Freifunk-Gateway aufsetzen/VPN/fastd: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 16: Zeile 16:
</pre>
</pre>


== Beispiel Konfiguation ==
== Konfiguation ==


In diesem Beispiel sind wir das Gateway "ffffuerthVPN".
=== fastd ===
Für jede Hood muss eine eigene fastd Konfiguration in einem eigenen Unterordner in '''/etc/fastd/<hoodname>/fastd.conf''' angelegt werden.


Es ergibt Sinn für jede Hood einen eigenen Unterordner in ''/etc/fastd/[Deine Hood]'' anzulegen!
Die Konfiguration sollte etwa so aussehen:
 
 
/etc/fastd/[ffffuerthVPN]/fastd.conf
<pre>
<pre>
# Log errors to stderr
# Log errors to stderr
Zeile 29: Zeile 27:


# Log warnings to a log file
# Log warnings to a log file
log to syslog as "ffffuerthVPN" level warn;
log to syslog as "fastd-nuernberg" level warn;


# Set the interface name
# Set the interface name
interface "ffffuerthVPN";
interface "fastd-nuernberg";


# Disable encryption
# Disable encryption
method "null";
method "null";


# Bind to a fixed port
# Bind to any IPv4 and IPv6 address with a fixed port
bind any:10004 default ipv6;
bind any:10004;


# fastd needs a key: generate by "fastd --generate-key"
# fastd needs a key despite the disabled encryption. generate with "fastd --generate-key"
# private key:
#
# Der öffentliche Schlüssel für die KeyXchange Admins kann
# mit "fastd -c /etc/fastd/<hoodname>/fastd.conf --show-key" angezeigt werden.
secret "c00a286249ef5dc5506945f8a3b413c0928850214661aab866715203b4f2e86a";
secret "c00a286249ef5dc5506945f8a3b413c0928850214661aab866715203b4f2e86a";
# to show the public key for the keyxchange Admin use:
# fastd -c /etc/fastd/bla/bla.conf --show-key


# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# See https://fastd.readthedocs.io/en/v18/manual/mtu.html
# (see MTU selection documentation)
# Must not be changed! It has to be the same for both server and all clients.
mtu 1426;
mtu 1426;


on up "/etc/fastd/[ffffuerthVPN]/up.sh";
# Skript starten, sobald fastd Interface angelegt ist. Damit wird es zu batman hinzugefügt.
on down "/etc/fastd/[ffffuerthVPN]/down.sh";
on up "/etc/fastd/up.sh";
on down "/etc/fastd/down.sh";


secure handshakes no;
secure handshakes no;


on verify "/etc/fastd/[ffffuerthVPN]/verify.sh";
on verify "/etc/fastd/verify.sh";
</pre>
</pre>




/etc/fastd/[ffffuerthVPN]/down.sh
/etc/fastd/down.sh
<pre>
<pre>
#!/bin/sh
#!/bin/sh
Zeile 66: Zeile 65:




/etc/fastd/[ffffuerthVPN]/up.sh
/etc/fastd/up.sh
<pre>
<pre>
#!/bin/sh
#!/bin/sh
Zeile 73: Zeile 72:




/etc/fastd/[ffffuerthVPN]/verify.sh  
/etc/fastd/verify.sh
<pre>
<pre>
#!/bin/sh
#!/bin/sh
Zeile 80: Zeile 79:




danach:
Die Skripte müssen ausführbar gemacht werden:
 
Scripte ausführbar machen:
<pre>
<pre>
chmod +x /etc/fastd/[Deine-Hood]/*.sh
chmod +x /etc/fastd/*.sh
</pre>
</pre>
Dienst aktivieren und starten (ohne ".service")
 
=== fastd ifupdown ===
Zudem muss eine passende ifupdown Interfacekonfiguration angelegt werden, die das fastd-Interface zu batman-adv hinzufügt.</br>
(vgl. [[Freifunk-Gateway_aufsetzen/Batman-adv#Konfiguration]])
<pre>
<pre>
systemctl enable fastd@[Hood]
# Fastd Interface
systemctl start fastd@[Hood]
iface fastd-nuernberg inet manual
pre-up batctl -m bat-nuernberg if add $IFACE
post-down batctl -m bat-nuernberg if del $IFACE
 
up ip link set up $IFACE
down ip link set down $IFACE
</pre>
</pre>


== Router sperren ==
<i>Hinweis:</i> Die MTU des fastd Interfaces darf nicht verstellt (vergrößert) werden, diesbezügliche Laufzeitmeldungen von batman_adv müssen ignorieret werden. Weil durch das Internet nur 1500 Byte MTU durchpassen und man daher den Tunnel nicht größer machen kann, bleiben für batman-adv leider nur 1500 - $Tunneloverhead Bytes übrig.
Folgende Variablen werden in die fastd config übertragen:
<br>
* LOCAL_ADDRESS: the local IP address
* LOCAL_PORT: the local UDP port
* PEER_ADDRESS: the peer’s IP address
* PEER_PORT: the peer’s UDP port
* PEER_NAME: the peer’s name in the local configuration
* PEER_KEY: the peer’s public key


