Tunnel Setup - Backfire Vienna 2.0
Erster Entwurf für eine Anleitung ' Fehler vorbehalten - noch nicht offiziell freigegeben Funkinsel mit Backfire Vienna 2.0
Variante: Funkinsel hinter Provider-Router am internen Netz
Inhaltsverzeichnis
Erste Schritte
IP-Adressen beantragen
Für den Tunnel in dieser Konfiguration benötigen wir (zumindest) zwei IP-Adressen. Eine für den Tunnel und eine für das WLAN-Interface. Diese sind im Frontend, wohl am besten als zwei separate Devices einzurichten, auch wenn sie auf demselben Router verwendet werden.
Tunnelport anfordern
Die IP-Adresse, die für den Tunnel verwendet werden soll, solltest Du an discuss@lists.funkfeuer.at schicken, und zwar mit der Bitte um Einrichtung eines Tunnelports, den Du später unbedingt benötigst.
OpenVPN installieren
In den Standard-Images der Backfire Vienna 2.0 ist kein OpenVPN installiert. Es ist daher notwendig, ein frisch aufgesetzes Gerät mit Backfire Vienna 2.0 zunächst an einem bestehenden internen Netzwerk anzuschließen, um Pakete herunterzuladen.
Installieren direkt aus dem Netz
Verbinden mit dem Heimnetz
In der Regel wird der Router auf 192.168.1.1 erreichbar sein. Sollte das Heimnetz dasselbe Netz nutzen, genügt es im Webinterface http://192.168.1.1 unter "Netzwerk", "Schnittstellen", "LAN" zunächst einen Gateway und einen DNS-Server einzutragen. Leicht zu merken sind die Google-Nameserver "8.8.8.8" und "8.8.4.4". Nach einem Klick auf "Speichern und anwenden" ist der Router provisorisch im Netz.
Herunterladen und Installieren von Paketen
Unter "System", "Paketverwaltung" wäre zunächst ein Klick auf "Update lists" erforderlich um die nötigen Informationen über verfügbare Pakete zu erhalten. Wenn das erledigt ist, genügt eine Suche nach "luci-app-openvpn". Wird dieses Paket anschließend zur Installation ausgewählt, werden die anderen erforderlichen Pakete gleich mitinstalliert.
Händisches Installieren
Die nötigen Pakete finden sich unter oe1xrw Trunk im Verzeichnis der jeweiligen Plattform (siehe auch "Status", "Übersicht") im Unterverzeichnis "packages". Sie können einzeln heruntergeladen und anschließend mit scp oder winscp in das Verzeichnis "/tmp" gespielt werden. Über eine Shell (Gnome-Terminal, Xterm, [www.chiark.greenend.org.uk/~sgtatham/putty/ Putty], ö.ä.) sodann mittels opkg install /tmp/paketname.opkg installiert werden. Wenn ein Paket fehlt, wird opkg sich darüber lautstark beschwerden,... man wiederhole die obigen Schritte bis das Ziel erreicht ist. Beginne jedenfalls mit openvpn und luci-app-openvpn.)
Einrichten von OpenVPN via LuCI
Spätestens nach einem Neustart des Gerätes über "System", "Neustart", "Router neu starten" ist "OpenVPN" im Menü unter "Dienste verfügbar".
Dort kann man gleich einmal 0xff eintippen. Daneben sollte "Client configuration for ethernet bridge" ausgewählt sein. Ein Klick auf "Hinzufügen" legt unsere Konfiguration an.
Leerkonfiguration ausmisten
Jetzt sollten wir unnötigen Ballast abwerfen. Lass Dich nicht verunsichern, wenn eine Option nicht gleich aufscheint, Du kannst neue Optionen hinzufügen. Leere Felder werden beim Speicher wieder gelöscht. Der Link "Erweiterte Konfiguration" macht die restlichen Einträge sichtbar. Wir benötigen nur die folgenden Informationen. Andere Optionen werden womöglich den Start von OpenVPN verhindern.:
notwendige Einträge
lzo Kompression <- Hakerl remote 78.41.115.228 <- das ist der Tunnelserver port' '[Dein Port]' <- dieser Port wird Dir auf Anfrage über discuss@lists.funkfeuer.at zugewiesen proto' 'udp' keepalive' '20 120' <- Die Standardwerte sind 10 60, man kann das variieren... dev_type' 'tap' <- Das ist wichtig: tap agiert wie eine Bridge, während tun nur höhere Netzwerkebenen weiterleitet. Für OLSR ist tap besser geeignet. verbose 3 <- Fehlermeldungen, die openvpn ausgibt, sind auf der Konsole mittels logread, im Webinterface mittels 'System', 'Systemprotokoll' zu erhalten. Das hilft bei der Fehlersuche. dev tap0 <- das ist der Name unseres Devices. Es wird beim Start von Openvpn angelegt. nobind <- Hakerl fast_io <- Hakerl (beschleunigt den Tunnel ein wenig). ifconfig' '[Deine Node-IP] 255.255.255.[Deine Netzmaske]' <- Trage hier die Werte ein, die Dir über das Marvin-Frontend zugewiesen wurden. Beachte die Subnetzmaske! (193.238.15x.x: 255.255.252.0, sonst 255.255.255.0) management 127.0.0.1 31194 <- darüber plaudert luci mit openvpn
alternative Konfigurationsmethode über die Shell
Ganz eilige Backfire Vienna 2.0-User, die mit der Shell schneller sind, können die Informationen direkt in die Datei /etc/config/openvpn eintragen:
config 'openvpn' '0xff'
option 'comp_lzo' '1' option 'remote' '78.41.115.228' option 'port' '[Dein Port]' option 'proto' 'udp' option 'keepalive' '20 120' option 'dev_type' 'tap' option 'enable' '1' option 'verb' '3' option 'dev' 'tap0' option 'nobind' '1' option 'fast_io' '1' option 'ifconfig' '78.41.112.[Deine Node-IP] 255.255.255.[Deine Netzmaske]' option 'management' '127.0.0.1 31194'
Wer über die Konsole gearbeitet hat, kann den folgenden Eintrag überspringen.
