|
|
(56 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| {{Entwurf}}
| | '''Veraltet!''' |
| | |
| | '''Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!''' |
| | |
| __TOC__ | | __TOC__ |
| | |
| | |
|
| |
|
| Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei. | | Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei. |
| Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert. | | Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert. |
|
| |
|
| Vorteile: *Weniger CPU Last auf den Gateway Servern und den Routern | | Vorteile: |
|
| |
|
| | Weniger CPU Last auf den Gateway Servern und den Routern. |
| | Mehr Durchsatz durch die Tunnel. |
| | |
| | Nachteile: |
| | |
| | Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic. |
|
| |
|
|
| |
|
Zeile 17: |
Zeile 28: |
| '''Am Router muss nichts konfiguriert werden!''' | | '''Am Router muss nichts konfiguriert werden!''' |
|
| |
|
| | =Am Gateway (KeyXchangev2!!)= |
|
| |
|
| Wie man den Tunneldigger in die Firmware einbaut, findest du [[Neues_Paket_in_Firmware_aufnehmen|hier]]
| |
|
| |
| =Am Gateway=
| |
| So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht. | | So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht. |
|
| |
|
Zeile 27: |
Zeile 36: |
| '''Nötige Pakete holen:''' | | '''Nötige Pakete holen:''' |
|
| |
|
| sudo apt-get install iproute bridge-utils libnetfilter-conntrack3 python-dev libevent-dev ebtables python-virtualenv apache2 | | apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv |
| | apache2 |
|
| |
|
|
| |
|
Zeile 38: |
Zeile 48: |
| l2tp_netlink | | l2tp_netlink |
|
| |
|
| | Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch. |
|
| |
|
| ===Installation:===
| | modprobe l2tp_core |
| | modprobe l2tp_eth |
| | modprobe l2tp_netlink |
|
| |
|
| mkdir /srv/tunneldigger <br />
| | ==Installation:== |
| cd /srv/tunneldigger <br />
| |
| virtualenv env_tunneldigger <br />
| |
| git clone https://github.com/wlanslovenija/tunneldigger.git <br />
| |
| . env_tunneldigger/bin/activate <br />
| |
| pip install -r tunneldigger/broker/requirements.txt <br />
| |
|
| |
|
| | Eine Installationsanleitung findet man hier: |
|
| |
|
| ===Konfiguration:===
| | https://tunneldigger.readthedocs.io/en/latest/server.html |
|
| |
|
| Um die Konfiguration zu erleichtern gibt es hier ein Skript:
| |
|
| |
|
| wget 78.47.36.148/tunneldigger/mk-fff-broker-conf.sh
| | Es gibt auch eine angepasste Version des Brokers für die fff-Gateways. |
|
| |
|
| | '''Hierfür die Anleitung:''' |
|
| |
|
| Öffnen, Daten eintragen, laufen lassen, fertig.
| | mkdir /srv/tunneldigger |
| | cd /srv/tunneldigger |
| | virtualenv env_tunneldigger |
| | git clone https://github.com/rohammer/tunneldigger.git |
| | source env_tunneldigger/bin/activate |
| | cd /srv/tunneldigger/tunneldigger/broker |
| | python setup.py install |
|
| |
|
| '''Anmerkung: Der hoodname darf maximal 8 Zeichen lang sein!!'''
| |
|
| |
|
| Das kann man jetzt mehrfach machen mit unterschiedlichen Konfigurationen für verschiedene Hoods.
| | ==Konfiguration:== |
|
| |
|
| ===Den Routern mitteilen, dass wir l2tp anbieten===
| | Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei. |
|
| |
|
| '''Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!'''
| | Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/ |
|
| |
|
| Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen
| | mkdir /etc/tunneldigger |
| | cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg |
|
| |
|
| echo l2tp > vpn.txt
| | In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend. |
|
| |
|
| Danach verbinden sich die Router mit obiger Firmware via l2tp.
