Situation:

Le CTF de l'ULB a besoin d'un réseau capable de tenir 40 hackers en ligne sur un internet libre et sécurisé.

Infos:

  • SSh everywhere
  • Routage statique
  • VPN tinc vers l'extérieur
  • tinc en mode SWITCH (important sinon ça ne marches pas)
  • Vlan's séparant chaque réseau
  • Source based routing
  • Pool serveur joignable de partout
  • Vlan management accessible par tout et tout accessible depuis Vlan management
  • Pool clients séparés

Plan d'addressage global :

Pool IPNom du pool
192.168.1.0/24Pool 1
192.168.2.0/24Pool 2
192.168.3.0/24Pool 3
192.168.4.0/24Pool 4
192.168.5.0/24Pool 5
192.168.6.0/24Pool 6
192.168.7.0/24Pool 7
192.168.8.0/24Pool 8
192.168.9.0/24Pool 9
192.168.10.0/24Pool 10
192.168.11.0/24Pool 11 (backup)
192.168.12.0/24Pool 12 (backup)
192.168.13.0/24Wifi
192.168.42.0/24Server pool
192.168.100.0/24Management pool
192.168.0.0.0/30Tinc Pool

Topographie :

topography.png

(Nous disposons d'assez de ports sur le cisco pour y relier directement le pool serveur et management)

Topoplogie :

topology.png

Matériel utilisé :

  • 1 serveur rack 1u en guise de routeur
  • 1 switch cisco catalyst 3550 48 ports
  • 1 Proximus SagemCom BBox 3
  • Pince a sertir RJ-45
  • Embouts RJ-45
  • cable UTP ou mieux

Matériel disponible :

  • 1 serveur rack 1u en guise de routeur
  • 1 switch cisco a déterminer
  • 1 Proximus SagemCom BBox 3
  • Pince a sertir RJ-45
  • Embouts RJ-45
  • 1 switch 3 com 24 ports(altf4)
  • 1 switch D-Link 5 ports D-Link (altf4)
  • 1 switch D-Link 5 ports 100mbit/s (altf4)
  • 1 switch target 32 ports non manageables 100 mbit/s (altf4)
  • 1 switch 24 ports GB Zyxel GS1100-24 (Okso)
  • 1 TP-Link TL-WR941ND 3.7 sous OpenWRT (Okso)
  • 1 TP-Link TL-WA901ND 2.3 sous OpenWRT (Okso)
  • 1 TP-Link sous OpenWRT avec les fils du serial exposés (Okso)
  • 1 Switch 8 ports GB Linsys EGOO8W v3 (Okso)

Matériel à trouver :

  • 10 switch (altf4 peut prèter 23com manageables et 3non manageable) (le mieux serait d'obtenir 10 cisco catalyst... CC rom1) (si on prends le 3550 du hs, je rajouterai l'IOS en version K9 pour permettre le SSH, le secret et le service password encryption)
  • Des cables UTP ou mieux (beaucoup de cables)

Config Sauron (cisco catalyst 3550 48 ports)

VLANcorrespondance
vlan 100management
vlan 2server
vlan 3pool 1
vlan 4pool 2
vlan 5pool 3
vlan 6pool 4
vlan 7pool 5
vlan 8pool 6
vlan 9pool 7
vlan 10pool 8
vlan 11pool 9
vlan 12pool 10
vlan 13pool 11 (secours)
vlan 14pool 12 (secours)
vlan 15wifi uplink

Ports

poolport(s)
Uplinkport 1
Serveursport 8
pool 1port 33
pool 2port 34
pool 3port 35
pool 4port 36
pool 5port 37
pool 6port 38
pool 7port 39
pool 8port 40
pool 9port 41
pool 10port 42
pool 11port 43
pool 12port 44
wifiport 48
managementport 17-20

  • Spanning tree activé en rstp
  • Tout les ports non mentionnés sont désactivés
  • SSH activé
  • interface de management disponible uniquement sur VLAN100 (management)
  • NTP activé
  • Interface IP 192.168.100.2
  • tout les vlan de port 1 sont tagués en 802.11q
switch.jpg

Routeur:

  • Le serveur Dell (APC) rack 1U est le routeur
  • Toutes les tables de SBR sont basées sur le tableau IP cité plus haut.
  • Le VPN est tinc et up from boot
  • Pas de NAT/PAT il fait juste du routage par route statiques
  • Uplink vers internet sur port Gigabit 1
  • Lien vers le LAN sur Gigabit 2
router.jpg

Serveur VPN:

  • Debian
  • Tinc VPN
  • fais du PAT sur une IP française
  • routes statiques vers les pool dans son tinc-up
  • tinc-up from boot

WIFI AP:

Les réseaux wifi s'appellent ctf-net et ctf-net-5GHz
Les deux ont comme mdp : ulb-CTF-net

Le DHCP est désactivé (j'ai pris la BBox parce qu'elle est plus rapide et tient mieux la charge avec plusieurs users que les wrt54gl)

Le cable entre le port du switch (Fa 0/48) doit se brancher sur un des ports JAUNES de la box pour permettre au wifi de fonctionner correctement

20180328_111435.jpg

Déploiement :

1) cabler le lien entre le switch et le routeur. 1 cable entre gi 2 sur le routeur et fa 0/1 sur le switch

2) donner un lien vers l'internet sur Gi 1 (vérifier que le lien soit bien en DHCP, le cas échéant, il faudra créer un user sur le routeur et changer manuellement /etc/network/interfaces pour mettre sur eth1 les paramètres de connection donnés)

3) cabler les switch clients sur les ports des pools attribués dans les tableaux si dessus et cabler une des prises jaunes de l'AP wifi sur eth 0/48 sur le cisco catalyst

4) mise sous tension des appareilles

Troubleshooting :

Si le réseau ne se comporte pas comme prévu (si, si... ça peut arriver) vérifier que :

1) les cables sont bien branchés
2) turn it off and on again

Si cela n'a pas résolu le problème :
1) depuis le réseau management, vérifier qu'une addresse IP est bien donnée par le DHCP
2) faire un ping sur 192.168.0.2, si pas de réponse, vérifier que tinc s'est bien lancé

si toujours pas de réponse :
cat /etc/resolv.conf pour vérifier qu'il y'a bien un DNS configuré si pas, en configurer un (genre : 8.8.8.8) si oui, vérifier si curl google.be fonctionne.

Si curl google.be fonctionne, il s'agit d'un problème avec tinc, il faut vérifier si le serveur vpn.ctf.urlab.be a bien tinc actif (il n'y a pas de raison qu'il ne le soit pas et la config est sensée starter toute seule avec un reboot)

Si curl ne fonctionnes pas, vérifier la configuration de eth1 si des indications ont été données (sur une feuille au pupitre) et vérifier que celle-ci est correctement configurée.

Si ça ne fonctionnes toujours pas : blame ULB!

Moar info, contact altf4@freenode