Freifunk-Gateway aufsetzen: Unterschied zwischen den Versionen
Green (Diskussion | Beiträge) |
Green (Diskussion | Beiträge) |
||
Zeile 750: | Zeile 750: | ||
. | . | ||
</pre> | </pre> | ||
Script security muss auf "2" stehen, damit benutzerspezifische Skripte ausgeführt werden dürfen. Unser Freifunk spezifisches Routing wird über "route-up /etc/openvpn/mullvad_up" ausgeführt, wobei wir vorher openvpn mit "route-noexec" verbieten, automatisch selber Routen anzulegen. Aus Sicherheitsgründen führen wir | Script security muss auf "2" stehen, damit benutzerspezifische Skripte ausgeführt werden dürfen. Unser Freifunk spezifisches Routing wird über "route-up /etc/openvpn/mullvad_up" ausgeführt, wobei wir vorher openvpn mit "route-noexec" verbieten, automatisch selber Routen anzulegen. Aus Sicherheitsgründen führen wir einen kleinen Zeitpuffer von 3 Sekunden ein ("route-delay 3"). Vorhandene Start/Stop-Skripte (up/down) sollten auskommentiert werden. | ||
Vorhandene Start/Stop-Skripte (up/down) sollten auskommentiert werden. | |||
Wer möchte, kann in mullvad_linux.conf auch Länder definieren, über die der VPN Traffic laufen soll (Ein- /Auskommentieren). | Wer möchte, kann in mullvad_linux.conf auch Länder definieren, über die der VPN Traffic laufen soll (Ein- /Auskommentieren). | ||
Der openvpn Tunnel kann nun testweise gestartet werden: | |||
<code> | |||
cd /etc/openvpn | |||
/usr/sbin/openvpn mullvad_linux.conf & | |||
</code> | |||
und sollte exemplarisch und im Auszug folgendes zurück liefern: | |||
<pre> | |||
Sun Sep 6 12:45:20 2015 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec 1 2014 | |||
Sun Sep 6 12:45:20 2015 library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08 | |||
Sun Sep 6 12:45:20 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts | |||
. | |||
. | |||
. | |||
Sun Sep 6 12:45:23 2015 /sbin/ip link set dev tun0 up mtu 1500 | |||
Sun Sep 6 12:45:23 2015 /sbin/ip addr add dev tun0 10.114.0.45/16 broadcast 10.114.255.255 | |||
Sun Sep 6 12:45:23 2015 /sbin/ip -6 addr add fdef:e287:a479:72::102b/112 dev tun0 | |||
Sun Sep 6 12:45:23 2015 /etc/openvpn/mullvad_up tun0 1500 1558 10.114.0.45 255.255.0.0 init | |||
Sun Sep 6 12:45:23 2015 Initialization Sequence Completed | |||
</pre> | |||
Wichtig ist hierbei, dass in der vorletztes Zeile unser Freifunk-spezifisches Routing durchgeführt wird. | |||
Das VPN-Gateway sollte nun als Default Route in der fff-Routingtabelle auftauchen: | |||
<code> | |||
ip route show table fff | grep default | |||
</code> | |||
Exemplarisch wäre eine Ausgabe für das Tunnel-Device tun0 und dem VPN-Gateway 10.114.0.1: | |||
<pre> | |||
default via 10.114.0.1 dev tun0 | |||
</pre> | |||
Auch ein ifconfig Eintrag für das Tunnel Device... | |||
<code> | |||
ifconfig | |||
</code> | |||
sollte jetzt existieren (Exemplarisch und im Auszug): | |||
<pre> | |||
. | |||
. | |||
. | |||
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | |||
inet addr:10.114.0.76 P-t-P:10.114.0.76 Mask:255.255.0.0 | |||
inet6 addr: fdad:bdef:735d:72::104a/112 Scope:Global | |||
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 | |||
RX packets:1012476 errors:0 dropped:0 overruns:0 frame:0 | |||
TX packets:640206 errors:0 dropped:0 overruns:0 carrier:0 | |||
collisions:0 txqueuelen:100 | |||
RX bytes:1250196616 (1.1 GiB) TX bytes:84979294 (81.0 MiB) | |||
. | |||
. | |||
. | |||
</pre> | |||
Wenn alles geklappt hat, kann man (sofern openvpn nicht korrekt beim Systemstart geladen wird), den openvpn Tunnel in der /etc/rc.local bei jedem Systemstart laden: | |||
<code> | |||
vi /etc/rc.local | |||
</code> | |||
und dort z.B. ein zeitverzögertes Starten nach 15 Sekunden vereinbaren: | |||
<pre> | |||
# launch vpn with 15 seconds delay | |||
(sleep 15; cd /etc/openvpn ; /usr/sbin/openvpn mullvad_linux.conf >> /var/log/mullvad_vpn.log &) & | |||
</pre> | |||
=== DHCP Server === | === DHCP Server === |
Version vom 8. September 2015, 12:21 Uhr
TODO
- Bitte kein Wheezy mehr verwenden. Das ist oldstable, wird bald nicht mehr von Debian supported.
