Tunnel Setup - Backfire Vienna 2.0

Aus FunkFeuer Wiki
Wechseln zu: Navigation, Suche

Erster Entwurf für eine Anleitung ' Fehler vorbehalten - noch nicht offiziell freigegeben Funkinsel mit Backfire Vienna 2.0

Variante: Funkinsel hinter Provider-Router am internen Netz

Erste Schritte

IP-Adressen beantragen

Für den Tunnel in dieser Konfiguration benötigen wir (zumindest) zwei IP-Adressen. Eine für den Tunnel und eine für das WLAN-Interface. Diese sind im Frontend, wohl am besten als zwei separate Devices einzurichten, auch wenn sie auf demselben Router verwendet werden.

Tunnelport anfordern

Die IP-Adresse, die für den Tunnel verwendet werden soll, solltest Du an discuss@lists.funkfeuer.at schicken, und zwar mit der Bitte um Einrichtung eines Tunnelports, den Du später unbedingt benötigst.

OpenVPN installieren

In den Standard-Images der Backfire Vienna 2.0 ist kein OpenVPN installiert. Es ist daher notwendig, ein frisch aufgesetzes Gerät mit Backfire Vienna 2.0 zunächst an einem bestehenden internen Netzwerk anzuschließen, um Pakete herunterzuladen.

Installieren direkt aus dem Netz

Verbinden mit dem Heimnetz

In der Regel wird der Router auf 192.168.1.1 erreichbar sein. Sollte das Heimnetz dasselbe Netz nutzen, genügt es im Webinterface http://192.168.1.1 unter "Netzwerk", "Schnittstellen", "LAN" zunächst einen Gateway und einen DNS-Server einzutragen. Leicht zu merken sind die Google-Nameserver "8.8.8.8" und "8.8.4.4". Nach einem Klick auf "Speichern und anwenden" ist der Router provisorisch im Netz.

Herunterladen und Installieren von Paketen

Unter "System", "Paketverwaltung" wäre zunächst ein Klick auf "Update lists" erforderlich um die nötigen Informationen über verfügbare Pakete zu erhalten. Wenn das erledigt ist, genügt eine Suche nach "luci-app-openvpn". Wird dieses Paket anschließend zur Installation ausgewählt, werden die anderen erforderlichen Pakete gleich mitinstalliert.

Händisches Installieren

Die nötigen Pakete finden sich unter oe1xrw Trunk im Verzeichnis der jeweiligen Plattform (siehe auch "Status", "Übersicht") im Unterverzeichnis "packages". Sie können einzeln heruntergeladen und anschließend mit scp oder winscp in das Verzeichnis "/tmp" gespielt werden. Über eine Shell (Gnome-Terminal, Xterm, Putty, ö.ä.) sodann mittels opkg install /tmp/paketname.opkg installiert werden. Wenn ein Paket fehlt, wird opkg sich darüber lautstark beschwerden,... man wiederhole die obigen Schritte bis das Ziel erreicht ist. Beginne jedenfalls mit openvpn und luci-app-openvpn.)

Einrichten von OpenVPN via LuCI

Spätestens nach einem Neustart des Gerätes über "System", "Neustart", "Router neu starten" ist "OpenVPN" im Menü unter "Dienste verfügbar".

Dort kann man gleich einmal 0xff eintippen. Daneben sollte "Client configuration for ethernet bridge" ausgewählt sein. Ein Klick auf "Hinzufügen" legt unsere Konfiguration an.

Leerkonfiguration ausmisten

Jetzt sollten wir unnötigen Ballast abwerfen. Lass Dich nicht verunsichern, wenn eine Option nicht gleich aufscheint, Du kannst neue Optionen hinzufügen. Leere Felder werden beim Speicher wieder gelöscht. Der Link "Erweiterte Konfiguration" macht die restlichen Einträge sichtbar. Wir benötigen nur die folgenden Informationen. Andere Optionen werden womöglich den Start von OpenVPN verhindern.:

notwendige Einträge

lzo Kompression <- Hakerl remote 78.41.115.228 <- das ist der Tunnelserver port' '[Dein Port]' <- dieser Port wird Dir auf Anfrage über discuss@lists.funkfeuer.at zugewiesen proto' 'udp' keepalive' '20 120' <- Die Standardwerte sind 10 60, man kann das variieren... dev_type' 'tap' <- Das ist wichtig: tap agiert wie eine Bridge, während tun nur höhere Netzwerkebenen weiterleitet. Für OLSR ist tap besser geeignet. verbose 3 <- Fehlermeldungen, die openvpn ausgibt, sind auf der Konsole mittels logread, im Webinterface mittels 'System', 'Systemprotokoll' zu erhalten. Das hilft bei der Fehlersuche. dev tap0 <- das ist der Name unseres Devices. Es wird beim Start von Openvpn angelegt. nobind <- Hakerl fast_io <- Hakerl (beschleunigt den Tunnel ein wenig). ifconfig' '[Deine Node-IP] 255.255.255.[Deine Netzmaske]' <- Trage hier die Werte ein, die Dir über das Marvin-Frontend zugewiesen wurden. Beachte die Subnetzmaske! (193.238.15x.x: 255.255.252.0, sonst 255.255.255.0) management 127.0.0.1 31194 <- darüber plaudert luci mit openvpn

