Doel van het project is het verbinden van 2 netwerken via een beveiligde verbinding over internet. Hiervoor wordt gebruik gemaakt van 2 linux-pcs die als router en encryptie/decryptie toestel fungeren:
+-------------------+
| dsl-router-veurne |================= Internet =====================+
+-------------------+ |
| |
192.168.254.0/24 | |
========================================== |
| DMZ (dmz.veurne.romacfuels.com) |
| |
+-------------------+ +---------------------+
| 192.168.254.1 | | ?.?.?.? |
| vpn-router-veurne | | vpn-router-oostende |
| 10.32.1.1 | | 10.32.2.1 |
+-------------------+ +---------------------+
| |
| 10.32.1.0/24 | 10.32.2.0/24
========================================== ==========================================
intranet (veurne.romacfuels.com) | | (oostende.romacfuels.com)
| |
+-------+ +-------+
| PC_V1 | | PC_O1 |
+-------+ +-------+
Het project is geslaagd als PC_O1 een ftp-verbinding kan maken met PC_V1 en deze verbinding prioriteit krijgt op alle niet-vpn verbindingen (van oostende.romacfuels.com naar het internet).
Om dit te bereiken wordt het volgende ter beschikking gesteld:
- de machine vpn-router-oostende met debian-linux geinstalleerd en een custom kernel aangepast voor VPN communicatie en QoS routing.
- De linkerhelft van het netwerk te Veurne is een bestaande werkende infrastructuur die VPN connecties ondersteunt.
Kennisname van de volgende materie wordt vereist:
- Hoe een verbinding te maken met een ADSL provider met de Alcatel Speedtouch Home ethernetmodem gebruik makende van het PPPoE protocol. De procedure staat beschreven in http://www.tldp.org/HOWTO/DSL-HOWTO/index.html
- kennis van de FreeS/WAN (http://www.freeswan.org) implementatie van het IPSEC protocol. Documentatie van de gebruikte versie kan gevonden worden op het adres http://www.freeswan.org/freeswan_trees/freeswan-1.95/doc/index.html
- kennis van het Linux QoS systeem uitgelegd in http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/index.html. Het gaat hier zowel om shaping als policing (ingaand en uitgaand dus). Men zal hier de HTB (http://luxik.cdi.cz/~devik/qos/htb/) - variant toepassen zoals die beschreven staat in de pagina http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm.
Deze opdracht zal door drie personen uitgevoerd worden. Het zal belangrijk zijn goede afspraken te maken, want de drie doelstellingen beinvloeden elkaars instellingen.
De vereisten voor de ADSL-uplink zijn de volgende:
- De verbinding met internet wordt gemaakt via het "dial on demand" principe. Dit wil zeggen dat de verbinding opengelegd wordt als er pakketjes zijn met als bestemming het internet en de verbinding terug dichtgelegd wordt na 5 minuten inactiviteit.
- Het IP-adres wordt dynamisch toegekend door de PPPoE server.
- De VPN-tunnel moet opgebouwd worden na verbinding met het internet en afgebroken worden voor het dichtleggen van de verbinding.
De vereisten voor de QoS routing zijn als volgt:
- Er moet rekening gehouden worden met de capaciteit van een DSL-link: 3Mbit/s downstream en 128kbit/s upstream. Daarbij heeft alle trafiek van het VPN-type (GRE-paketten) voorang op alle andere communicatie. Indien er geen VPN-communicatie plaats vindt, mogen de andere verbindingen tesamen slechts 2/3 van de maximale verbindingssnelheid in elke richting halen, ditom een opstartende VPN-verbinding niet te veel te vertragen.
- De VPN-paketten zelf mogen tot 90% van de verbindingssnelheid in beide richtingen gebruiken. Wanneer die capaciteit niet gebruikt wordt door de VPN verbinding, mogen de andere verbindingen bandbreedte "stelen" van de VPN-verbinding.
- De totale trafiek mag nooit meer zijn dan 95% van de maximum verbindingssnelheid.
De vereisten voor de VPN-verbinding:
- De RSA-key voor de initiele verbinding is 2048 bits lang in plaats van de gebruikelijke 1024 bits.
- De verbinding zelf zal versleuteld worden met het Twofish algoritme.