- Batman-Adv aus Jessie ist zu neu. Hier muss manuell das alte gebaut werden
- aptitude install build-essential linux-headers-amd64
- clone https://github.com/freifunk-gluon/batman-adv-legacy
- make
- batctl ist auch zu neu
- fastdstart in ein git legen und verlinken
- nameserver installation
- tunnel to other gws
- olsr config
Preface
Für das Aufsetzen eines Freifunk-Gateway gibt es kein universelles Kochrezept. Auch erfahrene Admins erfahren bei der Installation kleinere und grössere Herausforderungen, die es zu überwinden gilt. Unterschiedliche Softwareinstallationen, Netzwerkkonfigurationen, Hoster und VPN Anbieter können Anpassungen zu der hier präsentierten Vorgehensweise notwendig werden lassen, z.B. indem Pakete nach installiert werden oder Netzwerkkonfigurationen angepasst werden müssen. Um dies zu erleichtern, versucht der Artikel nicht nur die Konfiguration darzulegen, die in diesem spezifischen Fall funktioniert hat ("Know-How"), sondern versucht auch kurz auf die Hintergründe einzugehen, um ggf. eine Anpassung zu erleichern ("Know-Why").
Freifunk Franken ist "Development in Progress", d.h. eine Konfiguration die heute funktioniert, wird morgen durch eine andere und vielleicht sogar bessere abgelöst. Ein einmal aufgesetztes Gateway muss sich so der Entwicklung anpassen.
Für Rat und Tat empfiehlt sich die Freifunk Franken Development Mailingliste.
Vorraussetzungen
- ssh-Zugang zum Server
- Root Zugriff auf den Server. Entweder man ist "root" (Annahme in diesem Artikel) oder man kann Befehle mit "root-Rechten" durch ein vorgesetztes "sudo" ausführen.
- Grundlegende Netzwerkkenntnisse
- IPv4 und Netzmaske
- Devices
- Routing (Default route, Interfaces, Routing-Table)
- Kentnisse
- im Umgang mit Texteditoren (der im Artikel verwendete Editor kann durch beliebig andere ersetzt werden, z.B. durch "nano")
- im Umgang mit der Linux Shell (z.B. Kommandozeilenparameter, Shell-Scripte, Umleitungen)
- in der (Selbständige Nach-)Installation von (fehlenden) Software-Paketen
- im Kompilieren von Software-Quellen
Referenzen / Andere Freifunk HowTo's
- http://wiki.freifunk.net/Freifunk_Hamburg/Gateway
- http://wiki.mag.lab.sh/wiki/Freifunk_Fulda/Gateway
Anforderungen an Gateways
Die Anforderungen an das Gateway sind an sich niedrig. Wichtig ist, dass die Möglichkeit besteht, eigene Kernel-Module zu laden und das monatliche Traffic-Kontingent nicht zu niedrig ist. Entsprechend sind OpenVZ, Linux-vServer und ähnliche Containerlösungen nicht geeignet.
Hardware:
- CPU: 1x (64Bit)
- RAM: 256MB .. 1GB
- HDD: > 5 GB
- NIC: 1x
Software:
- Debian Jessie (8) 64Bit Kernel
- fastd v17
- openvpn
- B.A.T.M.A.N. adv 2013.4.0
- dhcpd
- olsr
- bind9
Pauschal gibt es keine Mindestanforderungen für den Trafficverbrauch, folgende Staffelung könnte aber dabei helfen, sich eine Vorstellung davon zu machen, was in etwa pro Monat notwendig ist:
- Dauerlast von 2 Mbit/s: ~633 GB
- Dauerlast von 6 Mbit/s: ~1.9 TB
- Dauerlast von 10 Mbit/s: ~3.2 TB
- Dauerlast von 25 Mbit/s: ~8 TB
Nach den Erfahrungen vom Lübecker Freifunk-Projekt liegt der Traffic-Verbrauch bei zwei Gateways bei ca. 2TB im Monat je Gateway. Auf unserem derzeitigen Gateway haben wir in den letzten Monaten derartige Werte gehabt, wobei sich das Projekt noch aufbaut:
- Januar '13: 243 GB
- Februar '13: 309 GB
Anonymisierung (Störerhaftung)
Sofern der Server nicht über einen Uplink verfügt, wo es egal ist was durchgeht (unseriöse Bulletproof-Hoster), möchte man vermutlich den Traffic aus dem Freifunk-Netz durch ein VPN ins Internet schieben.
Auf längere Sicht, wäre es natürlich wünschenswert, wenn die Problematik der Störerhaftung in ihrer derzeitigen Form wegfällt um beispielsweise eine dezentralere Infrastruktur zu erlauben.
Folgende VPN-Anbieter sind zu diesem Zeitpunkt jedoch empfehlenswert:
- Mullvad (Schweden, Niederlande)
- Bis zu drei gleichzeitige Verbindungen
- Kann man anonym mit Bitcoin bezahlen
- Serverauswahl über die ausgelieferte OpenVPN-Konfiguration
- Server in den Niederlanden sind abends oft stark ausgelastet
- (Gute Erfahrungen in Lübeck)
- Integrity VPN (Schweden, Port80)
- Drittes Oktett durch Auswahl des normalerweise per round.robin-dns ausgewählten OpenVPN-Servers bestimmbar, das letzte Oktett ist immer gleich. Somit muss man sich keine dynamisch vergebenen IP-Adressen mit anderen teilen. Verbindungen daher durch die Anzahl der OpenVPN-Server (derzeit 3; unterschiedliche Ports nicht ausprobiert) beschränkt.
