L2TP und Tunneldigger: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
KKeine Bearbeitungszusammenfassung
 
(84 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Entwurf}}
'''Veraltet!'''
__TOC__


Dies sind sie ersten zaghaften Versuche von fastd auf L2TP zu switchen, bzw. beide parallel zu nutzen. Dies soll nur eine kurze Zusammenfassung sein, was schon gemacht wurde. Nicht dass doppelte Arbeit geleistet wird. Doku folgt bei Erfolg
'''Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!'''


Vorteile: *Weniger CPU Last auf den Gateway Servern
__TOC__


Nachteile: *Umstellung von GWs und Firmware


'''Aktuell (19.3.): Auf allen 4 Gateways in den Hoods Hasberge und Hasberge-Süd läuft der Tunnelbroker'''


Das heisst, ihr könnt komplett auf l2tp umschalten, da alle GWs direkt erreicht werden.
Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei.
Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.


Vorteile:


===Am Router===
Weniger CPU Last auf den Gateway Servern und den Routern.
Mehr Durchsatz durch die Tunnel.


Es gibt eine Firmware mit Tunneldiger zum Testen auf:
Nachteile:
http://10.50.60.3/firmware/ oder http://78.47.36.148/firmware/


// Auf einen wr841n v9 getestet und funktioniert. Nach dem flashen per SSH drauf und "l2tunnel conf"  danach "/etc/init.d/tunneldigger start" und "l2tunnel on" und schon steht der Tunnel (getestet in Fürth) Das WebUI sagt (eigentlich sogar richtigerweiße) das kein VPN Tunnel besteht. Mein Vorschlag die 3 Befehle ins WebUI einführen und dort anzeigen ob ein l2tp Tunnel besteht.
Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.


----


Jetzt einmal die Konfig erstellen:
=Am Router=


l2tunnel conf
Eine Firmware ab 20161008-beta oder neuer flashen.
 
und starten (macht der Router beim nächsten Reboot automatisch)
 
/etc/init.d/tunneldigger start
 
man steuert das ganze mit dem Skript '''l2tunnel''':


Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.
'''Am Router muss nichts konfiguriert werden!'''


Nur l2tp verwenden:
=Am Gateway (KeyXchangev2!!)=
l2tunnel on


Nur fastd verwenden:
So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.
l2tunnel off


 
==Vorbereitungen:==
Viel Spaß damit!
 
 
Wie man den Tunneldigger in die Firmware einbaut, findest du [[Neues_Paket_in_Firmware_aufnehmen|hier]]
 
===Am Gateway===
So, jetzt brauchen wir noch Gateways mit dem Broker.
Aus der Doku auf https://tunneldigger.readthedocs.org/en/latest/server.html
haben wir mal die wichtigen Zeilen rausgezogen:


'''Nötige Pakete holen:'''
'''Nötige Pakete holen:'''


  sudo apt-get install iproute bridge-utils libnetfilter-conntrack3 python-dev libevent-dev ebtables python-virtualenv
  apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2




Zeile 63: Zeile 48:
  l2tp_netlink
  l2tp_netlink


Mit  modprobe "name des Moduls"  kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch.


'''Installation:'''
modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink


mkdir /srv/tunneldigger <br />
==Installation:==
cd /srv/tunneldigger  <br />
virtualenv env_tunneldigger  <br />
cd /srv/tunneldigger  <br />
git clone https://github.com/wlanslovenija/tunneldigger.git <br />
. env_tunneldigger/bin/activate <br />
pip install -r tunneldigger/broker/requirements.txt <br />


'''Konfiguration:'''
Eine Installationsanleitung findet man hier:


Die ersten Tests haben gezeigt, dass Batman es nicht mag, wenn Interfaces kommen und gehen. Wir können also die L2-Tunnel nicht direkt an Batman hängen. Schade, dann könnte man no_rebroadcast einschalten.  
https://tunneldigger.readthedocs.io/en/latest/server.html


Die Slovenen schreiben:


