L2TP und Tunneldigger: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
KKeine Bearbeitungszusammenfassung
 
(106 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Entwurf}}
'''Veraltet!'''
__TOC__


Dies sind sie ersten zaghaften Versuche von fastd auf L2TP zu switchen, bzw. beide parallel zu nutzen. Dies soll nur eine kurze Zusammenfassung sein, was schon gemacht wurde. Nicht dass doppelte Arbeit geleistet wird. Doku folgt bei Erfolg
'''Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!'''


Vorteile: *Weniger CPU Last auf den Gateway Servern
__TOC__


Nachteile: *Umstellung von GWs und Firmware


===Am Router===


Ich habe euch nen tarball gemacht. Da ist alles drin und läuft mit der
Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei.
normalen aktuellen stable.
Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.


Sicherstellen das am Router die Kernelmodule enthalten sind. Bei meinen wr1043 v0.5.2 war dies nicht der Fall.
Vorteile:


lsmod
Weniger CPU Last auf den Gateway Servern und den Routern.
Mehr Durchsatz durch die Tunnel.


sollte u.a. folgende Ausgabe liefern:
Nachteile:


...
Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.
l2tp_core              12733  4 l2tp_ip6
l2tp_eth                2672  1
l2tp_ip                4704  0
l2tp_ip6                5760  0
l2tp_netlink            6536  1 l2tp_eth
...


dann ist das Kernelmodul im Router enthalten und es kann nach Anleitung fortgefahren werden.


Folgendes am Router ausführen:
=Am Router=


wget -P/ langhammer-mainberg.de/fff/tunneldigger.tar
Eine Firmware ab 20161008-beta oder neuer flashen.
cd / && tar -xf tunneldigger.tar


Jetzt einmal die Konfig erstellen:
Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.
'''Am Router muss nichts konfiguriert werden!'''


l2tunnel conf
=Am Gateway (KeyXchangev2!!)=


und starten (macht der Router beim nächsten Reboot automatisch)
So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.


/etc/init.d/tunneldigger start
==Vorbereitungen:==


man steuert das ganze mit dem Kommando '''l2tunnel'''
'''Nötige Pakete holen:'''


Viel Spass damit!
apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2


Wenn der Router neu startet, läuft fastd und tunneldigger. Alles bleibt beim alten nur dass jetzt beide Tunnel laufen.


Wie man den Tunneldigger in die Firmware einbaut, findest du [[Neues_Paket_in_Firmware_aufnehmen|hier]]
'''Module'''


===Am Gateway===
In /etc/modules die Module eintragen:
So, jetzt brauchen wir noch Gateways mit dem Broker.
Aus der Doku auf https://tunneldigger.readthedocs.org/en/latest/server.html
haben wir mal die wichtigen Zeilen rausgezogen:


Voraussetzungen
l2tp_core
Nötige Pakete holen:
l2tp_eth
l2tp_netlink


  sudo apt-get install iproute bridge-utils libnetfilter-conntrack3 python-dev libevent-dev ebtables python-virtualenv
Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch.


Kernelmodule beim Booten laden: (Nötig??)
  modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink


echo "l2tp_core
==Installation:==
      l2tp_eth
      l2tp_netlink" >> /etc/modules


Installation:
Eine Installationsanleitung findet man hier:


  mkdir /srv/tunneldigger <br />
  https://tunneldigger.readthedocs.io/en/latest/server.html
cd /srv/tunneldigger  <br />
virtualenv env_tunneldigger  <br />
cd /srv/tunneldigger  <br />
git clone https://github.com/wlanslovenija/tunneldigger.git <br />
. env_tunneldigger/bin/activate <br />
pip install -r tunneldigger/broker/requirements.txt <br />


Konfiguration in /srv/tunneldigger/tunneldigger/broker/l2tp_broker-sued.cfg anpassen
(Öffentliche IP des Gateway Ports und Interface, port und idbase, namespace)


l2tp_broker-sued.cfg steht für die Hood, könnte also auch l2tp_broker-nbg oder l2tp_broker-wue.cfg heisen. Pro Hood muss ein eigener Broker mit up und down erstellt werden.
Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.