| | ==Start einrichten== |
|
| |
|
| | Wir legen für jede Hood eine systemd unit Datei an: |
|
| |
|
| ===Kontrolle===
| | Z.B. /etc/systemd/system/td-broker-hood.service |
|
| |
|
| - über ''systemctl status tunneldigger-broker-xxx.service'' kann man den Status erfragen.
| | [Unit] |
| | | Description=tunneldigger tunnelling network daemon using l2tpv3 |
| - mit ''ip link'' sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.
| | After=network.target auditd.service |
| | |
| - mit ''ip l2tp show tunnel'' sieht man die einzelnen Tunnel
| |
| | |
| - mit ''ip l2tp show session'' die entsprechenden Devices
| |
| | |
| - der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: ''iptables -L -t nat''
| |
| | |
| - mit ''journalctl -f -u tunneldigger-broker-XXXX.service'' (Tabtaste hilft) kann man das Logging verfolgen
| |
| | |
| ==Broker für eine Hood wieder los werden==
| |
| | |
| Beispielhood: hawaii
| |
| | |
| Service stoppen: (Tipp: Tab-Taste)
| |
| systemctl stop tunneldigger-broker-hawaii.service
| |
| | |
| Service ausschalten:
| |
| systemctl disable tunneldigger-broker-hawaii.service
| |
| | |
| Wenn man die ganze Konfiguration weg haben will, geht es weiter.
| |
| | |
| Unit löschen: | |
| rm /etc/systemd/system/tunneldigger-broker-hawaii.service | |
| | |
| systemd davon in Kenntnis setzen:
| |
| systemctl daemon-reload
| |
| | |
| Konfigdateien löschen:
| |
| find /srv/tunneldigger/tunneldigger -name '*hawaii.*' -exec rm \{\} \;
| |
| | |
| ==Hintergrund==
| |
| Die ersten Tests haben gezeigt, dass Batman es nicht mag, wenn Interfaces kommen und gehen. Wir können also die L2-Tunnel nicht direkt an Batman hängen.
| |
| | |
| Die Slovenen schreiben:
| |
| | |
| ''Example hook scripts present in the scripts/ subdirectory are set up to create one bridge device per MTU and attach L2TP interfaces to these bridges. They also configure a default IP address to newly created tunnels, set up ebtables to isolate bridge ports and update the routing policy via ip rule so traffic from these interfaces is routed via the mesh routing table.''
| |
| ''Each tunnel established with the broker will create its own interface. Because we are using OLSRv1, we cannot dynamically add interfaces to it, so we group tunnel interfaces into bridges.''
| |
| ''We could put all tunnel interfaces into the same bridge, but this would actually create a performance problem. Different tunnels can have different MTU values -- but there is only one MTU value for the bridge, the minimum of all interfaces that are attached to that bridge. To avoid this problem, we create multiple bridges, one for each MTU value -- this is what the example scripts do.''
| |
| ''We also configure some ip policy rules to ensure that traffic coming in from the bridges gets routed via our mesh routing table and not the main one (see bridge_functions.sh). Traffic between bridge ports is not forwarded (this is achieved via ebtables), otherwise the routing daemons at the nodes would think that all of them are directly connected -- which would cause them to incorrectly see a very large 1-hop neighbourhood. This file also contains broker-side IP configuration for the bridge which should really be changed.''
| |
| | |
| Ähnliche Probleme hatten die mit OLSR.
| |
| Also haben wir mal die Config deren Vorschlägen angepasst.
| |
| | |
| Es wird für jede MTU die ankommt eine Bridge aufgemacht und da kommen dann alle Interfaces mit der gleichen MTU rein.
