Le LAN promis - The Promised Lan

 (tpl.house)
1 points par GN⁺ 2025-07-25 | 1 commentaires | Partager sur WhatsApp
  • Le LAN promis est un réseau de LAN party fermé 24/7 à petite échelle, fondé sur un cercle de connaissances
  • Chaque LAN est relié via un réseau Backbone, afin de rechercher un équilibre entre maintenabilité et sécurité
  • Un TLD .tpl propre et plusieurs serveurs DNS racine améliorent l’isolation du réseau et la résilience en cas de panne
  • Une infrastructure PKI basée sur x509 systématise TLS et la gestion des certificats
  • Une architecture simplifiée d’émission de certificats fondée sur DNS et SSH renforce l’efficacité de la maintenance interne

Présentation

  • Le LAN promis est un réseau à adhésion fermée, exploité depuis 2021 comme un espace de LAN party permanent
  • La documentation officielle est majoritairement conservée sur le LAN interne, et ce site web fournit une présentation du réseau aux personnes intéressées et aux connaissances

Manifeste du LAN promis

  • Un manifeste exposant le contexte, les objectifs et l’approche sociale et technique qui ont conduit au lancement du LAN est publié
  • Le manifeste vise à encourager la mise en place de LAN de structure similaire, avec un lien étroit entre les dimensions techniques et sociales

Architecture du réseau Backbone

  • Chaque segment du LAN promis se connecte à des nœuds du réseau Backbone au lieu d’établir des liaisons directes

    • Les connexions directes entre LAN sont inefficaces en raison de la complexité accrue de gestion liée aux changements d’IP, à l’échange de clés, à la négociation de chiffrement, etc.

  • Sur différents systèmes d’exploitation (Debian, OpenBSD), la structure de peering fondée sur IPSec fonctionne respectivement avec strongSwan et iked

  • Les algorithmes retenus cherchent un point d’équilibre optimal entre vitesse, sécurité et compatibilité

    • Authentification IKE SA : HMAC SHA2 512
    • Chiffrement IKE SA : AES 256
    • DH IKE SA : Curve25519
    • Chiffrement Child SA : ChaCha20 Poly1305
    • DH Child SA : Curve25519

  • Dans une plage d’allocation dédiée en /24, une IP fondée sur l’ID de nœud est attribuée à chaque backbone

  • Chaque backbone ne contient en dur que les routes des nœuds connectés en IPSec

  • L’ensemble fonctionne selon le concept de Default Free Zone (DFZ) et, une fois la connectivité IP établie, les LAN utilisateurs sont annoncés entre tous les backbones via BGP (avec bird ou bgpd)

Système DNS

  • Le réseau utilise son propre TLD, .tpl, et lorsqu’un LAN rejoint le réseau, un domaine lui est attribué automatiquement
  • Il est également possible de demander de nouveaux domaines, et les serveurs DNS racine (ns1.tpl, ns2.tpl, ns3.tpl) sont installés sur les backbones de trois LAN différents
  • L’objectif est d’assurer la continuité des services essentiels même en cas de panne d’un nœud unique
  • Les serveurs de noms autoritatifs utilisent nsd et synchronisent leurs fichiers de configuration en récupérant périodiquement un dépôt git central
  • Chaque LAN exploite son propre serveur de noms à l’IP fixe x.x.x.254, ce qui facilite l’autoconfiguration et la mise en modèle
  • Il n’est pas nécessaire que chaque LAN connaisse obligatoirement l’ensemble de la liste racine
  • Les backbones font tourner un resolver récursif (unbound) sur une IP anycastée (x.x.0.1) afin de traiter les requêtes DNS

Infrastructure PKI

  • Bien que l’environnement interne soit déjà suffisamment sécurisé, une infrastructure PKI a été mise en place pour appliquer TLS et rester compatible avec les outils existants
  • Une CA racine x509 est exploitée sur un cycle de 3 ans
    • 1re année : distribution / mise à jour de la racine
    • 2e année : émission active des certificats
    • 3e année : période d’expiration / transition des certificats
  • La racine utilise ECDSA P-384 avec une signature SHA384 et limite les domaines / e-mails .tpl grâce à la fonctionnalité X509v3 Name Constraints
  • Un processus d’émission de certificats fondé sur DNS a été conçu : pour chaque domaine, une entrée TXT _pki enregistre une clé publique OpenSSH
  • Les certificats sont émis après authentification SSH et vérification DNS, sans système externe comme ACME, en s’appuyant sur des règles internes et l’automatisation

À lire aussi

1 commentaires

 
GN⁺ 2025-07-25
Avis Hacker News

  • Il est amusant de voir à quel point la signification de « LAN Party » varie selon les personnes Pour moi, une LAN Party traditionnelle, c’est quand chacun apporte son ordinateur, et qu’on joue et qu’on s’échange des fichiers au même endroit, alors que dans ma version, les amis viennent chez moi et utilisent simplement les machines que j’ai déjà préparées Comme personne n’apporte son propre ordinateur, il y a très peu d’échange de fichiers ou de démos, et l’essentiel est l’interaction en face à face Récemment, le concept a évolué vers une structure qui relie virtuellement plusieurs maisons, ce qui est intéressant parce qu’on peut chacun en profiter depuis chez soi tout en retrouvant des activités proches des anciennes LAN Party J’ai aussi une présentation de ma maison sur lanparty.house Je me demande laquelle de ces définitions se fera le plus reprocher d’être la plus « fausse »

    • Cette installation est vraiment impressionnante À l’avenir, je pense que je préférerais aussi ce format, mais le charme des LAN Party d’autrefois venait du fait que chacun apportait un PC unique, qu’on regardait ensemble, qu’on s’aidait à configurer, et qu’on en gardait des souvenirs Chacun personnalisait son PC à sa manière, des LED RGB jusqu’au watercooling, et toute cette diversité réunie créait quelque chose de magique Le simple fait de transporter un PC lourd avec difficulté était aussi une façon d’exprimer le soin et l’attachement qu’on y mettait

    • Vers 1999, il y avait une démo exclusive d’Unreal Tournament que seules les personnes équipées d’une carte vidéo 3dFX pouvaient télécharger et lancer Mais en réalité, il suffisait de créer un fichier texte appelé glide2.dll dans le répertoire du jeu pour le faire tourner en mode rendu logiciel À l’époque, il y avait beaucoup d’ordinateurs dans une grande salle de formation, et on collait du carton noir sur la porte pour faire croire qu’elle était vide, puis après le travail, des collègues partageant les mêmes goûts s’y retrouvaient souvent pour passer des heures sur la carte de démo On y ajoutait aussi Half-Life deathmatch et Counterstrike, et même sans carte graphique dédiée, on était très heureux avec un rendu logiciel en 320x200 C’était vraiment une belle époque

    • The Promised LAN est à strictement parler plus proche d’une WAN party, mais je pense que le terme « LAN Party » peut inclure aussi les LAN virtuels En pratique, je pense aussi qu’aujourd’hui, le simple fait de partager le même espace physique tout en jouant ensemble au même jeu en ligne sur un laptop, une tablette ou un smartphone correspond tout à fait à l’esprit d’une LAN Party Des séries comme Diablo ont elles aussi évolué vers un fonctionnement centré sur le online, et c’est pareil pour les MMO Quand on joue dans la même pièce avec son colocataire ou ses amis, on peut toujours dire que c’est la meilleure des LAN Party

    • Pour moi, l’élément important d’une LAN Party, c’est que tous les joueurs soient réunis dans le même espace Quand je joue en ligne avec des amis à distance, j’appelle simplement ça une « game night »

    • Le site lanparty.house était vraiment très agréable à lire L’anecdote sur le déménagement à Austin, au Texas, m’a particulièrement marqué : sa femme s’opposait au départ parce que le district scolaire de Palo Alto était classé 12e au niveau national, puis elle a aussitôt changé d’avis en apprenant que celui d’Austin était 8e, ce qui m’a fait rire On sentait bien le zèle éducatif caractéristique des parents d’origine chinoise, c’était adorable

  • Le texte contient un lien vers le manifeste / article explicatif détaillé Je trouve que c’est une lecture bien plus intéressante encore que la page d’origine

    • En fait, le manifeste était déjà lié dans le deuxième paragraphe Lire la page puis le manifeste à la suite faisait une expérience assez réussie

    • Grâce à ce lien, j’ai compris des choses que j’avais ratées en survolant la page originale L’ensemble est chaleureux et donne envie de construire quelque chose de similaire J’ai particulièrement trouvé géniale l’idée de s’envoyer des messages avec une imprimante à reçus

    • Waouh, personnellement c’est cette partie que j’ai préférée

  • Quelqu’un mentionne l’utilisation du TLD non standard .tpl Personnellement, je ne pense pas que ce soit un mauvais choix Internet n’a pas été conçu à l’origine pour être centralisé, et je pense qu’il faut résister à des autorités centrales comme l’ICANN actuelle Ce serait encore mieux s’il existait un moyen pour chacun de contrôler directement son propre identifiant plutôt que de remplacer manuellement son fichier hosts

    • C’est vrai, mais si l’ICANN attribuait un jour .tpl comme nouveau TLD à une entreprise, je me demande quelle serait alors la réponse

  • Cela m’a paru très proche de dn42 Voir le site de dn42

    • dn42 est un jouet vraiment amusant, on a l’impression d’être directement connecté au vrai Internet, et les services internes se multiplient peu à peu

  • Je suis curieux parce qu’il n’y a pas assez d’explications sur les jeux auxquels ils jouent principalement L’idée est intéressante, mais les informations sont tellement limitées que cela donne aussi un peu une impression de cabane réservée aux garçons

    • À propos de l’idée que cela ressemble à une « cabane réservée aux garçons », je pense que ce genre de petit rassemblement privé est tout à fait acceptable et socialement sain Il est même souhaitable que des personnes ayant des goûts et des affinités similaires créent volontairement leurs propres groupes

    • Ce projet n’a pas l’air d’avoir été conçu dès le départ pour être présenté sur Hacker News ou ailleurs, donc il n’y a pas de problème s’il ne cherche pas spécialement à susciter l’intérêt des gens extérieurs

    • Dans TPL, on fait surtout des activités sociales plutôt que du jeu Il y a aussi de l’IRC, et certains lancent leurs propres services bizarres Quand on rejoint le réseau, on reçoit un document de connexion en LaTeX qui explique bien comment se connecter, avec aussi un guide pour établir un lien 1:1 avec l’une des personnes du backbone principal

    • Cela ressemble davantage à un réseau semi-privé d’ami à ami Dans la plupart des cas, ce genre de structure finit inévitablement par avoir des biais dans sa composition de groupe

    • Vu le côté fermé du projet et le fait qu’ils n’expliquent pas vraiment quels sont les services réels, cela me donne plutôt l’impression qu’il s’agit de partage de fichiers plus que de jeu Je me demande s’il y a une raison de rendre tout cela aussi compliqué pour jouer, alors que Discord permet de faire les choses facilement

  • Je me demande pourquoi IPSec a été choisi à la place de Wireguard Personnellement, je trouve aussi que c’est assez pénible à configurer, donc je me disais que c’était peut-être lié à des contraintes legacy

    • J’imagine qu’ils voulaient peut-être transporter du Layer 2 via L2TP-IPSec Pour faire la même chose avec Wireguard, il faudrait sans doute une configuration supplémentaire comme du tunneling GRE

    • Personnellement, je préfère des solutions basées sur Wireguard comme Tailscale ou Headscale Dans ce cas, beaucoup de détails comme le DNS peuvent être gérés automatiquement très facilement

    • La principale raison pour laquelle j’utilise IPSec, c’est que c’est pris en charge nativement par mes Mac, mon iPhone et mon routeur, sans installation supplémentaire On peut donc mettre cela en place très simplement sans installer de logiciel en plus

    • En général, c’est aussi la méthode standard lorsqu’on monte un réseau d’entreprise ou des bureaux satellites Beaucoup de gens sont habitués à configurer IPSec, donc ils ne trouvent pas cela si difficile

  • Ce que j’aime là-dedans, c’est que c’est un réseau où des gens aux goûts similaires peuvent vraiment faire des choses amusantes ensemble, sans algorithmes ni feed Je trouve que c’est un bon exemple de solution aux problèmes de l’Internet actuel, et qu’au début d’Internet, tout le monde construisait justement ses propres réseaux directement avec ses amis

  • Il existe aussi des exemples de vrais LAN P2P fonctionnant avec de la radioamateur (liaisons micro-ondes sans fil) Voir hamwan.org Des gens que je connaissais avaient aussi monté quelque chose comme ça à Culver City / West LA, et même si c’était lent, cela permettait de façon autonome d’envoyer des e-mails et des photos

    • À noter qu’en radioamateur, le chiffrement est illégal Même si on tunnelise des protocoles standards pour chiffrer au milieu, cela reste considéré comme illégal En revanche, sur les bandes grand public (ISM), le chiffrement ne pose pas de problème — le wifi en fait partie

  • J’adore cette idée de réseau C’était aussi sur ma liste des « choses à faire un jour », mais cette liste ne cesse de s’allonger, donc je suis jaloux Les petites communautés de l’Internet d’autrefois me manquent, et je pense qu’un espace limité fondé sur la confiance peut offrir énormément de possibilités