L2TP und Tunneldigger: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(129 dazwischenliegende Versionen von 9 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Entwurf}}
'''Veraltet!'''
 
'''Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!'''
 
__TOC__
__TOC__


Die sind sie ersten zaghaften Versuche von fastd auf L2TP zu switchen, bzw. beide parallel zu nutzen. Dies soll nur eine kurze Zusammenfassung sein, was schon gemacht wurde. Nicht dass doppelte Arbeit geleistet wird. Doku folgt bei Erfolg


Vorteile: *Weniger CPU Last auf den Gateway Servern


Nachteile: *Umstellung von GWs und Firmware
Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei.
Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.
 
Vorteile:
 
Weniger CPU Last auf den Gateway Servern und den Routern.
Mehr Durchsatz durch die Tunnel.
 
Nachteile:
 
Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.
 
 
=Am Router=
 
Eine Firmware ab 20161008-beta oder neuer flashen.
 
Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.
'''Am Router muss nichts konfiguriert werden!'''
 
=Am Gateway (KeyXchangev2!!)=
 
So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.
 
==Vorbereitungen:==
 
'''Nötige Pakete holen:'''
 
apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2
 
 
'''Module'''
 
In /etc/modules die Module eintragen:
 
l2tp_core
l2tp_eth
l2tp_netlink
 
Mit  modprobe "name des Moduls"  kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch.
 
modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink
 
==Installation:==
 
Eine Installationsanleitung findet man hier:
 
https://tunneldigger.readthedocs.io/en/latest/server.html
 


die Firmware für die Router mit Tunneldigger liegen auf http://langhammer-mainberg.de/fff
Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.
> Hast du da schon die aktuellen patches mit drinnen? Auf welcher Version hast du aufgebaut?


Stand 27.2. master branch
'''Hierfür die Anleitung:'''
plus den drei Patches von Tim, die den Tunneldigger integrieren:


----
mkdir /srv/tunneldigger
In dem Fall könnt ihr einfach die Patches, die unmittelbar nach dieser
cd /srv/tunneldigger
Mail auf der Mailingliste landen verwenden. Dazu die Patch E-Mails
virtualenv env_tunneldigger
einfach komplett als mbox speichern und mit git am <path/to/mail.mbox>
git clone  https://github.com/rohammer/tunneldigger.git
anwenden. (bei Thunderbird scheint das eml und nicht mbox zu heißen)
source env_tunneldigger/bin/activate
cd  /srv/tunneldigger/tunneldigger/broker
python setup.py install


Tim
----


So, jetzt brauchen wir noch Gateways mit dem Broker.
==Konfiguration:==
Aus der Doku auf https://tunneldigger.readthedocs.org/en/latest/server.html
habe ich mal die wichtigen Zeilen rausgezogen:


Voraussetzungen
Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.
Nötige Pakete holen:


sudo apt-get install iproute bridge-utils libnetfilter-conntrack3 python-dev libevent-dev ebtables python-virtualenv
Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/


Kernelmodule beim Booten laden: (Nötig??)
  mkdir /etc/tunneldigger
cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg


echo "l2tp_core
In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.
      l2tp_eth
      l2tp_netlink" >> /etc/modules


Installation:
==Start einrichten==


mkdir /srv/tunneldigger <br />
Wir legen für jede Hood eine systemd unit Datei an:
cd /srv/tunneldigger  <br />
virtualenv env_tunneldigger  <br />
cd /srv/tunneldigger  <br />
git clone https://github.com/wlanslovenija/tunneldigger.git <br />
. env_tunneldigger/bin/activate <br />
pip install -r tunneldigger/broker/requirements.txt <br />


Konfiguration in /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg (anpassen!!! öffentliche IP des Gateway Ports und Interface)
Z.B. /etc/systemd/system/td-broker-hood.service


[broker]
[Unit]
; IP address the broker will listen and accept tunnels on
Description=tunneldigger tunnelling network daemon using l2tpv3
address=127.0.0.1
After=network.target auditd.service
; Ports where the broker will listen on
port=10050,20050
[Service]
; Interface with that IP address
Type=simple
interface=eth0
WorkingDirectory=/srv/tunneldigger/tunneldigger
; Maximum number of tunnels that will be allowed by the broker
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg
max_tunnels=1024
; Tunnel port base
KillMode=process
port_base=20000
Restart=on-failure
; Tunnel id base
tunnel_id_base=100
[Install]
; Namespace (for running multiple brokers); note that you must also
WantedBy=multi-user.target
; configure disjunct ports, and tunnel identifiers in order for
; namespacing to work
namespace=has-sued
; check if all kernel module are loaded. Do not check for built-ins.
check_modules=true


[log]
==Unit aktivieren==
; Log filename
filename=tunneldigger-broker.log
; Verbosity
verbosity=DEBUG
; Should IP addresses be logged or not
log_ip_addresses=false


[hooks]
systemctl enable td-broker-hood.service
; Arguments to the session.{up,pre-down,down} hooks are as follows:
;
;    <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port> <local_port>
;
; Arguments to the session.mtu-changed hook are as follows:
;
;    <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
;


; Called after the tunnel interface goes up
==Broker starten==
session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
; Called just before the tunnel interface goes down
session.pre-down=
; Called after the tunnel interface goes down
session.down=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
; Called after the tunnel MTU gets changed because of PMTU discovery
session.mtu-changed=


---
systemctl start td-broker-hood.service
Hook Scripte /srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up


#!/bin/bash
Der Broker startet beim nächsen Booten automatisch.
INTERFACE="$3"


ip link set dev $INTERFACE up mtu 1364
==Den Routern mitteilen, dass wir l2tp anbieten==
#/usr/sbin/batctl -m <bat interface von has-sued> if add $INTERFACE
---


/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
'''Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!'''