'''Wichtig! Port für die entsprechende Hood = fastd-port + 10000. '''
'''Hierfür die Anleitung:'''


  [broker]
  mkdir /srv/tunneldigger
  ; IP address the broker will listen and accept tunnels on
  cd /srv/tunneldigger  
address=a.b.c.d #öffentliche ip des Servers
  virtualenv env_tunneldigger
; Ports where the broker will listen on
  git clone https://github.com/rohammer/tunneldigger.git
port=fastd-port + 10000
  source env_tunneldigger/bin/activate
; Interface with that IP address
  cd /srv/tunneldigger/tunneldigger/broker  
interface=eth0
  python setup.py install
; Maximum number of tunnels that will be allowed by the broker
max_tunnels=1024
; Tunnel port base
port_base=20000 #(für jede Brokerinstanz eine andere)
; Tunnel id base
tunnel_id_base=100 #(für jede Brokerinstanz eine andere)
; Namespace (for running multiple brokers); note that you must also
; configure disjunct ports, and tunnel identifiers in order for
; namespacing to work
namespace=has-sued
; check if all kernel module are loaded. Do not check for built-ins.
check_modules=true
[log]
; Log filename
filename=tunneldigger-broker.log
; Verbosity
verbosity=DEBUG
  ; Should IP addresses be logged or not
  log_ip_addresses=false
   
[hooks]
; Arguments to the session.{up,pre-down,down} hooks are as follows:
;
;    <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip>  <endpoint_port>  <local_port>
;
; Arguments to the session.mtu-changed hook are as follows:
;
;    <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
;
; Called after the tunnel interface goes up
session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
  ; Called just before the tunnel interface goes down
session.pre-down=
  ; Called after the tunnel interface goes down
  session.down=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
; Called after the tunnel MTU gets changed because of PMTU discovery
  session.mtu-changed=




Hook Scripte /srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
==Konfiguration:==


#!/bin/bash
Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.
INTERFACE="$3"
  ip link set dev $INTERFACE up
#/usr/sbin/batctl -m <bat interface von has-sued> if add $INTERFACE
  brctl addif l2tphassued $INTERFACE


/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/


  #!/bin/bash
  mkdir /etc/tunneldigger
  INTERFACE="$3"
  cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg
#/usr/sbin/batctl -m <bat interface von has-sued> if del $INTERFACE
brctl delif l2tphassued $INTERFACE


(Das sind nur Beispiele. Hier kann man die neuen Interfaces einstellen, Bridges zuordnen und ....
In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.


Wenn batctl nicht in /usr/sbin liegt, Pfad anpassen. Bei mir liegt es z.b. in /usr/local/sbin
==Start einrichten==


Wichtig: die up und down scripts müssem durch "chmod +x has-sued.up" bzw "chmod +x hassued.down" ausführbar gemacht werden.
Wir legen für jede Hood eine systemd unit Datei an:


 
Z.B. /etc/systemd/system/td-broker-hood.service
 
Da B.A.T.M.A.N nicht gut mit vielen sich ständig ändernden Parametern umgehen kann, müssen wir alle l2tp Tunnel über eine bridge ins BATMAN- Netz bringen:
 
Dafür legen wir win neuse interface in der /etc/network/interfaces an
 
# Tunneldigger VPN Interface HASSUED
auto l2tphassued
iface l2tphassued inet manual
  ## Bring up interface
  pre-up brctl addbr $IFACE
  pre-up ip link set address 3a:3f:5a:a0:18:7d dev $IFACE (als MAC habe ich hier die vom fastd-tunnel genommen)
  pre-up ip link set dev $IFACE mtu 1346
  pre-up ip link set $IFACE promisc on
  up ip link set dev $IFACE up
  post-up ebtables -A FORWARD --logical-in $IFACE -j DROP
  post-up batctl -m bat(der jeweiligen Hood) if add $IFACE
  # Shutdown interface
  pre-down batctl -m bat(der jeweiligen hood) if del $IFACE
  pre-down ebtables -D FORWARD --logical-in $IFACE -j DROP
  down ip link set dev $IFACE down
  post-down brctl delbr $IFACE
 
 
dann noch das interface hochbringen:
 
ifup l2tphassued
 
 
Start einrichten:
 
