Tunnel Setup - Backfire Vienna 2.0: Unterschied zwischen den Versionen

Aus FunkFeuer Wiki
Wechseln zu: Navigation, Suche
K (alternative Konfigurationsmethode über die Shell)
(alternative Konfigurationsmethode über die Shell)
Zeile 65: Zeile 65:
 
         option dev 'tap0'
 
         option dev 'tap0'
 
         option fast_io '1'
 
         option fast_io '1'
         option port '50[Port nummer laut [http://tunnel.tunnel.wien.funkfeuer.at/openvpn.php]]'
+
         option port '50[Portnummer laut [http://tunnel.tunnel.wien.funkfeuer.at/openvpn.php]]'
 
         option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]'
 
         option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]'
 
         option enabled '1'
 
         option enabled '1'

Version vom 15. August 2013, 12:15 Uhr

Erster Entwurf für eine Anleitung ' Fehler vorbehalten - noch nicht offiziell freigegeben Funkinsel mit Backfire Vienna 2.0

Variante: Funkinsel hinter Provider-Router am internen Netz

Erste Schritte

IP-Adressen beantragen

Für den Tunnel in dieser Konfiguration benötigen wir (zumindest) zwei IP-Adressen. Eine für den Tunnel und eine für das WLAN-Interface. Diese sind in unserer Adressdatenbank Redeemer-Frontend, wohl am besten als zwei separate Devices einzurichten, auch wenn sie auf demselben Router verwendet werden.

Tunnelport anfordern

Die IP-Adresse, die für den Tunnel verwendet werden soll, solltest Du an discuss@lists.funkfeuer.at schicken, und zwar mit der Bitte um Einrichtung eines Tunnelports, den Du später unbedingt benötigst.

OpenVPN installieren

In den Standard-Images der Backfire Vienna 2.0 ist kein OpenVPN installiert. Es ist daher notwendig, ein frisch aufgesetzes Gerät mit Backfire Vienna 2.0 zunächst an einem bestehenden internen Netzwerk anzuschließen, um Pakete herunterzuladen.. Router mit nur 4 MB Flash haben zuwenig Speicher um openvpn mit luci zu installieren. (Linksys WRT54gl, Buffalo WHR-HP-G54, TP-Link TL-WR741ND). Ausreichend Speicher und CPU Leistung bietet zB der Buffalo WZR-HP-G300NH (alt) und der TP-Link TL-WR1043ND

Installieren direkt aus dem Netz

Verbinden mit dem Heimnetz

In der Regel wird der Router auf 192.168.1.1 erreichbar sein. Sollte das Heimnetz dasselbe Netz nutzen, genügt es im Webinterface http://192.168.1.1 unter "Netzwerk", "Schnittstellen", "LAN" zunächst einen Gateway und einen DNS-Server einzutragen. Leicht zu merken sind die Google-Nameserver "8.8.8.8" und "8.8.4.4". Nach einem Klick auf "Speichern und anwenden" ist der Router provisorisch im Netz.

Herunterladen und Installieren von Paketen

Unter "System", "Paketverwaltung" wäre zunächst ein Klick auf "Update lists" erforderlich um die nötigen Informationen über verfügbare Pakete zu erhalten. Wenn das erledigt ist, genügt eine Suche nach "luci-app-openvpn". Wird dieses Paket anschließend zur Installation ausgewählt, werden die anderen erforderlichen Pakete gleich mitinstalliert.

Händisches Installieren

Die nötigen Pakete finden sich unter oe1xrw Trunk im Verzeichnis der jeweiligen Plattform (siehe auch "Status", "Übersicht") im Unterverzeichnis "packages". Sie können einzeln heruntergeladen und anschließend mit scp oder Winscp in das Verzeichnis "/tmp" gespielt werden. Über eine Shell (Gnome-Terminal, Xterm, Putty, ö.ä.) sodann mittels opkg install /tmp/paketname.opkg installiert werden. Wenn ein Paket fehlt, wird opkg sich darüber lautstark beschwerden,... man wiederhole die obigen Schritte bis das Ziel erreicht ist. Beginne jedenfalls mit openvpn und luci-app-openvpn.)

Einrichten von OpenVPN via LuCI

Spätestens nach einem Neustart des Gerätes über "System", "Neustart", "Router neu starten" ist "OpenVPN" im Menü unter "Dienste verfügbar".