Diese können am on-verify angehangen werden z.b.:
=== fastd Dienst ===
<pre>
Dann muss für jede Hood der fastd-Dienst aktiviert und gestartet werden.
on verify "/etc/fastd/fff.bat3/fastd-blacklist.sh $PEER_KEY $PEER_ADDRESS";
</pre>
das fastd-blacklist.sh kann dann z.b. so aussehen:
<pre>
<pre>
#!/bin/bash
systemctl enable fastd@<hoodname>
echo $1 >> /tmp/bla
systemctl start fastd@<hoodname>
echo $2 >> /tmp/bla
if [ $1 == xxx ]; then
  exit 1
else
  exit 0
fi
</pre>
</pre>
Somit erhält man in /tmp/bla eine File mit fastd keys (die man leider zu gar nix zuordnen kann und daher auch keine bösen Router darüber finden kann) und eine Reihe IP Adressen die man leider auch zu keinen Router zu ordnen kann.
Wenn man nun einen bösen Router im fastd sperren will, kann man nun einzeln die IPs per iptables vom Server sperren und im Batman gucken ob er weg ist. Alles unschön aber einen besseren Weg hab ich bisher nicht gefunden. $PEER_NAME ist leider leer und kann auch für nichts verwendet werden...
Allgemein ist das Problem, das man eine Batman-adv MAC nirgens zu einer fastd MAC oder irgendwas zuordnen kann. Daher ist aktuell der einzige Weg ausprobieren...
mit exit != 0 kann man Router auch direkt im fastd sperren, dies erledigt das Script auch, wenn man xxx durch den Routerkey anpasst


== Testen der Konfiguration ==
== Testen der Konfiguration ==
Zeile 138: Zeile 123:
status socket "/run/fastd-HOOD.sock";
status socket "/run/fastd-HOOD.sock";
</pre>
</pre>
In den Sources unter doc/examples/ findet man ein kleines Perlskript status.pl, mit dem man das Socket auslesen kann.  
 
Mit netcat kann man die Daten daraus abfragen.
<pre>
<pre>
#!/usr/bin/perl -w
nc -U /run/fastd-HOOD.sock
</pre>


use strict;
=== JSON-Parser ===
Mit dem Tool jq (apt install jq) kann das json geparsed werden.


use IO::Socket::UNIX qw( SOCK_STREAM );
==== Suche nach einem Key ====
<pre>
nc -U /run/fastd-HOOD.sock | jq . | grep -A35 1f5111cfa36b11
</pre>


$ARGV[0] or die("Usage: status.pl <socket>\n");
==== Anzeigen der Adressen aller aktuell verbundenen Clients ====
<pre>
nc -U /run/fastd-HOOD.sock | jq .peers[].address
</pre>


my $socket = IO::Socket::UNIX->new(
== Einzelne Router sperren ==
  Type => SOCK_STREAM,
Folgende Variablen werden in die fastd config übertragen:
  Peer => $ARGV[0],
* LOCAL_ADDRESS: the local IP address
)
* LOCAL_PORT: the local UDP port
  or die("Can't connect to server: $!\n");
* PEER_ADDRESS: the peer’s IP address
* PEER_PORT: the peer’s UDP port
* PEER_NAME: the peer’s name in the local configuration
* PEER_KEY: the peer’s public key


foreach my $line (<$socket>) {
Diese können am on-verify angehangen werden z.b.:
print $line;
<pre>
}
on verify "/etc/fastd/fff.bat3/fastd-blacklist.sh $PEER_KEY $PEER_ADDRESS";
</pre>
das fastd-blacklist.sh kann dann z.b. so aussehen:
<pre>
#!/bin/bash
echo $1 >> /tmp/bla
echo $2 >> /tmp/bla
if [ $1 == xxx ]; then
  exit 1
else
  exit 0
fi
</pre>
</pre>


Mit dem tool jq (apt install jq) Kann man sich die Ausgabe leserlich anzeigen lassen und im json suchen.
=== Zuordnung ===


Beispiel; Suche nach einem Key:
IP zu MAC lässt sich über Ping + ip -4/-6 neigh zuordnen.
<pre>
 
status.pl /run/fastd-HOOD.sock | jq . | grep -A35 1f5111cfa36b11
Falls die MAC nicht im fastd bekannt ist, kann ein batman-traceroute helfen.
</pre>

Version vom 7. September 2019, 21:58 Uhr

Funktion

fastd ist eine Möglichkeit die Freifunk Knoten per Tunnel mit dem Gateway zu verbinden.

fastd wird bei uns Punkt-zu-Multipunkt (PtMP) verwendet, daher wird am Server nur ein Interface für alle Clients einer Hood benötigt.

fastd wird komplett anders als früher konfiguriert.
Das früher nötige Verwaltungsscript darf KEINESFALLS(!!) ausgeführt werden, auch der Cronjob ist nicht mehr nötig. Falls die IP des Gateways noch im alten KeyXchange eingetragen ist, sollte sie unbedingt entfernt werden (KeyXchange Admin fragen)

Installation

fastd kann aus den Paketquellen installiert werden

Debian:

apt install fastd

Konfiguation

fastd

Für jede Hood muss eine eigene fastd Konfiguration in einem eigenen Unterordner in /etc/fastd/<hoodname>/fastd.conf angelegt werden.

