Tunnel Setup - Backfire Vienna 2.0: Unterschied zwischen den Versionen
Erichn (Diskussion | Beiträge) K (→alternative Konfigurationsmethode über die Shell) |
Erichn (Diskussion | Beiträge) (→alternative Konfigurationsmethode über die Shell) |
||
Zeile 65: | Zeile 65: | ||
option dev 'tap0' | option dev 'tap0' | ||
option fast_io '1' | option fast_io '1' | ||
− | option port '50[ | + | option port '50[Portnummer laut [http://tunnel.tunnel.wien.funkfeuer.at/openvpn.php]]' |
option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]' | option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]' | ||
option enabled '1' | option enabled '1' |
Version vom 15. August 2013, 12:15 Uhr
Erster Entwurf für eine Anleitung ' Fehler vorbehalten - noch nicht offiziell freigegeben Funkinsel mit Backfire Vienna 2.0
Variante: Funkinsel hinter Provider-Router am internen Netz
Inhaltsverzeichnis
- 1 Erste Schritte
- 2 OpenVPN installieren
- 3 Händisches Installieren
- 4 Einrichten von OpenVPN via LuCI
- 5 alternative Konfigurationsmethode über die Shell
- 6 Aktivieren der Konfiguration über LuCI
- 7 Testen der Konfiguration
- 8 OpenVPN automatisch starten
- 9 OLSR für Tunnel aktivieren
- 10 OLSR am WLAN
- 11 Sonstiges
Erste Schritte
IP-Adressen beantragen
Für den Tunnel in dieser Konfiguration benötigen wir (zumindest) zwei IP-Adressen. Eine für den Tunnel und eine für das WLAN-Interface. Diese sind in unserer Adressdatenbank Redeemer-Frontend, wohl am besten als zwei separate Devices einzurichten, auch wenn sie auf demselben Router verwendet werden.
Tunnelport anfordern
Die IP-Adresse, die für den Tunnel verwendet werden soll, solltest Du an discuss@lists.funkfeuer.at schicken, und zwar mit der Bitte um Einrichtung eines Tunnelports, den Du später unbedingt benötigst.
OpenVPN installieren
In den Standard-Images der Backfire Vienna 2.0 ist kein OpenVPN installiert. Es ist daher notwendig, ein frisch aufgesetzes Gerät mit Backfire Vienna 2.0 zunächst an einem bestehenden internen Netzwerk anzuschließen, um Pakete herunterzuladen.. Router mit nur 4 MB Flash haben zuwenig Speicher um openvpn mit luci zu installieren. (Linksys WRT54gl, Buffalo WHR-HP-G54, TP-Link TL-WR741ND). Ausreichend Speicher und CPU Leistung bietet zB der Buffalo WZR-HP-G300NH (alt) und der TP-Link TL-WR1043ND
Installieren direkt aus dem Netz
Verbinden mit dem Heimnetz
In der Regel wird der Router auf 192.168.1.1 erreichbar sein. Sollte das Heimnetz dasselbe Netz nutzen, genügt es im Webinterface http://192.168.1.1 unter "Netzwerk", "Schnittstellen", "LAN" zunächst einen Gateway und einen DNS-Server einzutragen. Leicht zu merken sind die Google-Nameserver "8.8.8.8" und "8.8.4.4". Nach einem Klick auf "Speichern und anwenden" ist der Router provisorisch im Netz.
Herunterladen und Installieren von Paketen
Unter "System", "Paketverwaltung" wäre zunächst ein Klick auf "Update lists" erforderlich um die nötigen Informationen über verfügbare Pakete zu erhalten. Wenn das erledigt ist, genügt eine Suche nach "luci-app-openvpn". Wird dieses Paket anschließend zur Installation ausgewählt, werden die anderen erforderlichen Pakete gleich mitinstalliert.
Händisches Installieren
Die nötigen Pakete finden sich unter oe1xrw Trunk im Verzeichnis der jeweiligen Plattform (siehe auch "Status", "Übersicht") im Unterverzeichnis "packages". Sie können einzeln heruntergeladen und anschließend mit scp oder Winscp in das Verzeichnis "/tmp" gespielt werden. Über eine Shell (Gnome-Terminal, Xterm, Putty, ö.ä.) sodann mittels opkg install /tmp/paketname.opkg installiert werden. Wenn ein Paket fehlt, wird opkg sich darüber lautstark beschwerden,... man wiederhole die obigen Schritte bis das Ziel erreicht ist. Beginne jedenfalls mit openvpn und luci-app-openvpn.)