| |
| | |
| | |
| ==Beispiel-config für has und has-sued Hood auf GW von moexe (fff-has 78.47.36.148)==
| |
| | |
| Die l2tp_broker-xxxxx.cfg Dateien in ''/srv/tunneldigger/tunneldigger/broker/''
| |
| | |
| l2tp_broker-has.cfg :
| |
| | |
| [broker] | |
| ; IP address the broker will listen and accept tunnels on
| |
| address=78.47.36.148
| |
| ; Ports where the broker will listen on
| |
| ; Hier den entsprechenden fastd-port + 10000
| |
| port=20004
| |
| ; Interface with that IP address
| |
| interface=eth0
| |
| ; Maximum number of tunnels that will be allowed by the broker
| |
| max_tunnels=1024
| |
| ; Tunnel port base
| |
| port_base=24000
| |
| ; Tunnel id base
| |
| tunnel_id_base=4000
| |
| ; Namespace (for running multiple brokers); note that you must also
| |
| ; configure disjunct ports, and tunnel identifiers in order for
| |
| ; namespacing to work
| |
| namespace=has
| |
| ; check if all kernel module are loaded. Do not check for built-ins.
| |
| check_modules=true
| |
| | | |
| [log] | | [Service] |
| ; Log filename | | Type=simple |
| filename=tunneldigger-broker.log | | WorkingDirectory=/srv/tunneldigger/tunneldigger |
| ; Verbosity
| | ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg |
| verbosity=DEBUG | |
| ; Should IP addresses be logged or not
| |
| log_ip_addresses=false
| |
| | | |
| [hooks] | | KillMode=process |
| ; Arguments to the session.{up,pre-down,down} hooks are as follows: | | Restart=on-failure |
| ;
| |
| ; <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port> <local_port>
| |
| ;
| |
| ; Arguments to the session.mtu-changed hook are as follows:
| |
| ;
| |
| ; <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
| |
| ;
| |
| | | |
| ; Called after the tunnel interface goes up | | [Install] |
| session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has.up | | WantedBy=multi-user.target |
| ; Called just before the tunnel interface goes down
| |
| session.pre-down=/srv/tunneldigger/tunneldigger/broker/scripts/has.down
| |
| ; Called after the tunnel interface goes down
| |
| session.down=
| |
| ; Called after the tunnel MTU gets changed because of PMTU discovery
| |
| session.mtu-changed=/srv/tunneldigger/tunneldigger/broker/scripts/mtu_changed-has.sh
| |
|
| |
|
| | ==Unit aktivieren== |
|
| |
|
| l2tp_broker-hassued.cfg :
| | systemctl enable td-broker-hood.service |
| [broker]
| |
| ; IP address the broker will listen and accept tunnels on | |
| address=78.47.36.148
| |
| ; Ports where the broker will listen on
| |
| ; hier den entsprechenden fastd-port + 10000
| |
| port=20005
| |
| ; Interface with that IP address
| |
| interface=eth0
| |
| ; Maximum number of tunnels that will be allowed by the broker
| |
| max_tunnels=1024
| |
| ; Tunnel port base
| |
| port_base=21000
| |
| ; Tunnel id base
| |
| tunnel_id_base=1000
| |
| ; Namespace (for running multiple brokers); note that you must also
| |
| ; configure disjunct ports, and tunnel identifiers in order for
| |
| ; namespacing to work
| |
| namespace=hassued
| |
| ; check if all kernel module are loaded. Do not check for built-ins.
