Tunnel zwischen zwei Knoten: Unterschied zwischen den Versionen
Gregor (Diskussion | Beiträge) K (→Zielsetzung) |
K (→TODO) |
||
(8 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
== Zielsetzung == | == Zielsetzung == | ||
− | Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden | + | Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden Subnetzen ermöglichen |
== Ausgangssituation == | == Ausgangssituation == | ||
Zeile 10: | Zeile 10: | ||
* Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet. | * Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet. | ||
− | * Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist 193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client | + | * Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist 193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client hat die IP-Adresse 192.168.1.129 . |
== Voraussetzungen == | == Voraussetzungen == | ||
− | Auf den beiden Linksysen | + | Auf den beiden Linksysen ist folgendes Paket zu installieren: |
− | * openvpn | + | * openvpn-nossl-nolzo |
− | + | ||
− | + | Es gibt auch Pakete mit Verschlüsselung bzw. Komprimierung, | |
+ | die hab ich aber der Einfachheit halber noch nicht ausprobiert... | ||
+ | |||
+ | Das Paket installiert einige weitere, von denen es abhängt. Damit die neu installierten Module geladen werden, einfach neu starten. | ||
+ | |||
+ | == Konfiguration == | ||
+ | |||
+ | Auf den beiden Rechnern jeweils eine Konfigurationsdatei mit Namen /etc/openvpn/openvpn.conf erstellen. | ||
+ | |||
+ | Auf dem Rechner 1 (z.B. wue5suedv1.funkfeuer.at) mit folgendem Inhalt: | ||
+ | |||
+ | remote sie8omni.funkfeuer.at | ||
+ | dev tun | ||
+ | ifconfig 192.168.1.1 192.168.1.128 # zuerst die eigene intere IP, dann die der Gegenstelle | ||
+ | port 5000 | ||
+ | |||
+ | Auf dem Rechner 2 (z.B. sie8omni.funkfeuer.at): | ||
+ | |||
+ | remote wue5suedv1.funkfeuer.at | ||
+ | dev tun | ||
+ | ifconfig 192.168.1.128 192.168.1.1 | ||
+ | port 5000 | ||
+ | |||
+ | == VPN starten == | ||
+ | |||
+ | Zuerst die Firewall ausschalten: | ||
+ | |||
+ | /etc/init.d/S45firewall stop | ||
+ | |||
+ | Dann OpenVPN starten: | ||
+ | |||
+ | openvpn /etc/openvpn/openvpn.conf | ||
+ | |||
+ | (das natürlich auf beiden Rechnern) | ||
+ | |||
+ | Die beiden Linksysen sind jetzt auf ihren internen IP-Adressen erreichbar | ||
+ | |||
+ | == TODO == | ||
+ | |||
+ | * entsprechende Ports in der Firewall öffnen, statt sie auszuschalten | ||
+ | * tun-routing | ||
+ | * Routen auf den hinter den Linksysen liegenden PCs eintragen (z.B. route add 192.168.1.1 gw 192.168.1.128) | ||
+ | * bzw Routen für die Netze auf den Linksysen eintragen | ||
+ | * datacop: interessant wäre sicher auch noch, den tunnel zur eth-bridge hinzuzufügen, damit kann man sich das routing sparen | ||
+ | |||
+ | |||
+ | [[Category:Dokumentation]] | ||
+ | [[Category:VPN]] | ||
+ | [[Category:HowTo]] | ||
+ | [[Category:ToDo]] |
Aktuelle Version vom 11. Februar 2009, 20:27 Uhr
Achtung: Ich arbeite erst an der Umsetzung der unten beschriebenen Idee. Diese Anleitung ist daher noch sehr unvollständig. Über jeden hilfreichen Hinweis zur richtigen weiteren Vorgehensweise bin ich deshalb sehr dankbar.
Inhaltsverzeichnis
Zielsetzung
Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden Subnetzen ermöglichen
Ausgangssituation
Ich betreibe zwei Knoten - einen daheim, einen an meinem Arbeitsplatz. An jedem Knoten hängen einige wenige PCs, die per NAT den Weg ins Internet finden. Um diverse Kommunikation (Dateifreigaben etc.) zwischen den PCs der zwei Knoten zu ermöglichen, empfiehlt sich die Einrichtung eines virtuellen privaten Netzwerkes (VPN). Die Einrichtung eines solchen Site-to-Site-VPNs möchte ich hier dokumentieren.
- Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet.
- Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist 193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client hat die IP-Adresse 192.168.1.129 .
Voraussetzungen
Auf den beiden Linksysen ist folgendes Paket zu installieren:
- openvpn-nossl-nolzo
Es gibt auch Pakete mit Verschlüsselung bzw. Komprimierung, die hab ich aber der Einfachheit halber noch nicht ausprobiert...
Das Paket installiert einige weitere, von denen es abhängt. Damit die neu installierten Module geladen werden, einfach neu starten.
Konfiguration
Auf den beiden Rechnern jeweils eine Konfigurationsdatei mit Namen /etc/openvpn/openvpn.conf erstellen.
Auf dem Rechner 1 (z.B. wue5suedv1.funkfeuer.at) mit folgendem Inhalt:
remote sie8omni.funkfeuer.at dev tun ifconfig 192.168.1.1 192.168.1.128 # zuerst die eigene intere IP, dann die der Gegenstelle port 5000
Auf dem Rechner 2 (z.B. sie8omni.funkfeuer.at):
remote wue5suedv1.funkfeuer.at dev tun ifconfig 192.168.1.128 192.168.1.1 port 5000
VPN starten
Zuerst die Firewall ausschalten:
/etc/init.d/S45firewall stop
Dann OpenVPN starten:
openvpn /etc/openvpn/openvpn.conf
(das natürlich auf beiden Rechnern)
Die beiden Linksysen sind jetzt auf ihren internen IP-Adressen erreichbar
TODO
- entsprechende Ports in der Firewall öffnen, statt sie auszuschalten
- tun-routing
- Routen auf den hinter den Linksysen liegenden PCs eintragen (z.B. route add 192.168.1.1 gw 192.168.1.128)
- bzw Routen für die Netze auf den Linksysen eintragen
- datacop: interessant wäre sicher auch noch, den tunnel zur eth-bridge hinzuzufügen, damit kann man sich das routing sparen