Einrichten von OpenVPN via LuCI
Spätestens nach einem Neustart des Gerätes über "System", "Neustart", "Router neu starten" ist "OpenVPN" im Menü unter "Dienste verfügbar".
Dort kann man gleich einmal 0xff eintippen. Daneben sollte "Client configuration for ethernet bridge" ausgewählt sein. Ein Klick auf "Hinzufügen" legt unsere Konfiguration an.
Leerkonfiguration ausmisten
Jetzt sollten wir unnötigen Ballast abwerfen. Lass Dich nicht verunsichern, wenn eine Option nicht gleich aufscheint, Du kannst neue Optionen hinzufügen. Leere Felder werden beim Speicher wieder gelöscht. Der Link "Erweiterte Konfiguration" macht die restlichen Einträge sichtbar. Wir benötigen nur die folgenden Informationen. Andere Optionen werden womöglich den Start von OpenVPN verhindern.:
notwendige Einträge
lzo Kompression <- Hakerl wenn am Tunnelserver auch aktiviert (LZO Komprimierung belastet die CPU des Routers stark. Nutzbare Tunnel-Bandbreite könnte wegen zu schwacher CPU nicht voll genutzt werden.) remote 78.41.115.228 <- das ist der Tunnelserver port' '[Dein Port]' <- dieser Port wird Dir auf Anfrage über discuss@lists.funkfeuer.at zugewiesen proto' 'udp' dev_type' 'tap' <- Das ist wichtig: tap agiert wie eine Bridge, während tun nur höhere Netzwerkebenen weiterleitet. Für OLSR ist tap besser geeignet. verbose 3 <- Fehlermeldungen, die openvpn ausgibt, sind auf der Konsole mittels logread, im Webinterface mittels 'System', 'Systemprotokoll' zu erhalten. Das hilft bei der Fehlersuche. dev tap0 <- das ist der Name unseres Devices. Es wird beim Start von Openvpn angelegt. nobind <- Hakerl fast_io <- Hakerl (beschleunigt den Tunnel ein wenig). ifconfig' '[Deine Node-IP] 255.255.255.[Deine Netzmaske]' <- Trage hier die Werte ein, die Dir über das Marvin-Frontend zugewiesen wurden. Beachte die Subnetzmaske! (193.238.15x.x: 255.255.252.0, sonst 255.255.255.0) management 127.0.0.1 31194 <- darüber plaudert luci mit openvpn
alternative Konfigurationsmethode über die Shell
Ganz eilige Backfire Vienna 4.0-User, die mit der Shell schneller sind, können die Informationen direkt in die Datei /etc/config/openvpn eintragen:
config openvpn 'to_krypta' option remote '78.41.115.228' option keepalive '10 30' option enable '1' option verb '3' option dev 'tap0' option fast_io '1' option port '50[Portnummer laut [http://tunnel.tunnel.wien.funkfeuer.at/openvpn.php]]' option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]' option enabled '1' option nobind '1' option comp_lzo '1' option ifconfig_noexec '1' option ifconfig_nowarn '1' option persist_tun '1' option persist_local_ip '1' option persist_remote_ip '1' option remote_random '0' option proto 'udp' option up_delay '5' option float '1' option dev_type 'tap'
Alt:
config openvpn 'to_krypta' option remote '78.41.115.228' option dev_type 'tap' option enable '1' option verb '3' option dev 'tap0' option fast_io '1' option port '[Dein Tunnel-Port]' option ifconfig '[Deine Node-IP] [Deine Netzmaske in x.x.x.x-Notation]' option enabled '1' option nobind '1' option comp_lzo '1' #bitte bei der Einrichtung des Tunnels nachfragen ob Kompression wirklich aktiv! option tun_ipv6 '1' option proto 'udp' option up_delay '10'
Wer über die Konsole gearbeitet hat, kann den folgenden Eintrag überspringen.