| |
| check_modules=true
| |
|
| |
| [log]
| |
| ; Log filename
| |
| filename=tunneldigger-broker.log
| |
| ; Verbosity
| |
| verbosity=DEBUG
| |
| ; Should IP addresses be logged or not
| |
| log_ip_addresses=false
| |
|
| |
|
| |
| [hooks]
| |
| ; Arguments to the session.{up,pre-down,down} hooks are as follows:
| |
| ;
| |
| ; <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port> <local_port>
| |
| ;
| |
| ; Arguments to the session.mtu-changed hook are as follows:
| |
| ;
| |
| ; <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
| |
| ;
| |
|
| |
| ; Called after the tunnel interface goes up
| |
| session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
| |
| ; Called just before the tunnel interface goes down
| |
| session.pre-down=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
| |
| ; Called after the tunnel interface goes down
| |
| session.down=
| |
| ; Called after the tunnel MTU gets changed because of PMTU discovery
| |
| session.mtu-changed=/srv/tunneldigger/tunneldigger/broker/scripts/mtu_changed-has-sued.sh
| |
|
| |
|
|
| | ==Broker starten== |
|
| |
|
| Skripte in ''scripts/''
| | systemctl start td-broker-hood.service |
|
| |
|
| bridge_functions-has.sh:
| | Der Broker startet beim nächsen Booten automatisch. |
| ensure_policy()
| |
| {
| |
| ip rule del $*
| |
| ip rule add $*
| |
| }
| |
|
| |
| ensure_bridge()
| |
| {
| |
| #MAC aus MTU generieren (auf jedem GW eine Stelle ändern)
| |
| mac=$(echo $MTU | sed -E "s/^(..)/0a:00:03:01:\1:/")
| |
| local brname="$1"
| |
| brctl addbr $brname 2>/dev/null
| |
|
| |
| if <nowiki>[[ "$?" == "0" ]]</nowiki>; then
| |
| # Bridge did not exist before, we have to initialize it
| |
| ip link set dev $brname address $mac
| |
| ip link set dev $brname up
| |
| # Neue Bridge batman hinzufügen
| |
| batctl -m $BATDEV if add $brname
| |
| # Disable forwarding between bridge ports
| |
| ebtables -A FORWARD --logical-in $brname -j DROP
| |
| fi
| |
| }
| |
|
| |
|
| | ==Den Routern mitteilen, dass wir l2tp anbieten== |
|
| |
|
| bridge_functions-has-sued.sh:
| | '''Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!''' |
| ensure_policy()
| |
| {
| |
| ip rule del $*
| |
| ip rule add $*
| |
| }
| |
|
| |
| ensure_bridge()
| |
| {
| |
| #MAC aus MTU generieren (auf jedem GW eine Stelle ändern)
| |
| mac=$(echo $MTU | sed -E "s/^(..)/0a:00:03:02:\1:/")
| |
| local brname="$1"
| |
| brctl addbr $brname 2>/dev/null
| |
|
| |
| if <nowiki>[[ "$?" == "0" ]]</nowiki>; then
| |
| # Bridge did not exist before, we have to initialize it
| |
| ip link set dev $brname address $mac
| |
| ip link set dev $brname up
| |
| # Neue Bridge batman hinzufügen
| |
| batctl -m $BATDEV if add $brname
| |
| # Disable forwarding between bridge ports
| |
| ebtables -A FORWARD --logical-in $brname -j DROP
| |
| fi
| |
| }
| |
|
| |
|
| | Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen |
|
| |
|
| has.up:
| | echo l2tp > vpn.txt |
|
| |
|
| #!/bin/bash
| | Danach verbinden sich die Router via l2tp. |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| MTU="$4"
| |
| BATDEV=bat4
| |
|
| |
| . /srv/tunneldigger/tunneldigger/broker/scripts/bridge_functions-has.sh
| |
|
| |
| # Set the interface to UP state
| |
| ip link set dev $INTERFACE up mtu $MTU
| |
|
| |
| # Add the interface to our bridge
| |
| ensure_bridge l2-br-has${MTU}
| |
| brctl addif l2-br-has${MTU} $INTERFACE
| |
|
| |
|
|
| | ==Kontrolle== |
| has-sued.up:
| |
|
| |
|
| #!/bin/bash
| | - über ''systemctl status td-broker-xxx.service'' kann man den Status erfragen. |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| MTU="$4"
| |
| BATDEV=bat7
| |
|
| |