#!/bin/bash
Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen
INTERFACE="$3"
#/usr/sbin/batctl -m <bat interface von has-sued> if del $INTERFACE
---


Start einrichten:
echo l2tp > vpn.txt


Systemd Start Unit in  /etc/systemd/system/tunneldigger-broker.service
Danach verbinden sich die Router via l2tp.


[Unit]
==Kontrolle==
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service


[Service]
- über ''systemctl status td-broker-xxx.service'' kann man den Status erfragen.
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg


KillMode=process
- mit ''ip link'' sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.
Restart=on-failure


[Install]
- mit ''ip l2tp show tunnel'' sieht man die einzelnen Tunnel
WantedBy=multi-user.target
---


- mit ''ip l2tp show session'' die entsprechenden Devices


Jetzt noch den Service anmelden, autostart und manuell Start <br />
- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben:  ''iptables -L -t nat''
systemctl daemon-reload  <br />
systemctl enable tunneldigger.service  <br />
systemctl start tunneldigger.service  <br />


- das Log mit journalctl -u td-broker-HOOD.service




Auf dem Router sollte dann ein


tunneldigger -f -u 123 -l <localIP> -b <Gw IP:Port> -i l2tp
==Broker für eine Hood wieder los werden==


den tunnel aufbauen
Beispielhood: hawaii


Jetzt geht es ans Testen:
Service stoppen:   (Tipp: Tab-Taste)
Wie müssen bei uns die Hook Skripte aussehen?
systemctl stop td-broker-hawaii.service
Die hier sind nur ein ein ungetesteter Schnellschuß von mir, um die Tunnelinterfaces dem Batman unterzuschieben.


Wie richten wir den Start auf unseren Routern ein, damit sie sich mit den jeweiligen GW in der richtigen Hood verbinden?
Service ausschalten:
systemctl disable td-broker-hawaii.service


Wie bekommen wir die Hoods am GW getrennt?
Wenn man die ganze Konfiguration weg haben will, geht es weiter.


Wie stabil sind die Tunnel z.B bei Zwangstrennung vom Provider?
Unit löschen:
rm /etc/systemd/system/td-broker-hawaii.service


Laufen fastd und l2tp parallel?
systemd davon in Kenntnis setzen:
systemctl daemon-reload


usw.....
Konfigdateien löschen:
rm /etc/hawaii.cfg

Aktuelle Version vom 27. Oktober 2019, 11:15 Uhr

Veraltet!

Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!


Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei. Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.

Vorteile:

Weniger CPU Last auf den Gateway Servern und den Routern. Mehr Durchsatz durch die Tunnel.

Nachteile:

Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.


Am Router

Eine Firmware ab 20161008-beta oder neuer flashen.

Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.

Am Router muss nichts konfiguriert werden!

Am Gateway (KeyXchangev2!!)

So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.

Vorbereitungen:

Nötige Pakete holen: 

apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2


Module

In /etc/modules die Module eintragen: 

l2tp_core
l2tp_eth
l2tp_netlink

Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch. 

modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink

Installation:

Eine Installationsanleitung findet man hier: 

https://tunneldigger.readthedocs.io/en/latest/server.html


Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.

Hierfür die Anleitung: 

mkdir /srv/tunneldigger
cd /srv/tunneldigger 
virtualenv env_tunneldigger 
git clone  https://github.com/rohammer/tunneldigger.git
source env_tunneldigger/bin/activate 
cd  /srv/tunneldigger/tunneldigger/broker 
python setup.py install


Konfiguration:

Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.

Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/ 

mkdir /etc/tunneldigger
cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg

In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.

Start einrichten

Wir legen für jede Hood eine systemd unit Datei an:

Z.B. /etc/systemd/system/td-broker-hood.service 

[Unit]
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service

[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg

KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target

Unit aktivieren

systemctl enable td-broker-hood.service

Broker starten

systemctl start td-broker-hood.service

Der Broker startet beim nächsen Booten automatisch.

Den Routern mitteilen, dass wir l2tp anbieten

Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!

Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen 

echo l2tp > vpn.txt

Danach verbinden sich die Router via l2tp.

Kontrolle

- über systemctl status td-broker-xxx.service kann man den Status erfragen.

- mit ip link sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.

- mit ip l2tp show tunnel sieht man die einzelnen Tunnel

- mit ip l2tp show session die entsprechenden Devices

- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: iptables -L -t nat

- das Log mit journalctl -u td-broker-HOOD.service


Broker für eine Hood wieder los werden

Beispielhood: hawaii

Service stoppen: (Tipp: Tab-Taste) 

systemctl stop td-broker-hawaii.service

Service ausschalten: 

systemctl disable td-broker-hawaii.service

Wenn man die ganze Konfiguration weg haben will, geht es weiter.

Unit löschen: 

rm /etc/systemd/system/td-broker-hawaii.service

systemd davon in Kenntnis setzen: 

systemctl daemon-reload

Konfigdateien löschen: 

rm /etc/hawaii.cfg
Abgerufen von „https://wiki.freifunk-franken.de/mediawiki/index.php?title=L2TP_und_Tunneldigger&oldid=16500
Creative Commons „Namensnennung, Weitergabe unter gleichen Bedingungen“
Powered by MediaWiki