L2TP und Tunneldigger
Diese Seite befindet sich noch im Entwurfsstadium.
Hilf mit sie zu verbessern!
Dies sind sie ersten zaghaften Versuche von fastd auf L2TP zu switchen, bzw. beide parallel zu nutzen. Dies soll nur eine kurze Zusammenfassung sein, was schon gemacht wurde. Nicht dass doppelte Arbeit geleistet wird. Doku folgt bei Erfolg
Vorteile: *Weniger CPU Last auf den Gateway Servern
Nachteile: *Umstellung von GWs und Firmware
Am Router
Ich habe euch nen tarball gemacht. Da ist alles drin und läuft mit der normalen aktuellen stable.
Sicherstellen das am Router die Kernelmodule enthalten sind. Bei meinen wr1043 v0.5.2 war dies nicht der Fall.
lsmod
sollte u.a. folgende Ausgabe liefern:
... l2tp_core 12733 4 l2tp_ip6 l2tp_eth 2672 1 l2tp_ip 4704 0 l2tp_ip6 5760 0 l2tp_netlink 6536 1 l2tp_eth ...
dann ist das Kernelmodul im Router enthalten und es kann nach Anleitung fortgefahren werden.
Folgendes am Router ausführen:
wget -P/ langhammer-mainberg.de/fff/tunneldigger.tar cd / && tar -xf tunneldigger.tar
Jetzt einmal die Konfig erstellen:
l2tunnel conf
und starten (macht der Router beim nächsten reboot automatisch)
/etc/init.d/tunneldigger start
man steuert das ganze mit dem Kommando l2tunnel
Viel Spass damit!
Wenn der Router neu startet, läuft fastd. Alles bleibt beim alten. Ihr müsst die Tunnel dann händisch mit l2tunnel scharf machen. Es ist zum Testen gedacht.
Wie man den Tunneldigger in die Firmware einbaut, findest du hier
Am Gateway
So, jetzt brauchen wir noch Gateways mit dem Broker. Aus der Doku auf https://tunneldigger.readthedocs.org/en/latest/server.html haben wir mal die wichtigen Zeilen rausgezogen:
Voraussetzungen Nötige Pakete holen:
sudo apt-get install iproute bridge-utils libnetfilter-conntrack3 python-dev libevent-dev ebtables python-virtualenv
Kernelmodule beim Booten laden: (Nötig??)
echo "l2tp_core l2tp_eth l2tp_netlink" >> /etc/modules
Installation:
mkdir /srv/tunneldigger
cd /srv/tunneldigger
virtualenv env_tunneldigger
cd /srv/tunneldigger
git clone https://github.com/wlanslovenija/tunneldigger.git
. env_tunneldigger/bin/activate
pip install -r tunneldigger/broker/requirements.txt
Konfiguration in /srv/tunneldigger/tunneldigger/broker/l2tp_broker-sued.cfg anpassen (Öffentliche IP des Gateway Ports und Interface, port und idbase, namespace)
l2tp_broker-sued.cfg steht für die Hood, könnte also auch l2tp_broker-nbg oder l2tp_broker-wue.cfg heisen. Pro Hood muss ein eigener Broker mit up und down erstellt werden.
Wichtig! Port für die entsprechende Hood = fastd-port + 10000.
