Project:VPN

From Neutrinet
Jump to: navigation, search
Informations
Maintener KheopsJlzirani
Status Done
Tags tech
Parents
Progression 0

The idea is to provide VPN connections for people who already have a physical internet access.

Technical details

What we would provide (technically)

Sorted out

  • provide static and publicly routable IPv4 and IPv6 to subscribers
  • provide the access through a secure enough tunnel so that the traffic content is not seen by users' physical provider
  • do not put any unrequired technical restriction onto subscribers connections (e.g. disconnect every 24 hours, QoS, port blockade, ...)

Still to be sorted out

  • what technologies do we use to provide VPN ?
    • OpenVPN pretty much for sure
    • other possibilities (none are mutually exclusive): IPSec/L2TP, PPP over SSH/SSL, ...

How we do it

Strategy

  • Be a member of Gitoyen done
  • Take IP sub-blocks at Gitoyen (/24 for IPv4, /36 for IPv6): they will tell the RIPE that it is allocated to us (Neutrinet ASBL, Belgium) done
  • Host a VM inside Gitoyen network: done
    • at LDN in the SFR NetCenter datacenter in Strasbourg, they have formally agreed and they have a L2 link to Gitoyen done
    • otherwise, ask FDN (TeleHouse2 datacenter, Paris)
    • as a last resort, we could ask Tetaneutral (they do provide VMs) and ask them to announce our subblock (they have an AS number) - not sure it is easy or even possible to have the sub-block announced with our name while with Tetaneutral's AS
  • Host VPN server on that VM and allocate IPs from our block to clients when they connect (OpenVPN supports a Radius plugin, already used by FDN) WIP

Answers obtained and achievements

  • Received sample VPN configuration file from FDN VPN using Radius for IP allocation
  • Membership to Gitoyen has been approved
  • Gitoyen is OK to allocate to us an IPv4 /24 and an IPv6 /36
  • LDN is formally OK to host a VM for us
  • LDN is OK to announce our IP blocks
  • Price estimation should be complete

Next steps

  • Obtain our IP subblocks from Gitoyen
  • Wait for Gitoyen and LDN to have everything configured properly (routing and BGP announces)
  • Wait for LDN to obtain the agreement from their transit provider about annoucing our subblock (LDN agrees, but they need their transit provider's agreement)
  • Get and install the virtual machine at LDN
  • Beta test registration software
  • Write Term of Conduct
  • Beta test the VPN in itself
  • Handle details like prices etc...
  • Go live

Rates

Costs (for Neutrinet)

Here are the bits where we will need to pay something regularly (monthly or yearly):

  • the Gitoyen membership: 15€ yearly (i.e. 1.25€ monthly)
  • The IPv4 /24 sub-block: 35€ yearly, i.e. 2.92€ monthly (Gitoyen has not exactly fixed the price yet)
  • Probably the same for the IPv6 subblock, so again 2.92€ monthly
  • The VM hosting: first idea of rate announced by an LDN staff member: around 7 to 10€ monthly
  • The transit usage, probably of the L2 between Gitoyen and LDN: 6€/Mbps per months - it will increase along with the number of users we have, it is reasonable to say that we will not go above 12€/months for a start

This makes a total monthly cost around 30€.

See as an annex, Gitoyen prices and internal rules.

cost-projection-neutrinet the same on framacalc

Price (for subscribers)

As it seems our infrastructure costs are low, a monthly rate of 5€ for subscribers could be envisaged (even less?).

The service would become profitable as soon as we go over 7 subscribers.

People potentially interested in subscribing

Starting from 10 people interested in subscribing, it should become worth starting the project.

  • KheOps
  • jlzirani
  • gorfou
  • hsteak:
  • Bram
  • Aera
  • Stéph
  • Lucas
  • Cédric T
  • Cédric L
  • André
  • Ivan
  • anderlia
  • Cédric M
  • Roy Mackenzie
  • UrLab
  • Antoine JdD
  • Olme
  • F/LAT
  • Bouska

Random informations

Stuff

From Yvan Janssens (HSBXL mailing list):

    3. I have a 16/10 profile from EDPnet - I don't need huge amounts of
    downstream, but almost symetric speeds are phun when working remotely a
    lot. There is a huge set of trees blocking the Clear-Line-Of-Sight to the
    WirelessAntwerpen node in Lier or Mortsel, but I'd be happy to participate
    in a test setup with a VPN link over this line connected to an outdoor WLAN
    AP (still have all the materials) and preserve 5mbit synchronously for it.

Old mailing list informations (need to be cleaned and put into this page)

A presentation by target0

De : target0

Afin de voir si l'offre de FAI virtuel intéresserait du monde, il serait
bon d'en faire une présentation sur notre site. Voici quelques idées de
présentation, si vous en avez d'autres n'hésitez pas à compléter

================

Par FAI virtuel, nous entendons une allocation d'IP publique au moyen
d'un VPN.

Ses caractéristiques sont les suivantes :
- IP fixe, pas de filtrage : vous pouvez ainsi héberger un serveur chez vous sans contraintes
- Le trafic de chez vous à notre routeur est chiffré, assurant l'intégrité des données
- Il est possible de compresser le trafic à la volée afin de supprimer l'excédent de données généré par le logiciel de VPN
- Notre serveur VPN écoute sur les ports 443/tcp [insérer les autres ports ici], ce qui permet de contourner des firewall restrictifs
- Vous pouvez trimballer votre IP n'importe où, du moment que vous avez accès à une connexion internet

A presentation by Tito (from who the idea is coming)

*3) EN ATTENDANT : DEVENONS UN FAI VIRTUEL !*
Alors ça c'est une idée de "génie" que j'ai eue le jour même où j'ai
découvert les tarifs ahurissants de Belgacom. J'étais bien éloigné des
considérations politiques que la NURPA doit probablement avoir : mon but
premier n'était pas d'avoir un mot à dire auprès de l'IBPT. Et pourtant
devenir un FAI virtuel est une très bonne idée ! Cela permettrait de lancer
très rapidement le projet de FAI et d'en aborder la grosse partie technique
que représentent les interconnexions, l'enregistrement auprès du RIPE, ...,
autrement dit tout ce qui fait qu'on est un Fournisseur d'Accès Internet !

