Freifunk-Gateway aufsetzen: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
K (Kategorie:Technik ergänzt; Als Entwurf markiert)
Keine Bearbeitungszusammenfassung
Zeile 106: Zeile 106:
Dann kann es ja losgehen:
Dann kann es ja losgehen:


Zuerst wird über PROXMOX (Zugangsdaten findet man im eigenen Acccount von Webhod) ein Debian 7 WHEEZY installiert [https://www.debian.org/releases/wheezy/amd64/], falls es nicht schon vorinstalliert ist.
Zuerst wird über PROXMOX (Zugangsdaten findet man im eigenen Acccount von Webhod) ein Debian 7 WHEEZY installiert [https://www.debian.org/releases/wheezy/amd64/], falls es nicht schon vorinstalliert ist. Am besten nur die Minimal-Installation,alles andere was dann wirklich gebraucht wird, kann per apt-get nachinstalliert werden.
 
Als erstes bringen wir das System auf den neuesten Stand
 
# sudo vi /etc/apt/sources.list
 
und folgende Quellen hinzufügen:
 
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
 
deb http://ftp.de.debian.org/debian/ wheezy main contrib non-free
deb-src http://ftp.de.debian.org/debian/ wheezy main contrib non-free
 
deb http://ftp.de.debian.org/debian/ wheezy-updates main
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main
 
danach speichern und 
 
sudo apt-get update
sudo apt-get upgrade
 
Den SSH-Zugang besser schützen durch:
Änderung des Ports
login nur mit key
Siehe hier für genaue Anleitung:
[http://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers]
 
sudo apt-get install fail2ban
 
und einrichten
[http://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban_absichern]
 
So,nun sollte der Server ausreichend abgesichert sein.
 
Nun können wir mit dem Aufsetzen des Freifunk-GW beginnen.
 
Dazu brauchen wir eine neue Quelle:
 
vi /etc/apt/sources.list
 
und folgende hinzufügen:
 
deb http://repo.universe-factory.net/debian/ sid main
deb-src http://repo.universe-factory.net/debian/ sid main
 
danach die PGP Schlüssel holen:
 
gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
gpg -a --export 16EF3F64CB201D9C | apt-key add -
 
sudo apt-get update0
 
Nun können wir das B.A.T.M.A.N.-Modul und fastd laden
 
sudo apt-get install batctl batman-adv-dkms fastd
sudo modprobe batman-adv
 
da das Kernelmodul B.A.T.M.A.N. bei Neustart des Systems geladen werden soll
 
sudo vi /etc/modules              und
 
batman-adv
 
hinzufügen.
 
Dann ertellen wir eine Datei in /etc/fastd
 
touch fff_beispiel_fastd.sh
 
danach
 
vi /etc/fastd/fff_beispiel_fastd.sh
 
und folgendes skript einfügen:
 
#!/bin/sh
 
SERVER="yes"
SERVERNAME="fff-has"
 
hood="hberg"
project="fff"
port=10004
 
SERVERNAME="$SERVERNAME.$hood"
 
hostname=$SERVERNAME
 
if [ ! -d /etc/fastd ]
then
        mkdir /etc/fastd
fi
 
if [ ! -d /etc/fastd/$project.$hood ]
then
        mkdir /etc/fastd/$project.$hood
        mkdir /etc/fastd/$project.$hood/peers
 
        echo "# Log warnings and errors to stderr" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "log level error;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Log everything to a log file" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "log to syslog as \"${project}${hood}\" level info;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface name" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "interface \"${project}${hood}VPN\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"xsalsa20-poly1305\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"aes128-gcm\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "method \"null\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Bind to a fixed port, IPv4 only" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "bind any:${port};" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Secret key generated by \"fastd --generate-key\"" >> /etc/fastd/$project.$hood/$project.$hood.conf
              echo "secret \"$(fastd --generate-key | grep -i Secret | awk '{print $2}')\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# (see MTU selection documentation)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "mtu 1426;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on up \"/etc/fastd/${project}.${hood}/up.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on post-down \"/etc/fastd/${project}.${hood}/down.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Include peers from the directory 'peers'" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "include peers from \"/etc/fastd/${project}.${hood}/peers\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "secure handshakes no;" >> /etc/fastd/$project.$hood/$project.$hood.conf
 
        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/down.sh
        echo "/sbin/ifdown \$INTERFACE" >> /etc/fastd/$project.$hood/down.sh
        chmod +x /etc/fastd/$project.$hood/down.sh
 
        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/up.sh
        echo "/sbin/ifup \$INTERFACE" >> /etc/fastd/$project.$hood/up.sh
        chmod +x /etc/fastd/$project.$hood/up.sh
fi
 
pubkey=$(fastd -c /etc/fastd/$project.$hood/$project.$hood.conf --show-key --machine-readable)
port=$(grep ^bind /etc/fastd/$project.$hood/$project.$hood.conf | cut -d: -f2 | cut -d\; -f1)
 