- Hat eine überaus seriöse Webseite und eine Ltd. erfunden.™
- Hat schon mal was von IPv6 gehört. Nutzt es zurzeit jedoch nur für SEO.
- Blockiert Port 25 derzeit nicht.
- Ist ein ein neuer Anbieter, der _bisher_ unausgelastet wirkt.
- sind derzeit noch nicht nicht overselled und haben ihren Krams scheinbar halbwegs sauber konfiguriert
- Ipredator (Schweden, Niederlande, Deutschland)
- (Glänzen nicht durch Kompetenz, da sie lange Zeit nur PPTP angeboten haben)
- Mögen schnelle Reconnects nicht -> manchmal muss man OpenVPN ein paar Stunden deaktivieren, bevor es wieder funktioniert.
- Möchten bald auch IPv6 anbieten.
- Angeblich Reseller von relakks
Ungetestet:
- Anonine VPN (Portlane)
- privacy.io (Portlane)
- prq.se (Eigenes Netz, teuer)
- Arethusa VPN (Loggen in Frankreich, andere Server angeblich nicht)
Einige Freifunknetze mieten auch VMs in Osteuropa. Da die VMs noch nicht an ihre Grezen stößt könnte man diese auch mitnutzen. Ansprechpartner wäre s0ma.
Anbindung an andere Netze
Es gibt drei relativ relevante Netzwerke bei denen es sich lohnt, das lokale Netz damit zu verbinden:
- InterCity-VPN zwischen den meisten Freifunknetzen
- BGP
- kleine Übsicht der http://www.ddmesh.de/topology/ic-vpn-verbindungen.html
- Mehr Infos http://wiki.freifunk.net/IC-VPN
- DN42
- BGP
- Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
- Hat Routen ins ChaosVPN und IC-VPN,
wer faul ist bei der Konfiguration deckt damit also alles™ab nicht alle Routen vom IC-VPN oder ChaosVPN werden im DN42 verteilt, ob man das will kann ggf nochmal besprechen.
- ChaosVPN
- Tinc
- Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.
vServer-Anbieter die empfehlenswert sind
- de-punkt (Databurg, FFM)
- Schneller Speicher, gut bezahlbar, KVM, nur Traffic-Flat™® das übliche.
- Hetzner (Falkenstein)
- Bezahlbar, 6.90€/TB Extratraffic, KVM
- colorhost (über 23media, Global Switch, FFM)
- Untersagt Nutzung für Freifunk (http://colorhost.de/server/vserver/kvm/small/)
- Achtung: Nur Xen oder Xen HVM funktionieren
- xirra (Core-Backbone, NBG)
- KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.
- BuyVM
- Begrenztes Angebot, das in Stößen rausgegeben wird. 2.50$/TB Extratraffic. Nur KVM ist brauchbar für diesen Zweck. USA Ost- und Südküste. TOS sagt, dass man da theoretisch kein weiteres VPN ins Netz brauchen würde.
- webhod
- 9,99 € für die kleinste KVM im Monat[1]
Grundinstallation des Servers
Vom ausgesuchten Hoster lassen wir uns eine aktuelle Linux-Distribution installieren oder ausliefern, wobei sich die Anleitung auf ein Debian 8 / Jessie bezieht.
Repositories und Update
Als erstes bringen wir das System auf den neuesten Stand...
vi /etc/apt/sources.list
...und schauen nach, inwieweit auf die gleichen Software-Repositories verwiesen wird:
deb http://security.debian.org/ jessie/updates main deb-src http://security.debian.org/ jessie/updates main deb http://ftp.de.debian.org/debian/ jessie main contrib non-free deb-src http://ftp.de.debian.org/debian/ jessie main contrib non-free deb http://ftp.de.debian.org/debian/ jessie-updates main deb-src http://ftp.de.debian.org/debian/ jessie-updates main
Danach speichern und das System auf einen aktuellen Stand bringen:
apt-get update
apt-get upgrade
Sicherheit
Den SSH-Zugang besser schützen durch:
- Änderung des Ports
- login nur mit key
- Siehe hier für genaue Anleitung:
apt-get install fail2ban
und einrichten
So,nun sollte der Server ausreichend abgesichert sein.
B.A.T.M.A.N. adv 2013.4.0 Kernel-Modul
Batman-Adv aus Jessie ist zu neu. Hier muss manuell das alte B.A.T.M.A.N. advanced 2013.4.0 gebaut werden.
Hierfür benötigen wir minimal die Paketquellen build-essential linux-headers-amd64, und git:
aptitude install build-essential linux-headers-amd64
aptitude install git
Die Softwarequellen müssen heruntergeladen...
cd ~
git clone https://github.com/freifunk-gluon/batman-adv-legacy
cd batman-adv-legacy
... und kompiliert und installiert werden:
make
make install
Hinweis: Sollten noch Paketquellen fehlen, wird dies während des Kompilierens gemeldet. Die Software-Quellen müssen nachinstalliert werden und der letzte Kompilierungs- und Installationsschritt so lange wiederholt werden, bis die Software erfolgreich erstellt wurde.