Aktivieren der Konfiguration über LuCI
Diejenigen, die über Luci gearbeitet haben, sollten nach "Anwenden und speichern" zurück zur "Übersicht" gehen und das Häkchen in der Spalte "aktivieren" und in der Zeile "0xff" setzen.
Testen der Konfiguration
Über "starten" kann man jetzt versuchen OpenVPN zu starten. Erscheint ein rotes "x", ist man jetzt mit dem Tunnelserver verbunden.
OpenVPN automatisch starten
... das sollte der Router dann eigentlich bei jedem Neustart machen, es ist aber von Haus aus noch nicht so eingestellt. Unter "System", "Systemstart" kann man das in der Spalte "Deaktivieren/Aktivieren" in der Zeile, in der in der zweiten Spalte "openvpn" steht, durch einen Klick auf das rote "X" nachholen. OpenVPN wird jetzt alle aktivierten Profile, die wir vorher erstellt haben, beim Start des Routers aufrufen und die Verbindungen aufbauen.
OLSR für Tunnel aktivieren
Über "Dienste", "OLSR" kann man jetzt den Tunnel mit OLSR "beschalten": Am Ende der Seite im Bereich "Schnittstellen" wird ein Eintrag vom Typ "ether" benötigt, der mit dem Tunnel namens "tap0" verbunden wird. Fehlt der Eintrag, kann er mit dem grünen Plus "Hinzufügen" erstellt werden, sonst empfiehlt sich das Editieren über das Bleistift-Symbol am rechten Ende der Zeile. Die folgende Maske ist im Wesentlichen selbsterklärend. Vorsichtige Zeitgenossen können in der Unterseite "IP-Adressen" im Feld "IPv4 Quelladresse" hier diesselbe Tunnel-IP-Adresse wie vorhin (siehe Marvin/Frontend) eintragen und mit "Speichern & Anwenden" die Maske verlassen.
OLSR am WLAN
Wenn wir schon dabei sind und der andere Eintrag noch fehlt, können wir das WLAN-Interface im Ad-Hoc-Mode hier auch gleich hinzufügen - freilich sollte das WLAN dafür zuvor gemäß der Anleitung Kanalwahl und 0xFF-Backfire_Vienna#3._WLAN-Einstellungen bereits angelegt sein. Für das OLSR-Wlan-Interface wählen wir als Modus "mesh" aus. Bei der IP-Adresse stellen wir die IP-Adresse ein, die wir im Marvin-Frontend für unser WLAN zugewiesen bekommen haben. Nach einem Klick auf "Speichern & Anwenden" sind wir an sich fertig.
Sonstiges
Wer jetzt noch die Firewall anpassen will, kann das gemäß 0xFF-Backfire_Vienna#5._Firewall machen.
Anzuempfehlen wäre jetzt noch, den Standard-Gateway, den wir im ersten Schritt angelegt haben, zu entfernen und an seiner statt über "Netzwerk", "Statische Routen" nur die Route zum Tunnelserver selbst anzulegen. Damit wird gewährleistet, dass der Netzwerkverkehr jedenfalls über den Tunnelserver läuft. Am Breitbandrouter könnte man nun den Zugang des Funkfeuer-Routers so einschränken, dass dieser nur zum Tunnelserver verbinden darf. Zu Bedenken ist, dass der Server dann immer noch im internen Netz hängt. Wer sich gegen Fehlkonfigurationen absichern will, sollte vielleicht den Einsatz einer zusätzlichen Firewall oder eines anderen Heimrouters mit Firewall vor dem, Router in Erwägung ziehen.
Nach einem Neustart sind wir mit dem Tunnel verbunden und strahlen via WLAN das 0xff-Signal aus.
Gratulation und Willkommen im Netz!