Wie entstand das dn42?

Das Sublab brauchte ein VPN
Keine Bandbreite für Hub and Spoke
Eine dezentrale Lösung muss her
RIP: Rest In Pieces
OSPF: schnell, komplex und buggy
BGP: flexibel und frei

Wie entstand das dn42?

Das Projekt schlief ein
Zu viel hing an diac24.net
Welche kurzen Domains sind frei?
→ dn42.net

Was bietet das dn42?

Eine große Labumgebung (aka Spielwiese)
ein erstaunlich zuverlässiges VPN

Was ist das dn42?

dezentrales Overlay-Netz
jeder Teilnehmer spricht BGP
VPN-Tunnel aller Art verbinden die Teilnehmer

Systemvoraussetzungen

vorzugsweise 24/7 Uptime
min. ein Tunnel zum Rest
eine BGP Implementierung
optional statische Adressen

Hardware

kleines OpenWRT Board, Raspberry Pi
EdgeRouter Lite, APU
normale *nix Box
"Hardware"-Router

VPN Protokolle

OpenVPN
GRE + IPsec
tinc
…

Protokolle mit PFS werden bevorzugt.

Minimale OpenVPN Config

dev tun0
ifconfig 10.0.0.1 10.0.0.2
remote 1.2.3.4
port 1234
float
keepalive 1 10
secret shared.key
# cipher aes-256-cbc
# auth sha256

Dynamisches Routing

Jeder Teilnehmer soll jeden anderen Teilnehmer erreichen können solange eine Verbindung besteht.
Es soll ein "optimaler" Pfad verwendet werden.
Schleifen müssen vermieden werden.

und das bitte automatisch.

Protokollunterschiede

Verwendungszweck

EGP vs. IGP

Algorithmus

Distanzvektor (RIP, IGRP)
Link-State (OSPF, IS-IS)
Pfadvektor (BGP)
…

Auswahl der Protokolle

Im dn42 wird eBGP zwischen Teilnehmern verwendet.
Innerhalb des eigenen Netzes wird (fast) nur OSPF und iBGP genutzt.
Für kleine Netze reicht eBGP ohne IGP.

Heute wird nur BGP weiter behandelt.

Für BGP notwendige Begriffe

Autonomes System
AS-Nummer
IP Präfixe
- IPv4: 172.22.0.0/15 (RFC 1918)
- IPv6: fd00::0/8 (ULA)
Peering
Announcement / Update
Transit

BGP Implementierungen

BIRD (schnell, flexibel)
Quagga (älter, buggy, Cisco like)
OpenBGPD (OpenBSD only)
Cisco / Juniper / …

Basic bird[6].conf

define my_asn = <ASN>;
define my_ip  = <LOCAL_IP>;
router id my_ip;

function my_net() {
        return net ~ [<MY_NET>/24+];
}

protocol device {
        scan time 10;
}

protocol kernel {
        scan time 20;
        learn     yes;
        export    all;
}

protocol static {
        route <MY_NET>/24 reject;
}

BGP template

template bgp peers {
        local as     my_asn;
        import where valid() && !my_net();
        export where valid();
        route limit  10000;
}

BGP peering

protocol bgp <NAME> from peers {
        neighbor <PEER_IP> as <PEER_ASN>;
}

Registry / whois

Resourcen
- AS Nummern
- IP Präfixe
- Domains
- Personen
Monotone
- Welterde hat es halt so aufgesetzt.

DNS im dn42

Selbst hosten
- Zonefiles aus der Registry erzeugen
- Selbst den Nameserver betreiben
- Keine Abhängigkeit
Forwarding an dritte
- Weniger Aufwand
- Fehleranfällig

Fragen?

#dn42 im hackint