Nach erfolgreicher Erstellung kann das B.A.T.M.A.N Kernel Modul per modprobe händisch eingebunden werden:
modprobe batman-adv
Es sollte dann im Kernel-log ....
dmesg | grep batman-adv
... mit einem Eintrag gelistet werden:
batman_adv: B.A.T.M.A.N. advanced 2013.4.0 (compatibility version 14) loaded
Das Kernelmodul von B.A.T.M.A.N. kann dann bei jedem Neustart des Systems geladen werden, indem in die Datei /etc/modules:
vi /etc/modules
..der Eintrag "batman-adv" hinzugefügt wird:
batman-adv
B.A.T.M.A.N adv 2013.4.0 batctl
Gleiches gilt für batctl, ein Kommandozeilenprogramm zur B.A.T.M.A.N Konfiguration. Die alte Version 2013.4.0 muss selber gebaut werden, da die Debian 8 / Jessie Paketquellen zu neu sind.
Herunterladen und Entpacken der Softwarequellen:
cd ~
wget http://downloads.open-mesh.org/batman/releases/batman-adv-2013.4.0/batctl-2013.4.0.tar.gz
tar xzf batctl-2013.4.0.tar.gz
cd batctl-2013.4.0.tar.gz
Kompilieren und Installieren:
make
make install
Hinweis: Auch hier müssen ggf. fehlende Quellen händisch nachinstalliert und das Kompilieren und Installieren bis zum Erfolg wiederholt werden.
FastD
Die Verbindung zwischen Gateway und Router wird über einen fastd-Tunnel realisiert.
Hierfür müssen wir ein neues Repository in der Datei /etc/apt/sources.list deklarieren:
vi /etc/apt/sources.list
Dort fügen wir folgendes Repository an:
deb http://repo.universe-factory.net/debian/ sid main deb-src http://repo.universe-factory.net/debian/ sid main
Danach die PGP Schlüssel holen:
gpg --keyserver hkp://pool.sks-keyservers.net --recv-key 16EF3F64CB201D9C
gpg -a --export 16EF3F64CB201D9C | apt-key add -
Datenbankupdate der Paketverwaltung:
apt-get update
Installation von fastd:
apt-get install fastd
Bind9
Als DNS Server nehmen wir hier den de-facto-Standard bind:
apt-get install bind9
OLSR
Als Routing-Protokoll, um die einzelnen Hoods später zu einem Freifunk-Franken weit kommunizierenden Netz zu verbinden, wird OLSR installiert:
apt-get install olsrd
Neustart
Nach Abschluss der Softwareinstallation empfiehlt sich ein Neustart des Gateways:
reboot & exit
Konfigurieren des Freifunk-Gateways
Nachdem nun die erforderlichen Softwarepakete auf dem Gateway installiert wurden, kann man das Gateway als solches einrichten. Die Konfiguration wird exemplarisch für das Einrichten eines GW's in der Fürther Hood beschrieben, wobei erläutert wird, welche Anpassungen für nicht-Fürther Hoods gemacht werden müssen.
IPv4 des Gateways, IP-Bereich der Hood und DHCP Range des Gateway
Für das Gateway suchen wir uns unter Portal:Netz eine IPv4 Adresse aus dem statischen Range der Hood aus. Für Fürth läuft der Bereich für die statischen Adressen z.B. von 10.50.32.1 - 10.50.32.255. Hiervon suchen wir uns eine freie Adresse aus, und reservieren diese, indem wir sie weiter unten in die Tabelle der statischen IPs eintragen. So sind z.Zt. 10.50.32.1 (ro1.freifunk-franken.de) bis 10.50.32.5 (klee) reserviert. Die nächste freie IPv4 in der Fürther Hood wäre (im Moment) 10.50.32.6, die als IP für ein neues Gateway reserviert werden könnte.
Die Fürther Hood hat den IP-Bereich 10.50.32.0-10.50.32.255. Als Netzwerk wird dieser Bereich mit 10.50.32.0/21 deklariert, d.h. die ersten 21 Bit der IP identifizieren das Netzwerk "Fürther Hood" und die restlichen 11 Bit stehen zur IP Vergabe zur Verfügung, wobei Anfang (10.50.32.0) und Ende des Bereiches (10.50.39.255) reserviert sind und nicht, weder statisch noch dynamisch durch DHCP, belegt werden dürfen. Eine alternative Schreibweise zu 10.50.32.0/21 ist das Double "Network 10.50.32.0" und "Netmask 255.255.248.0". Ein entsprechender IP-Rechner zur analogen Anwendung in anderen Hoods findet sich z.B. hier.