Alors qu'entend-t-on par FAI virtuel ? C'est simple : vous gardez votre
"accès Internet" actuel, quelqu'il soit. Mais il n'aura plus qu'une seule
utilité : créer un tunnel vers les serveurs de ce FAI virtuel. Grâce à ce
tunnel vous obtenez une IP publique fixe et tout votre traffic est
tunnelisé jusqu'aux interconnexions du FAI qui peut ainsi garantir la
neutralité de la connexion au net ainsi fournie.

Le tunneling n'est pas un si gros défi technique et on peut envisager plein
d'applications bien sympa telles que le développement d'un firmware
spécifique pour le WRT54G, transformant ce routeur polivalent en "modem
virtuel" transformant notre FAI virtuel en connexion transparente pour les
machines.

Je répète l'intérêt principal de la création d'un FAI virtuel : on lance
rapidement le projet de FAI associatif belge en établissant déjà les bases
incontournables à la création future d'un FAI par ADSL.

Financial informations by target0 on this project

Après quelques recherches, voici ce que j'ai récolté comme infos :

FAI virtuel
¯¯¯¯¯¯¯¯¯¯¯
Option 1
¯¯¯¯¯¯¯¯
- Serveur hébergé (ex.: euro-web)
- Bande passante fournie par l'hébergeur
- Bloc d'IPs fourni par l'hébergeur

Coûts:
* Frais mensuels serveur (~100)

Total: 1200/an

Avantage: Peu coûteux
Désavantage: Aucune indépendance

Résumé: Déploiement rapide pour pas cher MAIS renumérotation latente des IPs

Option 2
¯¯¯¯¯¯¯¯
- Serveur hébergé (ex.: euro-web)
- Bande passante fournie par l'hébergeur
- AS et IPs fournis par le membership au RIPE
- Peer avec l'hébergeur qui réannonce nos prefix

Coûts:
* Inscription au RIPE (2000)
* Frais annuels RIPE (1800)
* Frais mensuels serveur (~100)

Total: 2000 de setup + 3000/an

Avantage: Indépendance des ressources IPs
Désavantage: Coûts du membership et dépendance au niveau de la bw

Résumé: Déploiement rapide coûteux MAIS indépendance immédiate niveau IPs

Option 3
¯¯¯¯¯¯¯¯
- Serveurs rackés (InterXion ou AXS, via behostings.be)
- Bande passante louée à un transitaire (ex.: cogent)
- AS et IPs fournis par le membership au RIPE
- Peering au bnix

Coûts:
* Inscription au RIPE (2000)
* Frais annuels RIPE (1800)
* Achat de la machine (~600/piece)
* Frais mensuels rackspace (~40/u)
* Frais de bw (~7/mbit - peut être moins (cogent))
* Frais de cablage vers cogent au sein du datacenter (négligeable?)
* Frais annuels port FE au bnix (3600)

Total (1 machine, transit 30Mbps, pas de peering): Setup: 2600 +
600/machine, récurrent: 4800/an + 480/machine/an
Total (1 machine, transit 10Mbps, peering bnix): Setup: 2600 +
600/machine, récurrent: 6720/an + 480/machine/an
Le peering n'est intéressant qu'à partir d'une grosse consommation de
transit. Ou alors il faut aller au FreeBIX qui
ne demande que 100 euros de setup pour un port FE, mais y a moins de
participants intéressants. Need un panap belge.

Avantage: Indépendance totale
Désavantage: Coûteux + il faut intervenir nous même en cas de panne (ou
bien payer pour)

Résumé: upgrade à faire lorsqu'on sera bien lancé

Option 4
¯¯¯¯¯¯¯¯
- Serveurs rackés (InterXion ou AXS, via behostings.be)
- Bande passante louée à un transitaire (ex.: cogent)
- AS et IPs fournis par le membership au RIPE
- Peering au bnix
- Serveur hébergé en France (à th2 via euroweb par ex)
- Peering au panap/france-ix
- Link entre nos serv Bruxelles - Paris (L2L/VLAN/etc) (ex: cogent,
jaguar-network)

Coûts:
* Inscription au RIPE (2000)
* Frais annuels RIPE (1800)
* Achat de la machine (~600/piece)
* Frais mensuels rackspace (~40/u)
* Frais mensuels de bw (~7/mbit - peut être moins (cogent))
* Cablage vers cogent au sein du datacenter (négligeable?)
* Frais annuels port FE au bnix (3600)
* Frais mensuels du serveur à th2 (~150)
* Cablage vers les switch du panap (négligeable?)
* Frais mensuels du L2L Bruxelles - Paris (aucune idée.. quelques
centaines d'euros pour 100Mbps je suppose)

Total: cher

Avantage: Indépendance totale + plusieurs points de présence
Désavantage: Se déplacer soi même pour intervenir en cas de panne
(ou payer pour)

Résumé: si on arrive à ce stade, on rox



Tasks : Project:VPN:vpn_autorestart_script

Participants

No participant.


Tasks

Task name Priority Status Assigned to
Tache:vpn autorestart script 1 Ongoing Olm-e,...

Add a task to this project :


Comments

No comment.