Évolutions routeur de quartier

Actuellement, ce chantier n'en est qu'à une phase d'expérimentation.

Constats

L'administration quotidienne des routeurs

Demande une connaissance de la ligne de commande/SSH (qui s'avère longue à transmettre, au vu du peu de choses que l'on fait avec sur les routeurs de quartier, on s'en rend compte avec FIQ)
Est limitée par OpenVPN ¹⁾
Ne supporte pas IPv6

Approche

Jouer avec le routeur en production est périlleux, par contre, monter un réseau de quartier « bac à sable » (avec une partie DC pour le serveur VPN et une partie locale pour le routeur de quartier) laisse toute latitude à l'expérimentation.

Pistes

Utiliser OpenWRT plutôt que Debian
Utiliser Wireguard pour le VPN
Implémenter IPv6
Utilisation de matériel plus commun (raspberry pi 4 + interface ethernet USB ?) et moins coûteux que les APU ²⁾

Utilisation d'OpenWRT

On peut installer OpenWRT sur les APU et APU2 que l'on utilise :

APU2 : https://openwrt.org/toh/pcengines/apu2
APU : https://openwrt.org/toh/pcengines/apu

La doc OpenWRT n'est pas très claire mais il semblerait qu'il suffit de copier l'image sur le SSD (commande dd… soit depuis le système déjà en place sur l'APU, soit depuis une autre machine, en branchant le SSD de l'APU via un adaptateur msata/USB). L'image générique pour l'architecture x86_64 semble faire l'affaire pour un modèle comme pour l'autre.

Il y a plein de warnings sur des limites de perfs pour l'image générique sur la page de wiki de l'APU1, mais j'ai l'impression que ces remarques datent de 2014… À tester.

¹⁾

sur les APU première génération, en pratique, nous sommes limités par OpenVPN à 30/40Mbps

²⁾

bien sûr, des PC de récup font tout à fait l'affaire dans certains cas mais pour la formation ou les cas où l'on souhaite quelque-chose de plus discret, non