LAN. Avant de configurer cette nouvelle interface, vous devez savoir plusieurs choses :

En attribuant une adresse IP à l'interface LAN, l'interface d'administration ne répondra plus sur l'adresse WAN, mais sur l'adresse LAN uniquement
Il est nécessaire de configurer le pare-feu pour accepter tous les paquets arrivant sur l'interface WAN à destination de notre préfixe

Pour ce faire, avant d'activer notre interface WAN, nous devons configurer notre pare-feu dans Firewall -> Rules. Voici un exemple de configuration de l'interface WAN :

firewall-wan

La première règle est une règle par défaut, elle permet de bloquer les préfixes bogon (ceux qui ne devraient jamais être annoncés sur l'Internet public)
La deuxième règle est celle qui nous intéresse particulièrement : elle permet d'accepter le trafic à destination de notre préfixe (dont une adresse sera configurée sur l'interface LAN)
La troisième, facultative, permet de pouvoir effectuer un ping sur votre IP WAN
Les deux dernières permettent d'accepter les connexions au panel de gestion et au SSH sur l'IP WAN, même après configuration de l'interface LAN : cela permet d'accéder à son routeur virtuel même si votre réseau n'est plus annoncé

Vous pouvez maintenant configurer votre nouvelle interface, depuis Interfaces -> LAN :

Enable : à cocher, pour activer l'interface
IPv4 Configuration Type : si vous annoncez des blocs IPv4, choisissez Static IPv4, sinon None
IPv6 Configuration Type : si vous annoncez des blocs IPv6, choisissez Static IPv6, sinon None

Un peu plus bas, configurez l'IPv4 et/ou l'IPv6 de votre interface. Dans notre cas, nous utiliserons 200:1db8::1/64.

Une fois la configuration sauvegardée et les paramètres rechargés, vous devriez pouvoir ping l'adresse IP de votre interface LAN, et accéder à l'interface d'administration de votre routeur depuis cette même IP.

Utiliser votre réseau

Si vous avez un routeur physique, il vous suffit d'attribuer des adresses à vos ports réseau pour les utiliser.

Pour un routeur virtuel, vous devrez mettre en place des tunnels pour utiliser vos adresses. Vous pouvez par exemple mettre en place un serveur OpenVPN. Si votre routeur virtuel est, par exemple, sur un Proxmox, vous pouvez aussi distribuer vos adresses à vos VM.