Aller au contenu

Tunnels Wireguard Infra

Publié le

Situation début 2021

jusqu’à récemment l’infra de Baionet reposait sur une machine virtuelle qui contenait le wiki, la compta et le site baionet.fr

Situation actuelle

Cette configuration était optimale pour la maintenance : un minimum de machines virtuelles à maintenir qui utilisent peu de ressources.

Un petit bémol : baionet, agni et infra sont toutes point de défaillance unique: Si l’une d’elle ne fonctionne plus, c’est toute l’infra qui devient inaccessible.

Proposition de découplage

Avec l’arrivée des nouveaux serveurs il devient envisageable de booster mikelats pour qu’elle puisse accueillir plusieurs machines virtuelles ayant chacune son tunnel vers Stolon.

  • La maintenance de chaque machine devient moins critique c’est plus facile à confier à différents adhérents, y compris des débutants.
  • Il est possible de déplacer une VM sans devoir retoucher les tunnels : en cas de panne serveur une sauvegarde sur une autre machine peut être allumée.
  • Il n’y a plus qu’un point de défaillance unique … chez Stolon ( défaillance difficile à imaginer :).

Proposition découplage

VM adhérents

La même logique pourrait éventuellement utilisée pour les machines virtuelles des adhérents.

  • Les sauvegardes peuvent se faire d’un serveur à l’autre durant la nuit
  • Les VM & tunnels sont indépendants les uns des autres
  • Les migrations peuvent s’effectuer suivant l’évolution de la taille des VM.

evolution VM adhérents

Coté admins

En utilisant zerotier comme outil de connexion coté admin

  • On obtient un moyen commode de connexion entre les superviseurs
  • Un accès admin en cas de panne wireguard.
  • L’indépendance de l’infra du bénévole hébergeur (bcp moins de NAT à bricoler :)

admin superviseurs

Cas de problemes

Ce chapitre n’est pas exhaustif

Operation not supported

Erreur :

wg-quick up wg0 [#] ip link add wg0 type wireguard RTNETLINK answers: Operation not supported Unable to access interface: Protocol not supported

Soluce :

apt install pve-headers dkms autoinstall

resolvconf: command not found

Soluce :

Installer le paquet resolvconf

apt install resolvconf

Probleme d’admin

Il est possible de vouloir tester si le tunnel vpn fonctionne en faisant un ping. Ca peut commencer à déconner en faisant un ssh dessus (ou un acces avec un nom de domaine). Cette vérification peut échouer en étant dans le même réseau local : perte de paquets.