Systemd Start Unit in  /etc/systemd/system/tunneldigger-broker-sued.service


  [Unit]
  [Unit]
Zeile 192: Zeile 98:
  Type=simple
  Type=simple
  WorkingDirectory=/srv/tunneldigger/tunneldigger
  WorkingDirectory=/srv/tunneldigger/tunneldigger
  ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main /srv/tunneldigger/tunneldigger/broker/l2tp_broker-sued.cfg
  ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg
   
   
  KillMode=process
  KillMode=process
Zeile 198: Zeile 104:
   
   
  [Install]
  [Install]
  WantedBy=multi-user.target  
  WantedBy=multi-user.target
 
 
Jetzt noch den Service anmelden, autostart und manuell Start <br />
systemctl daemon-reload  <br />
systemctl enable tunneldigger-broker-sued.service  <br />
systemctl start tunneldigger-broker-sued.service  <br />
 
Das kann man jetzt mehrfach machen mit unterschiedlichen Konfigurationen für verschiedene Hoods.
 
 
Falls es Probleme beim Start des Brokers geben sollte, kann probiert werden im file l2tp_broker-xxx.cfg alle ";" ,zum auskommentieren, durch "#" zu ersetzen
 
über "systemctl status tunneldigger-broker-xxx.service" kann man den Status erfragen.
 
===Tunnel aufbauen===


Ihr findet im tarball das kleine Skript l2tunnel zum steuern der Tunnel (s. oben)
==Unit aktivieren==


Auf dem Router kann man auch mal von Hand mit
systemctl enable td-broker-hood.service


tunneldigger -f -u 123 -l <localIP> -b <Gw IP:Port> -i l2tp
==Broker starten==


den Tunnel aufbauen
systemctl start td-broker-hood.service


Das OpenWrt Packet vom Tunneldigger bringt auch ein Startscript mit und eine Config-Datei: /etc/config/tunneldigger
Der Broker startet beim nächsen Booten automatisch.
Hier können die Tunneldevices konfiguriert werden.  


config broker
==Den Routern mitteilen, dass wir l2tp anbieten==
list address '192.168.100.20:10050'
# list address '20.30.40.50:53'
# list address 'x.y.z.w:123'
option uuid 'abcd'
option interface 'l2tp0'
# option limit_bw_down '1024'
option enabled '1'
# option hook_script '/etc/tunneldigger.hook'
config broker
list address '192.168.200.20:20050'
# list address 'x.y.z.w:53'
# list address 'x.y.z.w:123'
option uuid 'efgh'
option interface 'l2tp1'
# option limit_bw_down '1024'
option enabled '1'
# option hook_script '/etc/tunneldigger.hook2'


'''Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!'''


Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen


   
  echo l2tp > vpn.txt


Danach verbinden sich die Router via l2tp.


Jetzt geht es ans Testen:
==Kontrolle==


Wie müssen bei uns die Hook Skripte aussehen?
- über ''systemctl status td-broker-xxx.service'' kann man den Status erfragen.


Wie stabil sind die Tunnel z.B bei Zwangstrennung vom Provider?
- mit ''ip link'' sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.