Aktivieren der Konfiguration über LuCI
Diejenigen, die über Luci gearbeitet haben, sollten nach "Anwenden und speichern" zurück zur "Übersicht" gehen und das Häkchen in der Spalte "aktivieren" und in der Zeile "0xff" setzen.
Testen der Konfiguration
Über "starten" kann man jetzt versuchen OpenVPN zu starten. Erscheint ein rotes "x", ist man jetzt mit dem Tunnelserver verbunden.
Ping auf internes default Gateway. Bei ADSL zb Ping 10.0.0.1 (falls keine Antwort, fehlt die Route zum Gateway. Händisch unter Routes eintragen)
Ping auf den Tunnelserver. Ping 78.41.115.228
Unter OLSR Nachbarn steht noch kein Nachbar, da OLSR am Tunnelinterface tap0 noch nicht aktivert ist.
OpenVPN automatisch starten
... das sollte der Router dann eigentlich bei jedem Neustart machen, es ist aber von Haus aus noch nicht so eingestellt. Unter "System", "Systemstart" kann man das in der Spalte "Deaktivieren/Aktivieren" in der Zeile, in der in der zweiten Spalte "openvpn" steht, durch einen Klick auf das rote "(x)" nachholen. OpenVPN wird jetzt alle aktivierten Profile, die wir vorher erstellt haben, beim Start des Routers aufrufen und die Verbindungen aufbauen.
OLSR für Tunnel aktivieren
Über "Dienste", "OLSR" kann man jetzt den Tunnel mit OLSR "beschalten": Am Ende der Seite im Bereich "Schnittstellen" wird ein Eintrag vom Typ "ether" benötigt, der mit dem Tunnel namens "tap0" verbunden wird. Fehlt der Eintrag, kann er mit dem grünen Plus "Hinzufügen" erstellt werden, sonst empfiehlt sich das Editieren über das Bleistift-Symbol am rechten Ende der Zeile. Die folgende Maske ist im Wesentlichen selbsterklärend. Vorsichtige Zeitgenossen können in der Unterseite "IP-Adressen" im Feld "IPv4 Quelladresse" hier diesselbe Tunnel-IP-Adresse wie vorhin (siehe Marvin/Frontend) eintragen und mit "Speichern & Anwenden" die Maske verlassen.
OLSR am WLAN
Wenn wir schon dabei sind und der andere Eintrag noch fehlt, können wir das WLAN-Interface im Ad-Hoc-Mode hier auch gleich hinzufügen - freilich sollte das WLAN dafür zuvor gemäß der Anleitung Kanalwahl und 0xFF-Backfire_Vienna#3._WLAN-Einstellungen bereits angelegt sein. Für das OLSR-Wlan-Interface wählen wir als Modus "mesh" aus. Bei der IP-Adresse stellen wir die IP-Adresse ein, die wir im Marvin-Frontend für unser WLAN zugewiesen bekommen haben. Nach einem Klick auf "Speichern & Anwenden" sind wir an sich fertig.
Sonstiges
Wer jetzt noch die Firewall anpassen will, kann das gemäß 0xFF-Backfire_Vienna#5._Firewall machen.
Anzuempfehlen wäre jetzt noch, den Standard-Gateway, den wir im ersten Schritt angelegt haben, wieder zu entfernen und an seiner statt über "Netzwerk", "Statische Routen" nur die Route zum Tunnelserver selbst anzulegen. Damit wird gewährleistet, dass der Netzwerkverkehr jedenfalls über den Tunnelserver läuft. Am Breitbandrouter könnte man nun den Zugang des Funkfeuer-Routers so einschränken, dass dieser nur zum Tunnelserver verbinden darf. Zu Bedenken ist, dass der Server dann immer noch im internen Netz hängt. Wer sich gegen Fehlkonfigurationen absichern will, sollte vielleicht den Einsatz einer zusätzlichen Firewall oder eines anderen Heimrouters mit Firewall vor dem, Router in Erwägung ziehen.
Nach einem Neustart sind wir mit dem Tunnel verbunden und sendet via WLAN das 0xff-Signal aus.
Gratulation und Willkommen im Netz!
zurück zu wiki_funkfeuer_at
< Startseite > < Backfire-Vienna > < Standards > < Installation > < Weiterführendes > < Aktivitäten > < Index >
<google>WIKI</google>