# fire up
if [ "$(/sbin/ifconfig -a | grep -i ethernet | grep ${project}${hood}VPN)" = "" ]
then
/bin/rm /var/run/fastd.$project.$hood.pid
fastd -c /etc/fastd/$project.$hood/$project.$hood.conf -d --pid-file /var/run/fastd.$project.$hood.pid
fi
 
# register
wget -T15 "http://mastersword.de/~reddog/fff/?name=$hostname&port=$port&key=$pubkey" -O /tmp/fastd_${project}.${hood}_output
if [ "$?" != "0" ]
then
        echo "Update failed"
        echo "Exiting, no clean up, no refresh"
        exit
fi
 
touch /tmp/fastd_${project}.${hood}_starting
 
filenames=$(cat /tmp/fastd_${project}.${hood}_output| grep ^#### | sed -e 's/^####//' | sed -e 's/.conf//g')
for file in $filenames
do
grep -A100 ^####$file.conf$ /tmp/fastd_${project}.${hood}_output | grep -v ^####$file.conf$ | grep -m1 ^### -B100 | grep -v ^### | sed 's/ float;/;/g' > /etc/fastd/$project.$hood/peers/$file
echo 'float yes;' >> /etc/fastd/$project.$hood/peers/$file
done
 
echo "Lösche alte:"
 
find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print
find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print | xargs /bin/rm /tmp/fastd_${project}.${hood}_starting
 
#reload
kill -HUP $(cat /var/run/fastd.$project.$hood.pid)
 
exit 0
 
 
Speichern
 
Nun müssen wir einen Cronjob anlegen, der das Skript alle 5 Minuten ausführt:
 
                                                                                             
 


[[Kategorie:Technik]]
[[Kategorie:Technik]]

Version vom 16. November 2014, 02:40 Uhr

Diese Seite befindet sich noch im Entwurfsstadium.
Hilf mit sie zu verbessern!


How to: Freifunk-Gateway aufsetzen

[Quellen:http://wiki.freifunk.net/Freifunk_Hamburg/Gateway https://wiki.mag.lab.sh/wiki/Freifunk_Fulda/Gateway]

Anforderungen an Gateways

Die Anforderungen an das Gateway sind an sich niedrig. Wichtig ist, dass die Möglichkeit besteht, eigene Kernel-Module zu laden und das monatliche Traffic-Kontingent nicht zu niedrig ist. Entsprechend sind OpenVZ, Linux-vServer und ähnliche Containerlösungen nicht geeignet.

Hardware:

  • CPU: 1x (64Bit)
  • RAM: 1GB
  • HDD: 5-8GB
  • NIC: 1x

Software:

Pauschal gibt es keine Mindestanforderungen für den Trafficverbrauch, folgende Staffelung könnte aber dabei helfen, sich eine Vorstellung davon zu machen, was in etwa pro Monat notwendig ist:

  • Dauerlast von 2 Mbit/s: ~633 GB
  • Dauerlast von 6 Mbit/s: ~1.9 TB
  • Dauerlast von 10 Mbit/s: ~3.2 TB
  • Dauerlast von 25 Mbit/s: ~8 TB

Nach den Erfahrungen vom Lübecker Freifunk-Projekt liegt der Traffic-Verbrauch bei zwei Gateways bei ca. 2TB im Monat je Gateway. Auf unserem derzeitigen Gateway haben wir in den letzten Monaten derartige Werte gehabt, wobei sich das Projekt noch aufbaut:

  • Januar '13: 243 GB
  • Februar '13: 309 GB

Anonymisierung (Störerhaftung)

Sofern der Server nicht über einen Uplink verfügt, wo es egal ist was durchgeht (unseriöse Bulletproof-Hoster), möchte man vermutlich den Traffic aus dem Freifunk-Netz durch ein VPN ins Internet schieben.

Auf längere Sicht, wäre es natürlich wünschenswert, wenn die Problematik der Störerhaftung in ihrer derzeitigen Form wegfällt um beispielsweise eine dezentralere Infrastruktur zu erlauben.