Dort kann man gleich einmal 0xff eintippen. Daneben sollte "Client configuration for ethernet bridge" ausgewählt sein. Ein Klick auf "Hinzufügen" legt unsere Konfiguration an.

Leerkonfiguration ausmisten

Jetzt sollten wir unnötigen Ballast abwerfen. Lass Dich nicht verunsichern, wenn eine Option nicht gleich aufscheint, Du kannst neue Optionen hinzufügen. Leere Felder werden beim Speicher wieder gelöscht. Der Link "Erweiterte Konfiguration" macht die restlichen Einträge sichtbar. Wir benötigen nur die folgenden Informationen. Andere Optionen werden womöglich den Start von OpenVPN verhindern.:

notwendige Einträge

lzo Kompression <- Hakerl wenn am Tunnelserver auch aktiviert (LZO Komprimierung belastet die CPU des Routers stark. Nutzbare Tunnel-Bandbreite könnte wegen zu schwacher CPU nicht voll genutzt werden.)
remote 78.41.115.228 <- das ist der Tunnelserver
port' '[Dein Port]' <- dieser Port wird Dir auf Anfrage über discuss@lists.funkfeuer.at zugewiesen
proto' 'udp'
dev_type' 'tap' <- Das ist wichtig: tap agiert wie eine Bridge, während tun nur höhere Netzwerkebenen weiterleitet. Für OLSR ist tap besser geeignet.
verbose 3 <- Fehlermeldungen, die openvpn ausgibt, sind auf der Konsole mittels logread, im Webinterface mittels 'System', 'Systemprotokoll' zu erhalten. Das hilft bei der Fehlersuche.
dev tap0 <- das ist der Name unseres Devices. Es wird beim Start von Openvpn angelegt.
nobind <- Hakerl
fast_io <- Hakerl (beschleunigt den Tunnel ein wenig).
ifconfig' '[Deine Node-IP] 255.255.255.[Deine Netzmaske]' <- Trage hier die Werte ein, die Dir über das Marvin-Frontend zugewiesen wurden. Beachte die Subnetzmaske! (193.238.15x.x:  255.255.252.0, sonst 255.255.255.0)
management 127.0.0.1 31194 <- darüber plaudert luci mit openvpn

alternative Konfigurationsmethode über die Shell

Ganz eilige Backfire Vienna 4.0-User, die mit der Shell schneller sind, können die Informationen direkt in die Datei /etc/config/openvpn eintragen:


config openvpn 'to_krypta'
        option remote '78.41.115.228'
        option keepalive '10 30'
        option enable '1'
        option verb '3'
        option dev 'tap0'
        option fast_io '1'
        option port '50[Portnummer laut [http://tunnel.tunnel.wien.funkfeuer.at/openvpn.php]]'
        option ifconfig '[Frontend-Tunnel-IP] 255.255.25[je nach zugewiesener IP]'
        option enabled '1'
        option nobind '1'
        option comp_lzo '1'
        option ifconfig_noexec '1'
        option ifconfig_nowarn '1'
        option persist_tun '1'
        option persist_local_ip '1'
        option persist_remote_ip '1'
        option remote_random '0'
        option proto 'udp'
        option up_delay '5'
        option float '1'
        option dev_type 'tap'

Alt:

config openvpn 'to_krypta'                                                      
        option remote '78.41.115.228'                                                                                        
        option dev_type 'tap'                                                   
        option enable '1'                                                       
        option verb '3'                                                         
        option dev 'tap0'                                                       
        option fast_io '1'                                                     
        option port '[Dein Tunnel-Port]'                                                      
        option ifconfig '[Deine Node-IP] [Deine Netzmaske in x.x.x.x-Notation]'                            
        option enabled '1'                                                      
        option nobind '1'                                                       
        option comp_lzo '1'  #bitte bei der Einrichtung des Tunnels nachfragen ob Kompression wirklich aktiv!                                                  
        option tun_ipv6 '1'                                                                                           
        option proto 'udp'                                                      
        option up_delay '10'                                                                  

Wer über die Konsole gearbeitet hat, kann den folgenden Eintrag überspringen.