| . /srv/tunneldigger/tunneldigger/broker/scripts/bridge_functions-has-sued.sh
| |
|
| |
| # Set the interface to UP state
| |
| ip link set dev $INTERFACE up mtu $MTU
| |
|
| |
| # Add the interface to our bridge
| |
| ensure_bridge l2-br-sued${MTU}
| |
| brctl addif l2-br-sued${MTU} $INTERFACE
| |
|
| |
|
| | - mit ''ip link'' sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master. |
|
| |
|
| mtu_changed-has.sh
| | - mit ''ip l2tp show tunnel'' sieht man die einzelnen Tunnel |
|
| |
|
| #!/bin/bash
| | - mit ''ip l2tp show session'' die entsprechenden Devices |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| OLD_MTU="$4"
| |
| NEW_MTU="$5"
| |
| BATDEV=bat4
| |
| MTU=$NEW_MTU
| |
|
| |
| . /srv/tunneldigger/tunneldigger/broker/scripts/bridge_functions-has.sh
| |
|
| |
| # Remove interface from old bridge
| |
| brctl delif l2-br-has${OLD_MTU} $INTERFACE
| |
|
| |
| # Change interface MTU
| |
| ip link set dev $INTERFACE mtu $NEW_MTU
| |
|
| |
| # Add interface to new bridge
| |
| ensure_bridge l2-br-has${NEW_MTU}
| |
| brctl addif l2-br-has${NEW_MTU} $INTERFACE
| |
|
| |
|
| | - der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: ''iptables -L -t nat'' |
|
| |
|
| mtu_changed-has-sued.sh
| | - das Log mit journalctl -u td-broker-HOOD.service |
|
| |
|
| #!/bin/bash
| |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| OLD_MTU="$4"
| |
| NEW_MTU="$5"
| |
| BATDEV=bat7
| |
| MTU=$NEW_MTU
| |
|
| |
| . /srv/tunneldigger/tunneldigger/broker/scripts/bridge_functions-has-sued.sh
| |
|
| |
| # Remove interface from old bridge
| |
| brctl delif l2-br-sued${OLD_MTU} $INTERFACE
| |
|
| |
| # Change interface MTU
| |
| ip link set dev $INTERFACE mtu $NEW_MTU
| |
|
| |
| # Add interface to new bridge
| |
| ensure_bridge l2-br-sued${NEW_MTU}
| |
| brctl addif l2-br-sued${NEW_MTU} $INTERFACE
| |
|
| |
|
|
| |
|
| has.down
| | ==Broker für eine Hood wieder los werden== |
|
| |
|
| #!/bin/bash
| | Beispielhood: hawaii |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| MTU="$4"
| |
|
| |
| # Remove the interface from our bridge
| |
| brctl delif l2-br-has${MTU} $INTERFACE
| |
|
| |
|
| | Service stoppen: (Tipp: Tab-Taste) |
| | systemctl stop td-broker-hawaii.service |
|
| |
|
| has-sued.down
| | Service ausschalten: |
| | systemctl disable td-broker-hawaii.service |
|
| |
|
| #!/bin/bash
| | Wenn man die ganze Konfiguration weg haben will, geht es weiter. |
| TUNNEL_ID="$1"
| |
| INTERFACE="$3"
| |
| MTU="$4"
| |
|
| |
| # Remove the interface from our bridge
| |
| brctl delif l2-br-sued${MTU} $INTERFACE
| |
|
| |
|
| | Unit löschen: |
| | rm /etc/systemd/system/td-broker-hawaii.service |
|
| |
|
| '''Nicht vergessen die Skripte ausführbar zu machen (chmod 755)'''
| | systemd davon in Kenntnis setzen: |
| | systemctl daemon-reload |
|
| |
|
| | | Konfigdateien löschen: |
| '''Start einrichten:'''
| | rm /etc/hawaii.cfg |
| | |
| In ''/etc/systemd/system/'' Units erstellen
| |
| | |
| tunneldigger-broker-sued.service:
| |
| | |
| [Unit]
| |
| Description=tunneldigger tunnelling network daemon using l2tpv3
| |
| After=network.target auditd.service
| |
|
| |
| [Service]
| |
| Type=simple
| |
| WorkingDirectory=/srv/tunneldigger/tunneldigger
| |
| ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main /srv/tunneldigger/tunneldigger/broker/l2tp_broker-hassued.cfg
| |
|
| |
| KillMode=process
| |
| Restart=on-failure
| |
|
| |
| [Install]
| |
| WantedBy=multi-user.target
| |
| | |
| | |
| tunneldigger-broker-has.service:
| |
| | |
| [Unit]
| |
| Description=tunneldigger tunnelling network daemon using l2tpv3
| |
| After=network.target auditd.service
| |
|
| |
| [Service]
| |
| Type=simple
| |