Folgende VPN-Anbieter sind zu diesem Zeitpunkt jedoch empfehlenswert:

  • Mullvad (Schweden, Niederlande)
    • Bis zu drei gleichzeitige Verbindungen
    • Kann man anonym mit Bitcoin bezahlen
    • Serverauswahl über die ausgelieferte OpenVPN-Konfiguration
      • Server in den Niederlanden sind abends oft stark ausgelastet
    • (Gute Erfahrungen in Lübeck)
  • Integrity VPN (Schweden, Port80)
    • Drittes Oktett durch Auswahl des normalerweise per round.robin-dns ausgewählten OpenVPN-Servers bestimmbar, das letzte Oktett ist immer gleich. Somit muss man sich keine dynamisch vergebenen IP-Adressen mit anderen teilen. Verbindungen daher durch die Anzahl der OpenVPN-Server (derzeit 3; unterschiedliche Ports nicht ausprobiert) beschränkt.
    • Hat eine überaus seriöse Webseite und eine Ltd. erfunden.™
    • Hat schon mal was von IPv6 gehört. Nutzt es zurzeit jedoch nur für SEO.
    • Blockiert Port 25 derzeit nicht.
    • Ist ein ein neuer Anbieter, der _bisher_ unausgelastet wirkt.
    • sind derzeit noch nicht nicht overselled und haben ihren Krams scheinbar halbwegs sauber konfiguriert
  • Ipredator (Schweden, Niederlande, Deutschland)
    • (Glänzen nicht durch Kompetenz, da sie lange Zeit nur PPTP angeboten haben)
    • Mögen schnelle Reconnects nicht -> manchmal muss man OpenVPN ein paar Stunden deaktivieren, bevor es wieder funktioniert.
    • Möchten bald auch IPv6 anbieten.
    • Angeblich Reseller von relakks

Ungetestet:

Einige Freifunknetze mieten auch VMs in Osteuropa. Da die VMs noch nicht an ihre Grezen stößt könnte man diese auch mitnutzen. Ansprechpartner wäre s0ma.

Anbindung an andere Netze

Es gibt drei relativ relevante Netzwerke bei denen es sich lohnt, das lokale Netz damit zu verbinden:

  • DN42
    • BGP
    • Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
    • Hat Routen ins ChaosVPN und IC-VPN, wer faul ist bei der Konfiguration deckt damit also alles™ ab nicht alle Routen vom IC-VPN oder ChaosVPN werden im DN42 verteilt, ob man das will kann ggf nochmal besprechen.
  • ChaosVPN
    • Tinc
    • Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.

vServer-Anbieter die empfehlenswert sind

  • de-punkt (Databurg, FFM)
    • Schneller Speicher, gut bezahlbar, KVM, nur Traffic-Flat™® das übliche.
  • Hetzner (Falkenstein)
    • Bezahlbar, 6.90€/TB Extratraffic, KVM
  • colorhost (über 23media, Global Switch, FFM)
  • Untersagt Nutzung für Freifunk (http://colorhost.de/server/vserver/kvm/small/)
    • Achtung: Nur Xen oder Xen HVM funktionieren
  • xirra (Core-Backbone, NBG)
    • KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.
  • BuyVM
    • Begrenztes Angebot, das in Stößen rausgegeben wird. 2.50$/TB Extratraffic. Nur KVM ist brauchbar für diesen Zweck. USA Ost- und Südküste. TOS sagt, dass man da theoretisch kein weiteres VPN ins Netz brauchen würde.
  • webhod
    • 9,99 € für die kleinste KVM im Monat[1]


Grundinstallation des Servers

Die Anleitung bezieht sich auf ein KVM Server Paket alpha von webhod für 9,99 €/Monat und den VPN-Dienst Mullvad für 5,-€/Monat. Somit hätten wir für 15,-€ im Monat schon alles was wir brauchen.

Die Zugangsdaten werden per mail verschickt und die Einrichtung und Bereitstellung unseres Servers braucht am Werktag nur wenige Stunden.

Dann kann es ja losgehen:

Zuerst wird über PROXMOX (Zugangsdaten findet man im eigenen Acccount von Webhod) ein Debian 7 WHEEZY installiert [2], falls es nicht schon vorinstalliert ist. Am besten nur die Minimal-Installation,alles andere was dann wirklich gebraucht wird, kann per apt-get nachinstalliert werden.

Als erstes bringen wir das System auf den neuesten Stand

  1. sudo vi /etc/apt/sources.list

und folgende Quellen hinzufügen:

deb http://security.debian.org/ wheezy/updates main deb-src http://security.debian.org/ wheezy/updates main

deb http://ftp.de.debian.org/debian/ wheezy main contrib non-free deb-src http://ftp.de.debian.org/debian/ wheezy main contrib non-free

deb http://ftp.de.debian.org/debian/ wheezy-updates main deb-src http://ftp.de.debian.org/debian/ wheezy-updates main

danach speichern und

sudo apt-get update sudo apt-get upgrade

Den SSH-Zugang besser schützen durch: Änderung des Ports login nur mit key Siehe hier für genaue Anleitung: [3]

sudo apt-get install fail2ban

und einrichten [4]

So,nun sollte der Server ausreichend abgesichert sein.

Nun können wir mit dem Aufsetzen des Freifunk-GW beginnen.

