Freifunk-Gateway aufsetzen/VPN/fastd: Unterschied zwischen den Versionen
Zeile 166: | Zeile 166: | ||
fi | fi | ||
</pre> | </pre> | ||
=== Zuordnung === | |||
IP zu MAC lässt sich über Ping + ip -4/-6 neigh zuordnen. | IP zu MAC lässt sich über Ping + ip -4/-6 neigh zuordnen. | ||
Falls die MAC nicht im fastd bekannt ist, kann ein batman-traceroute helfen. | Falls die MAC nicht im fastd bekannt ist, kann ein batman-traceroute helfen. |
Version vom 7. September 2019, 21:58 Uhr
Funktion
fastd ist eine Möglichkeit die Freifunk Knoten per Tunnel mit dem Gateway zu verbinden.
fastd wird bei uns Punkt-zu-Multipunkt (PtMP) verwendet, daher wird am Server nur ein Interface für alle Clients einer Hood benötigt.
fastd wird komplett anders als früher konfiguriert.
Das früher nötige Verwaltungsscript darf KEINESFALLS(!!) ausgeführt werden, auch der Cronjob ist nicht mehr nötig. Falls die IP des Gateways noch im alten KeyXchange eingetragen ist, sollte sie unbedingt entfernt werden (KeyXchange Admin fragen)
Installation
fastd kann aus den Paketquellen installiert werden
Debian:
apt install fastd
Konfiguation
fastd
Für jede Hood muss eine eigene fastd Konfiguration in einem eigenen Unterordner in /etc/fastd/<hoodname>/fastd.conf angelegt werden.
Die Konfiguration sollte etwa so aussehen:
# Log errors to stderr log level error; # Log warnings to a log file log to syslog as "fastd-nuernberg" level warn; # Set the interface name interface "fastd-nuernberg"; # Disable encryption method "null"; # Bind to any IPv4 and IPv6 address with a fixed port bind any:10004; # fastd needs a key despite the disabled encryption. generate with "fastd --generate-key" # # Der öffentliche Schlüssel für die KeyXchange Admins kann # mit "fastd -c /etc/fastd/<hoodname>/fastd.conf --show-key" angezeigt werden. secret "c00a286249ef5dc5506945f8a3b413c0928850214661aab866715203b4f2e86a"; # See https://fastd.readthedocs.io/en/v18/manual/mtu.html # Must not be changed! It has to be the same for both server and all clients. mtu 1426; # Skript starten, sobald fastd Interface angelegt ist. Damit wird es zu batman hinzugefügt. on up "/etc/fastd/up.sh"; on down "/etc/fastd/down.sh"; secure handshakes no; on verify "/etc/fastd/verify.sh";
/etc/fastd/down.sh
#!/bin/sh /sbin/ifdown $INTERFACE
/etc/fastd/up.sh
#!/bin/sh /sbin/ifup $INTERFACE
/etc/fastd/verify.sh
#!/bin/sh return 0
Die Skripte müssen ausführbar gemacht werden:
chmod +x /etc/fastd/*.sh
fastd ifupdown
Zudem muss eine passende ifupdown Interfacekonfiguration angelegt werden, die das fastd-Interface zu batman-adv hinzufügt.
(vgl. Freifunk-Gateway_aufsetzen/Batman-adv#Konfiguration)
# Fastd Interface iface fastd-nuernberg inet manual pre-up batctl -m bat-nuernberg if add $IFACE post-down batctl -m bat-nuernberg if del $IFACE up ip link set up $IFACE down ip link set down $IFACE
Hinweis: Die MTU des fastd Interfaces darf nicht verstellt (vergrößert) werden, diesbezügliche Laufzeitmeldungen von batman_adv müssen ignorieret werden. Weil durch das Internet nur 1500 Byte MTU durchpassen und man daher den Tunnel nicht größer machen kann, bleiben für batman-adv leider nur 1500 - $Tunneloverhead Bytes übrig.
fastd Dienst
Dann muss für jede Hood der fastd-Dienst aktiviert und gestartet werden.
systemctl enable fastd@<hoodname> systemctl start fastd@<hoodname>
Testen der Konfiguration
nachdem der Service gestartet ist, sollte mit
ip -c link show
Sowohl das Batman als auch das VPN Interface zu sehen sein.
fastd socket
fastd bietet die Möglichkeit den Status über einen Socket abzufragen.
Dazu in der Konfigurationsdatei folgende Zeile einfügen:
status socket "/run/fastd-HOOD.sock";
Mit netcat kann man die Daten daraus abfragen.
nc -U /run/fastd-HOOD.sock
JSON-Parser
Mit dem Tool jq (apt install jq) kann das json geparsed werden.
Suche nach einem Key
nc -U /run/fastd-HOOD.sock | jq . | grep -A35 1f5111cfa36b11
Anzeigen der Adressen aller aktuell verbundenen Clients
nc -U /run/fastd-HOOD.sock | jq .peers[].address
Einzelne Router sperren
Folgende Variablen werden in die fastd config übertragen:
- LOCAL_ADDRESS: the local IP address
- LOCAL_PORT: the local UDP port
- PEER_ADDRESS: the peer’s IP address
- PEER_PORT: the peer’s UDP port
- PEER_NAME: the peer’s name in the local configuration
- PEER_KEY: the peer’s public key
Diese können am on-verify angehangen werden z.b.:
on verify "/etc/fastd/fff.bat3/fastd-blacklist.sh $PEER_KEY $PEER_ADDRESS";
das fastd-blacklist.sh kann dann z.b. so aussehen:
#!/bin/bash echo $1 >> /tmp/bla echo $2 >> /tmp/bla if [ $1 == xxx ]; then exit 1 else exit 0 fi
Zuordnung
IP zu MAC lässt sich über Ping + ip -4/-6 neigh zuordnen.
Falls die MAC nicht im fastd bekannt ist, kann ein batman-traceroute helfen.