Ebenso sollte man einen DHCP-Bereich innerhalb des IP-Bereichs der jeweiligen Hood, die der GW bedienen soll, reservieren (d.h. in die oberer Tabelle unter Portal:Netz eintragen). Jeder DHCP-Server vergibt dynamisch IPv4 Adressen an Clients aus einem vorher definierten Adressbereich. Dieser Adressbereich sollte sich:
- innerhalb des IP-Range der Hood bewegen
- sich nicht mit dem Adressbereich überschneiden, den andere DHCP Server in der Hood verwalten
- sich nicht mit dem Bereich der statischen Adressen der Hood überschneiden
Gleichzeitig teilt der DHCP-Server den Clients mit, welchen DNS-Server und welches Default-Gateway die Clients verwenden sollen. Die Gesamtgröße aller verwalteten DHCP-Bereiche des Servers hat so direkten Einfluss auf die Arbeitslast, die der den Clients zugeteilte DNS-Server und der zugeteilte Internet-Gateway später sehen. Vom gesamten IP-Bereich der Fürther Hood vergibt z.B. das Gateway fff-nue1 die Teilmenge 10.50.35.0 - 10.50.36.255 an Clients und teilt ihnen auf dem Weg auch gleich mit, wie sie Domain-Namen in IPs auflösen und auf welchem Weg sie ins Internet oder in andere Hoods kommen.
Routing Tabelle für Freifunk
Fürs Routing im Freifunk Franken Netz wird eine eigene Routing Tabelle namens "fff" deklariert.
Dies geschieht indem man in der Datei /etc/iproute2/rt_tables ...
vi /etc/iproute2/rt_tables
... folgendes am Ende einfügt:
10 fff
Unsere Freifunk Routing Tabelle lässt sich später durch
ip route show table fff
anzeigen, sobald wir die Tabelle mit Einträgen füllen.
B.A.T.M.A.N Netzwerk-Interface, fff Routingregeln und -tabelle
In der Datei /etc/network/interfaces ...
vi /etc/network/interfaces
fügen wir zunächst folgenden Textblock des Gateways "klee" aus der Fürther Hood an:
# device: bat0 auto bat0 iface bat0 inet manual post-up ifconfig $IFACE up ##Einschalten post-up: # IP des Gateways am B.A.T.M.A.N interface: post-up ip addr add 10.50.32.5/21 dev $IFACE # Regeln, wann die fff Routing-Tabelle benutzt werden soll: post-up ip rule add iif $IFACE table fff post-up ip rule add from 10.0.0.0/8 table fff post-up ip rule add to 10.0.0.0/8 table fff # Route in die Fuerther Hood: post-up ip route add 10.50.32.0/21 dev $IFACE table fff # Start des DHCP Servers: post-up invoke-rc.d isc-dhcp-server restart ##Einschalten post-down: # Loeschen von oben definieren Routen, Regeln und Interface: post-down ip route del 10.50.32.0/21 dev $IFACE table fff post-down ip rule del from 10.0.0.8/8 table fff post-down ip rule del to 10.0.0.0/8 table fff post-down ip rule del iif $IFACE table fff post-down ifconfig $IFACE down # VPN Verbindung in die Fuerther Hood auto ffffuerthVPN iface ffffuerthVPN inet manual post-up batctl -m bat0 if add $IFACE post-up ifconfig $IFACE up post-up ifup bat0 post-down ifdown bat0 post-down ifconfig $IFACE down
In diesem Beispiel sind:
- IP des Gateway/Netzmaske der Fürther Hood: 10.50.32.5/21
- IP des Netzwerks Fürther Hood / Netzmaske der Fürther Hood: 10.50.32.0/21.
Diese müssen gegen die oben reservierte IP des Gateways/Netzmaske der Hood und gegen die Netzwerk-IP/Netzmaske der Hood, in die das neue Gateway soll, ausgetauscht werden.
Der Eintrag "ip route add 10.50.32.0/21 dev $IFACE table fff" fügt in der fff Routingtabelle eine Route in das Netzwerk "Fürther Hood" ein. Für Hassberge müsste dieser Eintrag z.B. in 10.50.56.0/22 geändert und für die IP-Adresse des Gateways eine aus dem statischen Bereich der Hassberger Hood reserviert und verwendet werden (Siehe Portal).
Die Regeln definieren, das Traffic der
- aus dem Netzwerk 10.0.0.0/8 kommt
- das Netzwerk 10.0.0.0/8 zum Ziel hat
- oder über die B.A.T.M.A.N Schnittstelle übermittelt wird
von der fff Routingtabelle behandelt werden. Die Einträge sind so allgemein formuliert, dass sie für das gesamte Freifunk Franken Netz Gültigkeit haben sollten.
Im post-down Abschnitt werden die vorher definierten Regeln, Interfaces und Routen wieder gelöscht.
Der untere Abschnitt definiert einen VPN Tunnel in die Fürther Hood. Der Name des Interfaces im Beispiel (ffffuerthVPN) kann individuell neu vergeben werden.