[broker] ; IP address the broker will listen and accept tunnels on address=a.b.c.d #öffentliche ip des Servers ; Ports where the broker will listen on port=fastd-port + 10000 ; Interface with that IP address interface=eth0 ; Maximum number of tunnels that will be allowed by the broker max_tunnels=1024 ; Tunnel port base port_base=20000 #(für jede Brokerinstanz eine andere) ; Tunnel id base tunnel_id_base=100 #(für jede Brokerinstanz eine andere) ; Namespace (for running multiple brokers); note that you must also ; configure disjunct ports, and tunnel identifiers in order for ; namespacing to work namespace=has-sued ; check if all kernel module are loaded. Do not check for built-ins. check_modules=true [log] ; Log filename filename=tunneldigger-broker.log ; Verbosity verbosity=DEBUG ; Should IP addresses be logged or not log_ip_addresses=false [hooks] ; Arguments to the session.{up,pre-down,down} hooks are as follows: ; ; <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port> <local_port> ; ; Arguments to the session.mtu-changed hook are as follows: ; ; <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu> ; ; Called after the tunnel interface goes up session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up ; Called just before the tunnel interface goes down session.pre-down= ; Called after the tunnel interface goes down session.down=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down ; Called after the tunnel MTU gets changed because of PMTU discovery session.mtu-changed=
Hook Scripte /srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
#!/bin/bash INTERFACE="$3" ip link set dev $INTERFACE up /usr/sbin/batctl -m <bat interface von has-sued> if add $INTERFACE
/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
#!/bin/bash INTERFACE="$3" /usr/sbin/batctl -m <bat interface von has-sued> if del $INTERFACE
(Das sind nur Beispiele. Hier kann man die neuen Interfaces einstellen, Bridges zuordnen und ....
Wenn batctl nicht in /usr/sbin liegt, Pfad anpassen. Bei mir liegt es z.b. in /usr/local/sbin
Wichtig: die up und down scripts müssem durch "chmod +x has-sued.up" bzw "chmod +x hassued.down" ausführbar gemacht werden.
Start einrichten:
Systemd Start Unit in /etc/systemd/system/tunneldigger-broker-sued.service
[Unit] Description=tunneldigger tunnelling network daemon using l2tpv3 After=network.target auditd.service [Service] Type=simple WorkingDirectory=/srv/tunneldigger/tunneldigger ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main /srv/tunneldigger/tunneldigger/broker/l2tp_broker-sued.cfg KillMode=process Restart=on-failure [Install] WantedBy=multi-user.target
Jetzt noch den Service anmelden, autostart und manuell Start
systemctl daemon-reload
systemctl enable tunneldigger-broker-sued.service
systemctl start tunneldigger-broker-sued.service
Das kann man jetzt mehrfach machen mit unterschiedlichen Konfigurationen für verschiedene Hoods.
Falls es Probleme beim Start des Brokers geben sollte, kann probiert werden im file l2tp_broker-xxx.cfg alle ";" ,zum auskommentieren, durch "#" zu ersetzen
über "systemctl status tunneldigger-broker-xxx.service" kann man den Status erfragen.
Tunnel aufbauen
Ihr findet im tarball das kleine Skript l2tunnel zum steuern der Tunnel (s. oben)
Auf dem Router kann man auch mal von Hand mit
tunneldigger -f -u 123 -l <localIP> -b <Gw IP:Port> -i l2tp
den Tunnel aufbauen
Das OpenWrt Packet vom Tunneldigger bringt auch ein Startscript mit und eine Config-Datei: /etc/config/tunneldigger Hier können die Tunneldevices konfiguriert werden.
config broker list address '192.168.100.20:10050' # list address '20.30.40.50:53' # list address 'x.y.z.w:123' option uuid 'abcd' option interface 'l2tp0' # option limit_bw_down '1024' option enabled '1' # option hook_script '/etc/tunneldigger.hook' config broker list address '192.168.200.20:20050' # list address 'x.y.z.w:53' # list address 'x.y.z.w:123' option uuid 'efgh' option interface 'l2tp1' # option limit_bw_down '1024' option enabled '1' # option hook_script '/etc/tunneldigger.hook2'
Jetzt geht es ans Testen:
Wie müssen bei uns die Hook Skripte aussehen?
Wie stabil sind die Tunnel z.B bei Zwangstrennung vom Provider?
Hier scheint die Verbindung verloren zu gehen und der Tunnel bricht zusammen. Quick&Dirty Lösung:
vi /etc/l2trestart.sh
anlegen und mit
#!/bin/sh /etc/init.d/tunneldigger start l2tunnel on
füllen. Datei ausführbar machen:
chmod +x /etc/l2trestart.sh
vi /usr/lib/micron.d/default
editieren und folgende Zeile hinzufügen:
*/5 * * * * sh /etc/l2trestart.sh
micrond noch eben neu starten:
/etc/init.d/micrond restart
Laufen fastd und l2tp parallel?
Und natürlich die Sache mit der mtu.
usw.....