| WorkingDirectory=/srv/tunneldigger/tunneldigger
| |
| ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main /srv/tunneldigger/tunneldigger/broker/l2tp_broker-has.cfg
| |
|
| |
| KillMode=process
| |
| Restart=on-failure
| |
|
| |
| [Install]
| |
| WantedBy=multi-user.target
| |
|
| |
|
| |
| | |
| Jetzt noch den Service anmelden, autostart und manuell Start <br />
| |
| systemctl daemon-reload <br />
| |
| systemctl enable tunneldigger-broker-sued.service tunneldigger-broker-has.service <br />
| |
| systemctl start tunneldigger-broker-sued.service tunneldigger-broker-has.service <br />
| |
Veraltet!
Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!
Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei.
Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.
Vorteile:
Weniger CPU Last auf den Gateway Servern und den Routern.
Mehr Durchsatz durch die Tunnel.
Nachteile:
Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.
Am Router
Eine Firmware ab 20161008-beta oder neuer flashen.
Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.
Am Router muss nichts konfiguriert werden!
Am Gateway (KeyXchangev2!!)
So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.
Vorbereitungen:
Nötige Pakete holen:
apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2
Module
In /etc/modules die Module eintragen:
l2tp_core
l2tp_eth
l2tp_netlink
Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch.
modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink
Installation:
Eine Installationsanleitung findet man hier:
https://tunneldigger.readthedocs.io/en/latest/server.html
Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.
Hierfür die Anleitung:
mkdir /srv/tunneldigger
cd /srv/tunneldigger
virtualenv env_tunneldigger
git clone https://github.com/rohammer/tunneldigger.git
source env_tunneldigger/bin/activate
cd /srv/tunneldigger/tunneldigger/broker
python setup.py install
Konfiguration:
Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.
Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/
mkdir /etc/tunneldigger
cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg
In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.
Start einrichten
Wir legen für jede Hood eine systemd unit Datei an:
Z.B. /etc/systemd/system/td-broker-hood.service
[Unit]
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service
[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg
KillMode=process
Restart=on-failure
[Install]
WantedBy=multi-user.target
Unit aktivieren
systemctl enable td-broker-hood.service
Broker starten
systemctl start td-broker-hood.service
Der Broker startet beim nächsen Booten automatisch.
Den Routern mitteilen, dass wir l2tp anbieten
Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!
Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen
echo l2tp > vpn.txt
Danach verbinden sich die Router via l2tp.
Kontrolle
- über systemctl status td-broker-xxx.service kann man den Status erfragen.
- mit ip link sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.
- mit ip l2tp show tunnel sieht man die einzelnen Tunnel
- mit ip l2tp show session die entsprechenden Devices
- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: iptables -L -t nat
- das Log mit journalctl -u td-broker-HOOD.service
Broker für eine Hood wieder los werden
Beispielhood: hawaii
Service stoppen: (Tipp: Tab-Taste)
systemctl stop td-broker-hawaii.service
Service ausschalten:
systemctl disable td-broker-hawaii.service
Wenn man die ganze Konfiguration weg haben will, geht es weiter.
Unit löschen:
rm /etc/systemd/system/td-broker-hawaii.service
systemd davon in Kenntnis setzen:
systemctl daemon-reload
Konfigdateien löschen:
rm /etc/hawaii.cfg