FastD Start- und Verwaltungsscript
Für die Konfigurstion von fastd erstelen wir eine Datei in /etc/fastd mit dem Befehl:
touch fff_beispiel_fastd.sh
danach öffnen wir diese:
vi /etc/fastd/fff_beispiel_fastd.sh
und fügen folgendes Skript ein:
#!/bin/sh SERVER="yes" SERVERNAME="beispiel" hood="hood eintragen" project="fff" port=10004 SERVERNAME="$SERVERNAME.$hood" hostname=$SERVERNAME if [ ! -d /etc/fastd ] then mkdir /etc/fastd fi if [ ! -d /etc/fastd/$project.$hood ] then mkdir /etc/fastd/$project.$hood mkdir /etc/fastd/$project.$hood/peers echo "# Log warnings and errors to stderr" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "log level error;" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Log everything to a log file" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "log to syslog as \"${project}${hood}\" level info;" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Set the interface name" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "interface \"${project}${hood}VPN\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "#method \"xsalsa20-poly1305\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "#method \"aes128-gcm\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "method \"null\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Bind to a fixed port, IPv4 only" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "bind any:${port};" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Secret key generated by \"fastd --generate-key\"" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "secret \"$(fastd --generate-key | grep -i Secret | awk '{print $2}')\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# (see MTU selection documentation)" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "mtu 1426;" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "on up \"/etc/fastd/${project}.${hood}/up.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "on post-down \"/etc/fastd/${project}.${hood}/down.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "# Include peers from the directory 'peers'" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "include peers from \"/etc/fastd/${project}.${hood}/peers\";" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "secure handshakes no;" >> /etc/fastd/$project.$hood/$project.$hood.conf echo "#!/bin/sh" >> /etc/fastd/$project.$hood/down.sh echo "/sbin/ifdown \$INTERFACE" >> /etc/fastd/$project.$hood/down.sh chmod +x /etc/fastd/$project.$hood/down.sh echo "#!/bin/sh" >> /etc/fastd/$project.$hood/up.sh echo "/sbin/ifup \$INTERFACE" >> /etc/fastd/$project.$hood/up.sh chmod +x /etc/fastd/$project.$hood/up.sh fi pubkey=$(fastd -c /etc/fastd/$project.$hood/$project.$hood.conf --show-key --machine-readable) port=$(grep ^bind /etc/fastd/$project.$hood/$project.$hood.conf | cut -d: -f2 | cut -d\; -f1) # fire up if [ "$(/sbin/ifconfig -a | grep -i ethernet | grep ${project}${hood}VPN)" = "" ] then /bin/rm /var/run/fastd.$project.$hood.pid fastd -c /etc/fastd/$project.$hood/$project.$hood.conf -d --pid-file /var/run/fastd.$project.$hood.pid fi # register wget -T15 "http://mastersword.de/~reddog/fff/?name=$hostname&port=$port&key=$pubkey" -O /tmp/fastd_${project}.${hood}_output if [ "$?" != "0" ] then echo "Update failed" echo "Exiting, no clean up, no refresh" exit fi touch /tmp/fastd_${project}.${hood}_starting filenames=$(cat /tmp/fastd_${project}.${hood}_output| grep ^#### | sed -e 's/^####//' | sed -e 's/.conf//g') for file in $filenames do grep -A100 ^####$file.conf$ /tmp/fastd_${project}.${hood}_output | grep -v ^####$file.conf$ | grep -m1 ^### -B100 | grep -v ^### | sed 's/ float;/;/g' > /etc/fastd/$project.$hood/peers/$file echo 'float yes;' >> /etc/fastd/$project.$hood/peers/$file done echo "Lösche alte:" find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print | xargs /bin/rm /tmp/fastd_${project}.${hood}_starting #reload kill -HUP $(cat /var/run/fastd.$project.$hood.pid) exit 0
Das Skript konfiguriert fastd, indem es
- einen Schlüssel generiert, sollte keiner existieren
- diesen Schlüssel mit dem Keyserver austauscht
- die fastd Konfigurationsdatei anlegt
- den fastd Dämonen startet
Lediglich der Servername und die Hood müssen oben im Skript händisch angepasst werden. Der Dateiname des Skripts kann individuell angepasst werden.
Testen von B.A.T.M.A.N, fastd und Autostart
Hierfür booten wir das Gateway am besten erst mal neu:
reboot & exit
und starten das fast.d Startskript manuell:
/etc/fastd/fff_beispiel_fastd.sh &
Beim Erststart werden Schlüsselpaare generiert und ausgetauscht, es kann also etwas dauern.
Danach sollte der Aufruf von...
pgrep fastd
... mit der Prozess-ID beantwortet werden: Fastd läuft in dem Fall.
Ein Aufruf von ifconfig:
ifconfig
sollte die neu erstellten Interfaces bat0 und ffffuerthVPN zurückliefern. Exemplarisch und als Auszug:
bat0 Link encap:Ethernet HWaddr ea:95:50:07:f7:27 inet addr:10.50.32.5 Bcast:0.0.0.0 Mask:255.255.248.0 inet6 addr: fe80::e895:50ff:fe07:f727/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1089992 errors:0 dropped:0 overruns:0 frame:0 TX packets:849698 errors:0 dropped:1728 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:141311612 (134.7 MiB) TX bytes:1052934594 (1004.1 MiB) . . . ffffuerthVPN Link encap:Ethernet HWaddr e6:3b:f3:b7:fc:db inet6 addr: fe80::e43b:f3ff:feb7:fcdb/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1426 Metric:1 RX packets:32389694 errors:0 dropped:0 overruns:0 frame:0 TX packets:2699525 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:4193328694 (3.9 GiB) TX bytes:1384843740 (1.2 GiB) . . .