Dazu brauchen wir eine neue Quelle:

vi /etc/apt/sources.list

und folgende hinzufügen:

deb http://repo.universe-factory.net/debian/ sid main deb-src http://repo.universe-factory.net/debian/ sid main

danach die PGP Schlüssel holen:

gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C gpg -a --export 16EF3F64CB201D9C | apt-key add -

sudo apt-get update0

Nun können wir das B.A.T.M.A.N.-Modul und fastd laden

sudo apt-get install batctl batman-adv-dkms fastd sudo modprobe batman-adv

da das Kernelmodul B.A.T.M.A.N. bei Neustart des Systems geladen werden soll

sudo vi /etc/modules und

batman-adv

hinzufügen.

Dann ertellen wir eine Datei in /etc/fastd

touch fff_beispiel_fastd.sh

danach

vi /etc/fastd/fff_beispiel_fastd.sh

und folgendes skript einfügen:

  1. !/bin/sh

SERVER="yes" SERVERNAME="fff-has"

hood="hberg" project="fff" port=10004

SERVERNAME="$SERVERNAME.$hood"

hostname=$SERVERNAME

if [ ! -d /etc/fastd ] then

       mkdir /etc/fastd

fi

if [ ! -d /etc/fastd/$project.$hood ] then

       mkdir /etc/fastd/$project.$hood
       mkdir /etc/fastd/$project.$hood/peers
       echo "# Log warnings and errors to stderr" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "log level error;" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Log everything to a log file" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "log to syslog as \"${project}${hood}\" level info;" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Set the interface name" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "interface \"${project}${hood}VPN\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "#method \"xsalsa20-poly1305\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "#method \"aes128-gcm\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "method \"null\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Bind to a fixed port, IPv4 only" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "bind any:${port};" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Secret key generated by \"fastd --generate-key\"" >> /etc/fastd/$project.$hood/$project.$hood.conf
             echo "secret \"$(fastd --generate-key | grep -i Secret | awk '{print $2}')\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# (see MTU selection documentation)" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "mtu 1426;" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "on up \"/etc/fastd/${project}.${hood}/up.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "on post-down \"/etc/fastd/${project}.${hood}/down.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "# Include peers from the directory 'peers'" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "include peers from \"/etc/fastd/${project}.${hood}/peers\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "secure handshakes no;" >> /etc/fastd/$project.$hood/$project.$hood.conf
       echo "#!/bin/sh" >> /etc/fastd/$project.$hood/down.sh
       echo "/sbin/ifdown \$INTERFACE" >> /etc/fastd/$project.$hood/down.sh
       chmod +x /etc/fastd/$project.$hood/down.sh
       echo "#!/bin/sh" >> /etc/fastd/$project.$hood/up.sh
       echo "/sbin/ifup \$INTERFACE" >> /etc/fastd/$project.$hood/up.sh
       chmod +x /etc/fastd/$project.$hood/up.sh

fi

pubkey=$(fastd -c /etc/fastd/$project.$hood/$project.$hood.conf --show-key --machine-readable) port=$(grep ^bind /etc/fastd/$project.$hood/$project.$hood.conf | cut -d: -f2 | cut -d\; -f1)

  1. fire up

if [ "$(/sbin/ifconfig -a | grep -i ethernet | grep ${project}${hood}VPN)" = "" ] then /bin/rm /var/run/fastd.$project.$hood.pid fastd -c /etc/fastd/$project.$hood/$project.$hood.conf -d --pid-file /var/run/fastd.$project.$hood.pid fi

  1. register

wget -T15 "http://mastersword.de/~reddog/fff/?name=$hostname&port=$port&key=$pubkey" -O /tmp/fastd_${project}.${hood}_output if [ "$?" != "0" ] then

       echo "Update failed"
       echo "Exiting, no clean up, no refresh"
       exit

fi

touch /tmp/fastd_${project}.${hood}_starting

filenames=$(cat /tmp/fastd_${project}.${hood}_output| grep ^#### | sed -e 's/^####//' | sed -e 's/.conf//g') for file in $filenames do grep -A100 ^####$file.conf$ /tmp/fastd_${project}.${hood}_output | grep -v ^####$file.conf$ | grep -m1 ^### -B100 | grep -v ^### | sed 's/ float;/;/g' > /etc/fastd/$project.$hood/peers/$file echo 'float yes;' >> /etc/fastd/$project.$hood/peers/$file done

echo "Lösche alte:"

find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print | xargs /bin/rm /tmp/fastd_${project}.${hood}_starting

  1. reload

kill -HUP $(cat /var/run/fastd.$project.$hood.pid)

exit 0


Speichern

Nun müssen wir einen Cronjob anlegen, der das Skript alle 5 Minuten ausführt: