L'infrastructure se situe à et autour d'Alis44.

Points de configuration qui s'appliquent à tout modem, pour toutes les lignes VDSL (uniquement) qu'on pourrait avoir via un FAI de la FFDN utilisant une collecte Liazo (Illyse, Rézine, marque blanche FDN) :

• les paramètres VPI et VCI valent 8 et 35 respectivement (sauf exceptions inexistantes)
• en plus, il faut activer l'utilisation d'un ID de VLAN sur l'interface DSL du modem et l'ID doit être 835 (alors qu'en ADSL, on n'utilise pas de VLAN)
• si on utilise le modem en mode bridge (modem seulement, pas routeur, avec montage de la session PPP via PPPoE depuis un routeur situé derrière), c'est quand même lui (le modem) qui gère VPI, VCI et ID de VLAN : pas la peine de chercher ça dans les paramètres de PPPoE sur une machine en aval du modem, ça n'existe pas

Le Netgear DM200 a une interface nulle : lorsqu'il est en mode modem pur (bridge), il n'affiche plus les paramètres VPI, VCI et ID de VLAN (entres autres). Pourtant, il les utilise toujours ! Pour consulter ou modifier ces paramètres, repasser en mode routeur (via Avancé > Configuration avancée > Mode de fonctionnement), faire ce qu'on a à faire, puis repasser en mode modem.

Le modem est accessible en ethernet sur 192.168.5.1/24 (cela doit aussi être modifiable en repassant par le mode routeur). Il est configuré en modem seulement.

: le playbook Ansible n'est probablement plus à jour : vérifier les numéros d'interface et la configuration OpenVPN notamment. C'est celle de Carlota qui est à jour.

Sous Debian GNU/Linux, c'est pppd (paquet ppp) et pppoe (paquet du même nom) qui permettent d'établir la session PPP au-dessus de l'interface Ethernet reliée au modem.

Les fichiers suivants contiennent la configuration :

• /etc/ppp/peers/illyse-alis (le fichier peut avoir un autre nom mais doit être dans ce répertoire) : la configuration de la connexion VDSL se situe là, noter en particulier le plugin rp-pppoe.so en première ligne, l'interface Ethernet porteuse immédiatement après (eth2), l'identifiant VDSL auprès d'Illyse après name, le +ipv6 et l'instruction ipparam qui permet d'envoyer une chaîne de caractères personnalisée aux scripts exécutés à l'activation de la connexion (voir man pppd pour les explications détaillées sur tous ces paramètres) ;
• /etc/ppp/chap-secrets et /etc/ppp/pap-secrets contiennent le mot de passe associé à notre identifiant auprès d'Illyse, que pppd enverra lors de l'étape d'authentification (c'est mieux de remplir les deux fichiers car on ne sait pas forcément s'il utilisera CHAP ou PAP comme protocole d'authentification) ;
• /etc/ppp/ipv6-up.d/custom-ipv6 configure une adresse IPv6 publique fixe pour Carlota dans l'intervalle qui nous est attribué (2a00:5881:4010::/48) lorsque la connexion est activée et uniquement si ipparam envoie la chaîne appropriée ;
• /etc/ppp/ip-up.d/99-start-vpn et /etc/ppp/ip-down.d/00-stop-vpn respectivement pour démarrer et arrêter la connexion VPN lorsque le lien PPP démarre ou s'arrête ;
• /etc/network/interfaces rend Debian conscient de l'existence de l'interface PPP et capable de la monter au démarrage ; le paramètre indiqué après provider doit correspondre au fichier dans /etc/ppp/peers/, et la ligne ip link set eth2 up s'assure que la carte Ethernet portant la connexion est bien « allumée » avant de lancer la connexion (voir man interfaces, section The ppp Method).

Démarrer et arrêter la connexion manuellement se fait avec les commandes standard Debian, respectivement ifup illyse-alis et ifdown illyse-alis.

Si on se déconnecte et reconnecte rapidement, il y aura des erreurs d'authentification, le temps que la session PPP expire côté FAI (quelques minutes). Laisser pppd tourner, il ré-essaiera de se connecter jusqu'à ce que ça fonctionne.

pppd écrit son journal dans /var/log/syslog.

Il n'y a pas de VPN dans l'initramfs, Carlota est donc joignable uniquement par les adresses de la session PPP : 89.234.140.189 et 2a00:5881:4010::1.

Pour débloquer le disque, utiliser le script donné sur cette page.

Carlota a le chiffrement intégral du disque, donc en cas de redémarrage il faut pouvoir débloquer le volume chiffré à distance. En standard, Debian installe dropbear dans le initramfs pour pouvoir rentrer la phrase de passe par SSH (voir les explications détaillées).

Problème : le initramfs Debian est capable de configurer son interface réseau avec DHCP ou un adressage statique, mais pas de monter une session PPP.

Solution : on a ajouté des scripts pour intégrer pppd, sa configuration et les modules noyau associés dans l'initramfs lorque la commande update-initramfs -u est invoquée (à la main, ou lors de mises à jour du système), et des scripts qui lancent pppd dans le initramfs pour monter la session PPP. L'initramfs résultant passe de 17Mo à 20Mo.

Fichiers ajoutés :

• /etc/initramfs-tools/hooks/ppp : ce script est exécuté lors de la mise à jour de l'initramfs depuis le système principal, et il est chargé d'ajouter tout ce qu'il faut dans l'initramfs pour pouvoir monter la session PPP : modules noyau, binaires et scripts systèmes liés à pppd et pppoe, répertoire /etc/ppp/ pour retrouver la même configuration de connexion PPP dans l'initramfs que dans le système principal ;
• /etc/initramfs-tools/scripts/init-premount/pppdial : ce script est copié dans l'initramfs lorsque ce dernier est mis à jour depuis le système principal, et est exécuté au démarrage de l'initramfs, il lance pppd pour activer la connexion ;
• /etc/initramfs-tools/scripts/init-bottom/pppkill : ce script tue pppd lorsque l'initramfs est sur le point de s'arrêter, c'est-à-dire après que le volume chiffré ait été déchiffré et que le système principal est sur le point de démarrer (pppd est ensuite réexécuté depuis le système principal comme dans toute Debian classique).

Voir la très bonne page de manuel man initramfs-tools.

Configuration importantes dans /etc/initramfs-tools/initramfs.conf (fichier de configuration lu lors de la génération de l'initramfs et de l'exécution de celui-ci au démarrage) :

• PPP=illyse-alis:eth2 : nouveau paramètre interprété par les nouveaux scripts, spécifiant la configuration PPP à installer dans l'initramfs (selon le nom de fichier dans /etc/ppp/peers/) ainsi que l'interface Ethernet porteuse (en l'absence de ce paramètre aucune configuration PPP ne sera ajoutée à l'initramfs) ;
• IP=off : ceci évite que les autres scripts de l'initramfs tentent de faire du DHCP sur l'interface Ethernet porteuse.

Si vous modifiez des fichiers dans /etc/initramfs-tools/ ou /etc/ppp/, n'oubliez pas de lancer update-initramfs -u pour que ces changements soient pris en compte dans l'initramfs pour le prochain redémarrage. La commande lsinitramfs permet de lister les fichiers présents dans l'initramfs.

: il faudrait regénérer automatiquement l'initramfs lors de la mise à jour des paquets ppp et pppoe.

Lever la tête depuis l'extérieur pour voir les antennes sur le toit. L'accès se fait par les combles (au-dessus de l'escalier).

La fonctionnalité Air Select est activée : elle permet aux antennes configurées en point d'accès de sélectionner automatiquement des fréquences pas encombrées. Comme il y a plusieurs antennes très proches sur le mât du toit, ça peut aider à éviter les interférences.

Voir la page générale concernant les réseaux sans fil de quartier. L'intervalle 89.234.176.48/28 est routé dans le VPN FAImaison dont Carlota est client (voir l'adressage).