Tunnel zwischen zwei Knoten: Unterschied zwischen den Versionen

Aus FunkFeuer Wiki
Wechseln zu: Navigation, Suche
K (Zielsetzung)
K (TODO)
 
(8 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 3: Zeile 3:
 
== Zielsetzung ==
 
== Zielsetzung ==
  
Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden Subnetzten ermöglichen
+
Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden Subnetzen ermöglichen
  
 
== Ausgangssituation ==
 
== Ausgangssituation ==
Zeile 10: Zeile 10:
  
 
* Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet.
 
* Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet.
* Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist  193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client erhält seine Adresse per DHCP.
+
* Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist  193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client hat die IP-Adresse 192.168.1.129 .
  
 
== Voraussetzungen ==
 
== Voraussetzungen ==
  
Auf den beiden Linksysen sind folgende Pakete zu installieren:
+
Auf den beiden Linksysen ist folgendes Paket zu installieren:
* openvpn
+
* openvpn-nossl-nolzo
* freifunk-openwrt-compat
+
  
   Fortsetzung folgt...
+
   Es gibt auch Pakete mit Verschlüsselung bzw. Komprimierung,
 +
  die hab ich aber der Einfachheit halber noch nicht ausprobiert...
 +
 
 +
Das Paket installiert einige weitere, von denen es abhängt. Damit die neu installierten Module geladen werden, einfach neu starten.
 +
 
 +
== Konfiguration ==
 +
 
 +
Auf den beiden Rechnern jeweils eine Konfigurationsdatei mit Namen /etc/openvpn/openvpn.conf erstellen.
 +
 
 +
Auf dem Rechner 1 (z.B. wue5suedv1.funkfeuer.at) mit folgendem Inhalt:
 +
 
 +
  remote sie8omni.funkfeuer.at
 +
  dev tun
 +
  ifconfig 192.168.1.1 192.168.1.128 # zuerst die eigene intere IP, dann die der Gegenstelle
 +
  port 5000
 +
 
 +
Auf dem Rechner 2 (z.B. sie8omni.funkfeuer.at):
 +
 
 +
  remote wue5suedv1.funkfeuer.at
 +
  dev tun
 +
  ifconfig 192.168.1.128 192.168.1.1
 +
  port 5000
 +
 
 +
== VPN starten ==
 +
 
 +
Zuerst die Firewall ausschalten:
 +
 
 +
  /etc/init.d/S45firewall stop
 +
 
 +
Dann OpenVPN starten:
 +
 
 +
  openvpn /etc/openvpn/openvpn.conf
 +
 
 +
(das natürlich auf beiden Rechnern)
 +
 
 +
Die beiden Linksysen sind jetzt auf ihren internen IP-Adressen erreichbar
 +
 
 +
== TODO ==
 +
 
 +
* entsprechende Ports in der Firewall öffnen, statt sie auszuschalten
 +
* tun-routing
 +
* Routen auf den hinter den Linksysen liegenden PCs eintragen (z.B. route add 192.168.1.1 gw 192.168.1.128)
 +
* bzw Routen für die Netze auf den Linksysen eintragen
 +
* datacop: interessant wäre sicher auch noch, den tunnel zur eth-bridge hinzuzufügen, damit kann man sich das routing sparen
 +
 
 +
 
 +
[[Category:Dokumentation]]
 +
[[Category:VPN]]
 +
[[Category:HowTo]]
 +
[[Category:ToDo]]

Aktuelle Version vom 11. Februar 2009, 20:27 Uhr

Achtung: Ich arbeite erst an der Umsetzung der unten beschriebenen Idee. Diese Anleitung ist daher noch sehr unvollständig. Über jeden hilfreichen Hinweis zur richtigen weiteren Vorgehensweise bin ich deshalb sehr dankbar.

Zielsetzung

Zwei private Netzwerke, die jeweils an einem funkfeuer-Knoten hängen, sollen direkt miteinander kommunizieren können, als würden sie sich im selben privaten Subnetz befinden. Dies soll zum Beispiel Dateifreigaben zwischen den beiden Subnetzen ermöglichen

Ausgangssituation

Ich betreibe zwei Knoten - einen daheim, einen an meinem Arbeitsplatz. An jedem Knoten hängen einige wenige PCs, die per NAT den Weg ins Internet finden. Um diverse Kommunikation (Dateifreigaben etc.) zwischen den PCs der zwei Knoten zu ermöglichen, empfiehlt sich die Einrichtung eines virtuellen privaten Netzwerkes (VPN). Die Einrichtung eines solchen Site-to-Site-VPNs möchte ich hier dokumentieren.

  • Netz A hängt am Knoten wue5suedv1.funkfeuer.at (193.238.158.151). Intern werden die (fix eingestellten) IP-Adressen 192.168.1.1-4 verwendet.
  • Netz B hängt am Knoten sie8omni.funkfeuer.at (193.238.156.64 - zweite IP zur Verkabelung mit sie8towo9 ist 193.238.157.159 (sie8omnix.funkfeuer.at)). Intern wird die IP-Adresse 192.168.1.128 verwendet, der Client hat die IP-Adresse 192.168.1.129 .

Voraussetzungen

Auf den beiden Linksysen ist folgendes Paket zu installieren:

  • openvpn-nossl-nolzo
  Es gibt auch Pakete mit Verschlüsselung bzw. Komprimierung,
  die hab ich aber der Einfachheit halber noch nicht ausprobiert...

Das Paket installiert einige weitere, von denen es abhängt. Damit die neu installierten Module geladen werden, einfach neu starten.

Konfiguration

Auf den beiden Rechnern jeweils eine Konfigurationsdatei mit Namen /etc/openvpn/openvpn.conf erstellen.

Auf dem Rechner 1 (z.B. wue5suedv1.funkfeuer.at) mit folgendem Inhalt:

  remote sie8omni.funkfeuer.at
  dev tun
  ifconfig 192.168.1.1 192.168.1.128 # zuerst die eigene intere IP, dann die der Gegenstelle
  port 5000

Auf dem Rechner 2 (z.B. sie8omni.funkfeuer.at):

  remote wue5suedv1.funkfeuer.at
  dev tun
  ifconfig 192.168.1.128 192.168.1.1
  port 5000

VPN starten

Zuerst die Firewall ausschalten:

  /etc/init.d/S45firewall stop

Dann OpenVPN starten:

  openvpn /etc/openvpn/openvpn.conf

(das natürlich auf beiden Rechnern)

Die beiden Linksysen sind jetzt auf ihren internen IP-Adressen erreichbar

TODO

  • entsprechende Ports in der Firewall öffnen, statt sie auszuschalten
  • tun-routing
  • Routen auf den hinter den Linksysen liegenden PCs eintragen (z.B. route add 192.168.1.1 gw 192.168.1.128)
  • bzw Routen für die Netze auf den Linksysen eintragen
  • datacop: interessant wäre sicher auch noch, den tunnel zur eth-bridge hinzuzufügen, damit kann man sich das routing sparen