Aus dem ifconfig Auszug für bat0 sollte die eingerichtete IP des Gateways und die Netzmaske hervorgehen.
Die Abfrage der IP-Regeln:
ip rule
sollte die oben definieren Regeln wieder spiegeln (fff Tabelle für Traffic, der entweder über bat0 oder 10.0.0.0/8 rein- oder rausgeht):
32757: from all to 10.0.0.0/8 lookup fff 32758: from 10.0.0.0/8 lookup fff 32759: from all iif bat0 lookup fff
Eine Abfrage der fff-Routing Tabelle
ip route show table fff
sollte die B.A.T.M.A.N Route (Device bat0) in das Netzwerk der eingerichtete Hood ergeben. In diesem Beispiel ist es die Fürther Hood:
10.50.32.0/21 dev bat0 scope link
Ein Aufruf von "batctl o"
batctl o
ergibt eine Liste der MAC-Adressen von unseren nächsten Nachbarn. Exemplarisch und als Auszug:
[B.A.T.M.A.N. adv 2013.4.0, MainIF/MAC: ffffuerthVPN/e6:3b:f3:b7:fc:db (bat0)] Originator last-seen (#/255) Nexthop [outgoingIF]: Potential nexthops ... 96:43:c4:2e:73:68 0.004s (255) 96:43:c4:2e:73:68 [ffffuerthVPN]: 96:43:c4:2e:73:68 (255) . . .
Hat soweit alles geklappt, kann das Startscript /etc/fastd/fff_beispiel_fastd.sh bei jedem Systemstart ausgeführt werden, indem es z.B. in /etc/rc.local eingetragen wird:
vi /etc/rc.local
Hier spendieren wir einen Eintrag, der fastd mit 60 Sekunden Verzögerung bei jedem Systemstart mitstartet:
# launch fastd with 60 seconds delay (sleep 60; sh /etc/fastd/fff_fuerth_fastd.sh) &
Alternativ oder zusätzlich kann auch ein Cronjob angelegt werden, der das Skript z.B. alle 10 Minuten ausführt:
sudo crontab -e
Nun folgendes eingeben:
*/10 * * * * sh /etc/fastd/fff_fuerth_fastd.sh
und
/etc/init.d/cron restart
OpenVPN-Tunnel einrichten
Die Einrichtung eines OpenVPN Tunnels kann von Anbieter zu Anbieter variieren. Im Laufe der Zeit sollte die Dokumentation so um funktionierende Konfigurationen verschiedener Anbieter erweitert werden.
Mullvad
Mullvad liefert in der Datei mullvadconfig.zip, die notwendigen Schlüssel (ca.crt, mullvad.crt, mullvad.key) als auch eine Konfigurationsdatei (mullvad_linux.conf) mit, die später angepasst werden muss.
Man kopiert nun die zip-Datei auf das Gateway, entpackt sié und kopiert das Kundenummern-Verzeichnis mit dem Dateien ca.crt, crl.pem, mullvad.crt, mullvad.key, mullvad_linux.conf nach /etc/openvpn:
Auf dem lokalen Rechner kopieren wir die zip Datei per scp für Windows oder Linux auf das Gateway.
Als unverbindliche Richtschnur für Linux:
scp mullvadconfig.zip root@<ipv4 des Gateways>:/root
Danach loggen wir uns auf dem Gateway ein und entpacken die Datei:
ssh root@<ipv4 des Gateways>
unzip mullvadconfig.zip
cd <Kundennummernverzeichnis>
cp * /etc/openvpn
/etc/openvpn/ sollte mit dem Inhalt des entpackten mullvadconfig.zip Archivs dann so aussehen:
ca.crt crl.pem mullvad.crt mullvad.key mullvad_linux.conf mullvad_up mullvad_windows.conf.ovpn
Wichtiger Hinweis: Wer sich nicht von seinem Gateway aussperren möchte, sollte so lange den Rechner nicht neu starten, wie die openvpn Konfiguration nicht wie unten angepasst wurde. Ggf. ist dann noch ein Zugriff über die hoster-Konsole möglich.
Wir legen ein benutzerspezifisches start-up Script namens mullvad-up an:
touch /etc/openvpn/mullvad-up
öffnen die Datei:
vi /etc/openvpn/mullvad-up
und füllen sie mit folgendem Inhalt:
#!/bin/bash logger -t OPENVPN VPN Gateway: /sbin/ip route add default via ${route_vpn_gateway} dev ${dev} table fff /sbin/ip route add default via ${route_vpn_gateway} dev ${dev} table fff iptables -t nat -A POSTROUTING -o ${dev} -j MASQUERADE
Das Skript definiert in der fff-Routingtabelle zunächst als Standard-Gateway das des VPN-Anbieters ("/sbin/ip route add default via ${route_vpn_gateway} dev ${dev} table fff"). D.h. Traffic, der über das Freifunk-Netz hereinkommt (Definiert über die fff Rules) und nicht anderweitig geroutet werden kann (z.B. Internet Traffic), wird pauschal in Richtung des VPN Gateways geschickt (IP ${route_vpn_gateway}, Device ${dev}). Die Routingtabelle für Traffic, der nicht freifunkbezogen ist, bleibt unangetastet, um sich nicht selber auszusperren. Da wir Anfragen vieler Clients (verschiedene IPs) über eine VPN IP schieben, müssen wir darüber hinaus "Network Adress Translation" (NAT) betreiben ("iptables -t nat -A POSTROUTING -o ${dev} -j MASQUERADE"). Dies ist auch erforderlich, da der Freifunk IPv4 Adressbereich 10.0.0.0/8 für lokale Netze reserviert ist und nicht im Internet geroutet wird.
Das Skript mullvad-up muss ferner ausführbar sein:
chmod +x /etc/openvpn/mullvad-up
Dieses spezifische Routing muss zwingend in mullvad_linux.conf eingepflegt werden:
vi /etc/openvpn/mullvad.conf
und hier die Konfiguration entsprechend geändert werden:
. . . # Allow calling of built-in executables and user-defined scripts. script-security 2 # Parses DHCP options from openvpn to update resolv.conf #up /etc/openvpn/update-resolv-conf #down /etc/openvpn/update-resolv-conf # Enable Freifunk specific Routing route-noexec route-delay 3 route-up /etc/openvpn/mullvad_up . . .
Script security muss auf "2" stehen, damit benutzerspezifische Skripte ausgeführt werden dürfen. Unser Freifunk spezifisches Routing wird über "route-up /etc/openvpn/mullvad_up" ausgeführt, wobei wir vorher openvpn mit "route-noexec" verbieten, automatisch selber Routen anzulegen. Aus Sicherheitsgründen führen wir einen kleinen Zeitpuffer von 3 Sekunden ein ("route-delay 3"). Vorhandene Start/Stop-Skripte (up/down) sollten auskommentiert werden.
Wer möchte, kann in mullvad_linux.conf auch Länder definieren, über die der VPN Traffic laufen soll (Ein- /Auskommentieren).
Der openvpn Tunnel kann nun testweise gestartet werden:
cd /etc/openvpn
/usr/sbin/openvpn mullvad_linux.conf &
und sollte exemplarisch und im Auszug folgendes zurück liefern:
Sun Sep 6 12:45:20 2015 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec 1 2014 Sun Sep 6 12:45:20 2015 library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08 Sun Sep 6 12:45:20 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts . . . Sun Sep 6 12:45:23 2015 /sbin/ip link set dev tun0 up mtu 1500 Sun Sep 6 12:45:23 2015 /sbin/ip addr add dev tun0 10.114.0.45/16 broadcast 10.114.255.255 Sun Sep 6 12:45:23 2015 /sbin/ip -6 addr add fdef:e287:a479:72::102b/112 dev tun0 Sun Sep 6 12:45:23 2015 /etc/openvpn/mullvad_up tun0 1500 1558 10.114.0.45 255.255.0.0 init Sun Sep 6 12:45:23 2015 Initialization Sequence Completed
Wichtig ist hierbei, dass in der vorletztes Zeile unser Freifunk-spezifisches Routing durchgeführt wird.
Das VPN-Gateway sollte nun als Default Route in der fff-Routingtabelle auftauchen:
ip route show table fff | grep default
Exemplarisch wäre eine Ausgabe für das Tunnel-Device tun0 und dem VPN-Gateway 10.114.0.1:
default via 10.114.0.1 dev tun0
Auch ein ifconfig Eintrag für das Tunnel Device...
ifconfig
sollte jetzt existieren (Exemplarisch und im Auszug):
. . . tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.114.0.76 P-t-P:10.114.0.76 Mask:255.255.0.0 inet6 addr: fdad:bdef:735d:72::104a/112 Scope:Global UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:1012476 errors:0 dropped:0 overruns:0 frame:0 TX packets:640206 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1250196616 (1.1 GiB) TX bytes:84979294 (81.0 MiB) . . .
Wenn alles geklappt hat, kann man (sofern openvpn nicht korrekt beim Systemstart geladen wird), den openvpn Tunnel in der /etc/rc.local bei jedem Systemstart laden:
vi /etc/rc.local
und dort z.B. ein zeitverzögertes Starten nach 15 Sekunden vereinbaren:
# launch vpn with 15 seconds delay (sleep 15; cd /etc/openvpn ; /usr/sbin/openvpn mullvad_linux.conf >> /var/log/mullvad_vpn.log &) &
DHCP Server
Nun noch den DHCP Konfigurieren:
sudo apt-get install isc-dhcp-server
Konfiguration öffnen:
sudo vi /etc/default/isc-dhcp-server
und Interface eintragen:
INTERFACES="bat0"
sudo vi /etc/dhcp/dhcpd.conf
und folgendes einfügen:
option domain-name "freifunk-franken.de"; option domain-name-servers 10.50.16.1; authoritative; # beispielhood subnet 10.50.56.0 netmask 255.255.252.0 { range 10.50.59.0 10.50.59.254; option routers 10.50.56.3; option domain-name-servers 10.50.56.3; }
die ip und die range muss natürlich in die bereits ,am Anfang im Wiki reservierten, ausgetauscht werden ;-)
So, nun werden wir am besten einen reboot durchführen und schauen ob alles läuft.