Die Konfiguration sollte etwa so aussehen:

# Log errors to stderr
log level error;

# Log warnings to a log file
log to syslog as "fastd-nuernberg" level warn;

# Set the interface name
interface "fastd-nuernberg";

# Disable encryption
method "null";

# Bind to any IPv4 and IPv6 address with a fixed port
bind any:10004;

# fastd needs a key despite the disabled encryption. generate with "fastd --generate-key"
#
# Der öffentliche Schlüssel für die KeyXchange Admins kann
# mit "fastd -c /etc/fastd/<hoodname>/fastd.conf --show-key" angezeigt werden.
secret "c00a286249ef5dc5506945f8a3b413c0928850214661aab866715203b4f2e86a";

# See https://fastd.readthedocs.io/en/v18/manual/mtu.html
# Must not be changed! It has to be the same for both server and all clients.
mtu 1426;

# Skript starten, sobald fastd Interface angelegt ist. Damit wird es zu batman hinzugefügt.
on up "/etc/fastd/up.sh";
on down "/etc/fastd/down.sh";

secure handshakes no;

on verify "/etc/fastd/verify.sh";


/etc/fastd/down.sh

#!/bin/sh
/sbin/ifdown $INTERFACE


/etc/fastd/up.sh

#!/bin/sh
/sbin/ifup $INTERFACE


/etc/fastd/verify.sh

#!/bin/sh
return 0


Die Skripte müssen ausführbar gemacht werden:

chmod +x /etc/fastd/*.sh

fastd ifupdown

Zudem muss eine passende ifupdown Interfacekonfiguration angelegt werden, die das fastd-Interface zu batman-adv hinzufügt.
(vgl. Freifunk-Gateway_aufsetzen/Batman-adv#Konfiguration)

# Fastd Interface
iface fastd-nuernberg inet manual
	pre-up batctl -m bat-nuernberg if add $IFACE
	post-down batctl -m bat-nuernberg if del $IFACE

	up ip link set up $IFACE
	down ip link set down $IFACE

Hinweis: Die MTU des fastd Interfaces darf nicht verstellt (vergrößert) werden, diesbezügliche Laufzeitmeldungen von batman_adv müssen ignorieret werden. Weil durch das Internet nur 1500 Byte MTU durchpassen und man daher den Tunnel nicht größer machen kann, bleiben für batman-adv leider nur 1500 - $Tunneloverhead Bytes übrig.

fastd Dienst

Dann muss für jede Hood der fastd-Dienst aktiviert und gestartet werden.

systemctl enable fastd@<hoodname>
systemctl start fastd@<hoodname>

Testen der Konfiguration

nachdem der Service gestartet ist, sollte mit

ip -c link show

Sowohl das Batman als auch das VPN Interface zu sehen sein.

fastd socket

fastd bietet die Möglichkeit den Status über einen Socket abzufragen.

Dazu in der Konfigurationsdatei folgende Zeile einfügen:

status socket "/run/fastd-HOOD.sock";

Mit netcat kann man die Daten daraus abfragen.

nc -U /run/fastd-HOOD.sock

JSON-Parser

Mit dem Tool jq (apt install jq) kann das json geparsed werden.

Suche nach einem Key

nc -U /run/fastd-HOOD.sock | jq . | grep -A35 1f5111cfa36b11

Anzeigen der Adressen aller aktuell verbundenen Clients

nc -U /run/fastd-HOOD.sock | jq .peers[].address

Einzelne Router sperren

Folgende Variablen werden in die fastd config übertragen:

  • LOCAL_ADDRESS: the local IP address
  • LOCAL_PORT: the local UDP port
  • PEER_ADDRESS: the peer’s IP address
  • PEER_PORT: the peer’s UDP port
  • PEER_NAME: the peer’s name in the local configuration
  • PEER_KEY: the peer’s public key

Diese können am on-verify angehangen werden z.b.:

on verify "/etc/fastd/fff.bat3/fastd-blacklist.sh $PEER_KEY $PEER_ADDRESS";

das fastd-blacklist.sh kann dann z.b. so aussehen:

#!/bin/bash
echo $1 >> /tmp/bla
echo $2 >> /tmp/bla
if [ $1 == xxx ]; then
   exit 1
else
   exit 0
fi

Zuordnung

IP zu MAC lässt sich über Ping + ip -4/-6 neigh zuordnen.

Falls die MAC nicht im fastd bekannt ist, kann ein batman-traceroute helfen.