[technique] Questions VPN, IPv4 et IPv6 multiples

[Albert ARIBAUD]

Bonjour,

Nouvellement adhérent, j'ai quelques questions concernant le VPN dont
j'espère que quelqu'un sur la liste aura les réponses. :)

Mon "besoin" est le suivant :

J'ai quelques domaines dont j'assure moi-même la gestion des services,
notamment le courriel, et je souhaite associer à chaque domaine une
adresse publique IPv4 (tant que c'est encore nécessaire) distincte et
une publique IPv6 distincte aussi vers laquelle pointer le MX et les
serveurs IMAP et submission (pas de POP, c'est voulu), ces serveurs
étant physiquement chez moi. Je suis parti sur 4 domaines donc 4 paires
IPv4/IPv6, mais ce nombre pourrait changer avec le temps.

Les raisons essentielles pour lesquelles je souhaite avoir une adresse
(IPv4+IPv6) par domaine sont entre autres et dans le désordre :

- l'indépendance de ces adresses vis-à-vis de mon FAI actuel ou futur ;

- la possibilité de maîtriser les entrées de reverse DNS pour les
adresses IP publiques de chaque domaine ;

- la possibilité de migrer un domaine d'une machine à une autre en re-
routant simplement (...) les adresses publiques du domaines de
l'ancienne machine vers la nouvelle, sans affecter les autres domaines
;

- for the heck of it aussi un peu. :)

Mais je ne veux pas non plus compliquer le travail des gens qui gèrent
le technique dans l'association.

En premier lieu, la question des reverse : ils seraient à définir (ou à
déléguer, je peux mettre en place un serveur DNS pour ça) une fois pour
toutes lors de l'attribution de l'IPv4 / IPv6. Est-ce possible ? Ce
n'est pas rédhibitoire si ça ne l'est pas.

En second lieu, la question de la configuration de Wireguard :

Pour les IPv4, de ce que j'ai compris, elles sont attribuées par l'asso
à l'unité et pas par préfixe, on peut techniquement en router une par
endpoint ou plusieurs par endpoint.

Pour les IPv6, toujours de ce que j'ai compris, pour un VPN on a un /64
attribué, mais là aussi on peut faire un seul endpoint pour tout le
préfixe ou bien un endpoint par adresse adresse dans le préfixe.

Du coup je réfléchis à deux approches :

- un endpoint par paires d'adresses, chaque endpoint directement sur la
machine qui gère le domaine correspondant, ou bien

- un seul endpoint sur un routeur chez moi qui ventile vers les
machines concernées.

(il y a peut-être d'autres approches ?)

Est-ce qu'en termes de charge des machines côté association, il y a une
différence entre les deux approches ? Le volume de trafic de/vers les
domaines ne serait pas affecté, il me semble, et seul changerait le
nombre de peers que le serveur Wireguard aurait à gérer.

(J'avoue que l'approche "un endpoint par domaine" m'irait mieux car
elle faciliterait grandement les migrations d'une machine à une autre y
compris temporairement hors de mon LAN)

Merci d'avance de vos réponses !

Cordialement,
Albert.