Aktivieren der Konfiguration über LuCI

Diejenigen, die über Luci gearbeitet haben, sollten nach "Anwenden und speichern" zurück zur "Übersicht" gehen und das Häkchen in der Spalte "aktivieren" und in der Zeile "0xff" setzen.

Testen der Konfiguration

Über "starten" kann man jetzt versuchen OpenVPN zu starten. Erscheint ein rotes "x", ist man jetzt mit dem Tunnelserver verbunden.

Ping auf internes default Gateway. Bei ADSL zb Ping 10.0.0.1 (falls keine Antwort, fehlt die Route zum Gateway. Händisch unter Routes eintragen)

Ping auf den Tunnelserver. Ping 78.41.115.228

Unter OLSR Nachbarn steht noch kein Nachbar, da OLSR am Tunnelinterface tap0 noch nicht aktivert ist.

OpenVPN automatisch starten

... das sollte der Router dann eigentlich bei jedem Neustart machen, es ist aber von Haus aus noch nicht so eingestellt. Unter "System", "Systemstart" kann man das in der Spalte "Deaktivieren/Aktivieren" in der Zeile, in der in der zweiten Spalte "openvpn" steht, durch einen Klick auf das rote "(x)" nachholen. OpenVPN wird jetzt alle aktivierten Profile, die wir vorher erstellt haben, beim Start des Routers aufrufen und die Verbindungen aufbauen.

OLSR für Tunnel aktivieren

Über "Dienste", "OLSR" kann man jetzt den Tunnel mit OLSR "beschalten": Am Ende der Seite im Bereich "Schnittstellen" wird ein Eintrag vom Typ "ether" benötigt, der mit dem Tunnel namens "tap0" verbunden wird. Fehlt der Eintrag, kann er mit dem grünen Plus "Hinzufügen" erstellt werden, sonst empfiehlt sich das Editieren über das Bleistift-Symbol am rechten Ende der Zeile. Die folgende Maske ist im Wesentlichen selbsterklärend. Vorsichtige Zeitgenossen können in der Unterseite "IP-Adressen" im Feld "IPv4 Quelladresse" hier diesselbe Tunnel-IP-Adresse wie vorhin (siehe Marvin/Frontend) eintragen und mit "Speichern & Anwenden" die Maske verlassen.

OLSR am WLAN

Wenn wir schon dabei sind und der andere Eintrag noch fehlt, können wir das WLAN-Interface im Ad-Hoc-Mode hier auch gleich hinzufügen - freilich sollte das WLAN dafür zuvor gemäß der Anleitung Kanalwahl und 0xFF-Backfire_Vienna#3._WLAN-Einstellungen bereits angelegt sein. Für das OLSR-Wlan-Interface wählen wir als Modus "mesh" aus. Bei der IP-Adresse stellen wir die IP-Adresse ein, die wir im Marvin-Frontend für unser WLAN zugewiesen bekommen haben. Nach einem Klick auf "Speichern & Anwenden" sind wir an sich fertig.

Sonstiges

Wer jetzt noch die Firewall anpassen will, kann das gemäß 0xFF-Backfire_Vienna#5._Firewall machen.

Anzuempfehlen wäre jetzt noch, den Standard-Gateway, den wir im ersten Schritt angelegt haben, wieder zu entfernen und an seiner statt über "Netzwerk", "Statische Routen" nur die Route zum Tunnelserver selbst anzulegen. Damit wird gewährleistet, dass der Netzwerkverkehr jedenfalls über den Tunnelserver läuft. Am Breitbandrouter könnte man nun den Zugang des Funkfeuer-Routers so einschränken, dass dieser nur zum Tunnelserver verbinden darf. Zu Bedenken ist, dass der Server dann immer noch im internen Netz hängt. Wer sich gegen Fehlkonfigurationen absichern will, sollte vielleicht den Einsatz einer zusätzlichen Firewall oder eines anderen Heimrouters mit Firewall vor dem, Router in Erwägung ziehen.

Nach einem Neustart sind wir mit dem Tunnel verbunden und sendet via WLAN das 0xff-Signal aus.

Gratulation und Willkommen im Netz!


zurück zu wiki_funkfeuer_at
< Startseite > < Backfire-Vienna > < Standards > < Installation > < Weiterführendes > < Aktivitäten > < Index >

<google>WIKI</google>