alternative Konfigurationsmethode über die Shell

Ganz eilige Backfire Vienna 2.0-User, die mit der Shell schneller sind, können die Informationen direkt in die Datei /etc/config/openvpn eintragen:

config 'openvpn' '0xff'

   option 'comp_lzo' '1'
   option 'remote' '78.41.115.228'
   option 'port' '[Dein Port]'
   option 'proto' 'udp'
   option 'keepalive' '20 120'
   option 'dev_type' 'tap'
   option 'enable' '1'
   option 'verb' '3'
   option 'dev' 'tap0'
   option 'nobind' '1'
   option 'fast_io' '1'
   option 'ifconfig' '78.41.112.[Deine Node-IP] 255.255.255.[Deine Netzmaske]'
   option 'management' '127.0.0.1 31194'

Wer über die Konsole gearbeitet hat, kann den folgenden Eintrag überspringen.

Aktivieren der Konfiguration über LuCI

Diejenigen, die über Luci gearbeitet haben, sollten nach "Anwenden und speichern" zurück zur "Übersicht" gehen und das Häkchen in der Spalte "aktivieren" und in der Zeile "0xff" setzen.

Testen der Konfiguration

Über "starten" kann man jetzt versuchen OpenVPN zu starten. Erscheint ein rotes "x", ist man jetzt mit dem Tunnelserver verbunden.

OpenVPN automatisch starten

... das sollte der Router dann eigentlich bei jedem Neustart machen, es ist aber von Haus aus noch nicht so eingestellt. Unter "System", "Systemstart" kann man das in der Spalte "Deaktivieren/Aktivieren" in der Zeile, in der in der zweiten Spalte "openvpn" steht, durch einen Klick auf das rote "X" nachholen. OpenVPN wird jetzt alle aktivierten Profile, die wir vorher erstellt haben, beim Start des Routers aufrufen und die Verbindungen aufbauen.

OLSR für Tunnel aktivieren

Über "Dienste", "OLSR" kann man jetzt den Tunnel mit OLSR "beschalten": Am Ende der Seite im Bereich "Schnittstellen" wird ein Eintrag vom Typ "ether" benötigt, der mit dem Tunnel namens "tap0" verbunden wird. Fehlt der Eintrag, kann er mit dem grünen Plus "Hinzufügen" erstellt werden, sonst empfiehlt sich das Editieren über das Bleistift-Symbol am rechten Ende der Zeile. Die folgende Maske ist im Wesentlichen selbsterklärend. Vorsichtige Zeitgenossen können in der Unterseite "IP-Adressen" im Feld "IPv4 Quelladresse" hier diesselbe Tunnel-IP-Adresse wie vorhin (siehe Marvin/Frontend) eintragen und mit "Speichern & Anwenden" die Maske verlassen.

OLSR am WLAN

Wenn wir schon dabei sind und der andere Eintrag noch fehlt, können wir das WLAN-Interface im Ad-Hoc-Mode hier auch gleich hinzufügen - freilich sollte das WLAN dafür zuvor gemäß der Anleitung Kanalwahl und 0xFF-Backfire_Vienna#3._WLAN-Einstellungen bereits angelegt sein. Für das OLSR-Wlan-Interface wählen wir als Modus "mesh" aus. Bei der IP-Adresse stellen wir die IP-Adresse ein, die wir im Marvin-Frontend für unser WLAN zugewiesen bekommen haben. Nach einem Klick auf "Speichern & Anwenden" sind wir an sich fertig.

Sonstiges

Wer jetzt noch die Firewall anpassen will, kann das gemäß 0xFF-Backfire_Vienna#5._Firewall machen.

Anzuempfehlen wäre jetzt noch, den Standard-Gateway, den wir im ersten Schritt angelegt haben, wieder zu entfernen und an seiner statt über "Netzwerk", "Statische Routen" nur die Route zum Tunnelserver selbst anzulegen. Damit wird gewährleistet, dass der Netzwerkverkehr jedenfalls über den Tunnelserver läuft. Am Breitbandrouter könnte man nun den Zugang des Funkfeuer-Routers so einschränken, dass dieser nur zum Tunnelserver verbinden darf. Zu Bedenken ist, dass der Server dann immer noch im internen Netz hängt. Wer sich gegen Fehlkonfigurationen absichern will, sollte vielleicht den Einsatz einer zusätzlichen Firewall oder eines anderen Heimrouters mit Firewall vor dem, Router in Erwägung ziehen.

Nach einem Neustart sind wir mit dem Tunnel verbunden und strahlen via WLAN das 0xff-Signal aus.

Gratulation und Willkommen im Netz!