Hier scheint die Verbindung verloren zu gehen und der Tunnel bricht zusammen. Quick&Dirty Lösung:
- mit ''ip l2tp show tunnel'' sieht man die einzelnen Tunnel


vi /etc/l2trestart.sh
- mit ''ip l2tp show session'' die entsprechenden Devices


anlegen und mit
- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben:  ''iptables -L -t nat''


#!/bin/sh
- das Log mit journalctl -u td-broker-HOOD.service
/etc/init.d/tunneldigger start
l2tunnel on


füllen. Datei ausführbar machen:


chmod +x /etc/l2trestart.sh


vi /usr/lib/micron.d/default
==Broker für eine Hood wieder los werden==


editieren und folgende Zeile hinzufügen:
Beispielhood: hawaii


  */5 * * * * sh /etc/l2trestart.sh
Service stoppen:  (Tipp: Tab-Taste)
  systemctl stop td-broker-hawaii.service


micrond noch eben neu starten:
Service ausschalten:
systemctl disable td-broker-hawaii.service


/etc/init.d/micrond restart
Wenn man die ganze Konfiguration weg haben will, geht es weiter.


Laufen fastd und l2tp parallel?
Unit löschen:
rm /etc/systemd/system/td-broker-hawaii.service


Und natürlich die Sache mit der mtu.
systemd davon in Kenntnis setzen:
systemctl daemon-reload


usw.....
Konfigdateien löschen:
rm /etc/hawaii.cfg

Aktuelle Version vom 27. Oktober 2019, 11:15 Uhr

Veraltet!

Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!


Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei. Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.

Vorteile:

Weniger CPU Last auf den Gateway Servern und den Routern. Mehr Durchsatz durch die Tunnel.

Nachteile:

Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.


Am Router

Eine Firmware ab 20161008-beta oder neuer flashen.

Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.

Am Router muss nichts konfiguriert werden!

Am Gateway (KeyXchangev2!!)

So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.

Vorbereitungen:

Nötige Pakete holen: 

apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2


Module

In /etc/modules die Module eintragen: 

l2tp_core
l2tp_eth
l2tp_netlink

Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch. 

modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink

Installation:

Eine Installationsanleitung findet man hier: 

https://tunneldigger.readthedocs.io/en/latest/server.html


Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.

Hierfür die Anleitung: 

mkdir /srv/tunneldigger
cd /srv/tunneldigger 
virtualenv env_tunneldigger 
git clone  https://github.com/rohammer/tunneldigger.git
source env_tunneldigger/bin/activate 
cd  /srv/tunneldigger/tunneldigger/broker 
python setup.py install


Konfiguration:

Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.

Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/ 

mkdir /etc/tunneldigger
cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg

In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.

Start einrichten

Wir legen für jede Hood eine systemd unit Datei an:

Z.B. /etc/systemd/system/td-broker-hood.service 

[Unit]
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service

[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg

KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target

Unit aktivieren

systemctl enable td-broker-hood.service

Broker starten

systemctl start td-broker-hood.service

Der Broker startet beim nächsen Booten automatisch.

Den Routern mitteilen, dass wir l2tp anbieten

Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!

Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen 

echo l2tp > vpn.txt

Danach verbinden sich die Router via l2tp.

Kontrolle

- über systemctl status td-broker-xxx.service kann man den Status erfragen.

- mit ip link sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.

- mit ip l2tp show tunnel sieht man die einzelnen Tunnel

- mit ip l2tp show session die entsprechenden Devices

- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: iptables -L -t nat

- das Log mit journalctl -u td-broker-HOOD.service


Broker für eine Hood wieder los werden

Beispielhood: hawaii

Service stoppen: (Tipp: Tab-Taste) 

systemctl stop td-broker-hawaii.service

Service ausschalten: 

systemctl disable td-broker-hawaii.service

Wenn man die ganze Konfiguration weg haben will, geht es weiter.

Unit löschen: 

rm /etc/systemd/system/td-broker-hawaii.service

systemd davon in Kenntnis setzen: 

systemctl daemon-reload

Konfigdateien löschen: 

rm /etc/hawaii.cfg
Abgerufen von „https://wiki.freifunk-franken.de/mediawiki/index.php?title=L2TP_und_Tunneldigger&oldid=16500
Creative Commons „Namensnennung, Weitergabe unter gleichen Bedingungen“
Powered by MediaWiki