''Example hook scripts present in the scripts/ subdirectory are set up to create one bridge device per MTU and attach L2TP interfaces to these bridges. They also configure a default IP address to newly created tunnels, set up ebtables to isolate bridge ports and update the routing policy via ip rule so traffic from these interfaces is routed via the mesh routing table.''
Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.
''Each tunnel established with the broker will create its own interface. Because we are using OLSRv1, we cannot dynamically add interfaces to it, so we group tunnel interfaces into bridges.''
''We could put all tunnel interfaces into the same bridge, but this would actually create a performance problem. Different tunnels can have different MTU values -- but there is only one MTU value for the bridge, the minimum of all interfaces that are attached to that bridge. To avoid this problem, we create multiple bridges, one for each MTU value -- this is what the example scripts do.''
''We also configure some ip policy rules to ensure that traffic coming in from the bridges gets routed via our mesh routing table and not the main one (see bridge_functions.sh). Traffic between bridge ports is not forwarded (this is achieved via ebtables), otherwise the routing daemons at the nodes would think that all of them are directly connected -- which would cause them to incorrectly see a very large 1-hop neighbourhood. This file also contains broker-side IP configuration for the bridge which should really be changed.''


Ähnliche Probleme hatten die mit OLSR.
'''Hierfür die Anleitung:'''
Also haben wir mal die Config deren Vorschlägen angepasst.


Es wird für jede MTU die ankommt eine Bridge aufgemacht und da kommen dann alle Interfaces mit der gleichen MTU rein.
mkdir /srv/tunneldigger
   
cd /srv/tunneldigger
'''Beispiel-config für has und has-sued Hood auf GW von Max (fff-has 78.47.36.148)'''
  virtualenv env_tunneldigger
  git clone  https://github.com/rohammer/tunneldigger.git
source env_tunneldigger/bin/activate
cd  /srv/tunneldigger/tunneldigger/broker
python setup.py install


Die l2tp_broker-xxxxx.cfg Dateien in ''/srv/tunneldigger/tunneldigger/broker/''


l2tp_broker-has.cfg :
==Konfiguration:==


[broker]
Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.
; IP address the broker will listen and accept tunnels on
address=78.47.36.148
; Ports where the broker will listen on
port=20004
; Interface with that IP address
interface=eth0
; Maximum number of tunnels that will be allowed by the broker
max_tunnels=1024
; Tunnel port base
port_base=24000
; Tunnel id base
tunnel_id_base=4000
; Namespace (for running multiple brokers); note that you must also
; configure disjunct ports, and tunnel identifiers in order for
; namespacing to work
namespace=has
; check if all kernel module are loaded. Do not check for built-ins.
check_modules=true
[log]
; Log filename
filename=tunneldigger-broker.log
; Verbosity
verbosity=DEBUG
; Should IP addresses be logged or not
log_ip_addresses=false
[hooks]
; Arguments to the session.{up,pre-down,down} hooks are as follows:
;
;    <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port>  <local_port>
;
; Arguments to the session.mtu-changed hook are as follows:
;
;    <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
;
; Called after the tunnel interface goes up
session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has.up
; Called just before the tunnel interface goes down
session.pre-down=/srv/tunneldigger/tunneldigger/broker/scripts/has.down
; Called after the tunnel interface goes down
session.down=
; Called after the tunnel MTU gets changed because of PMTU discovery
session.mtu-changed=/srv/tunneldigger/tunneldigger/broker/scripts/mtu_changed-has.sh


Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/


l2tp_broker-hassued.cfg :
  mkdir /etc/tunneldigger
[broker]
  cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg
; IP address the broker will listen and accept tunnels on
address=78.47.36.148
; Ports where the broker will listen on
port=20005
; Interface with that IP address
interface=eth0
; Maximum number of tunnels that will be allowed by the broker
max_tunnels=1024
; Tunnel port base
port_base=21000
; Tunnel id base
tunnel_id_base=1000
; Namespace (for running multiple brokers); note that you must also
; configure disjunct ports, and tunnel identifiers in order for
; namespacing to work
namespace=hassued
; check if all kernel module are loaded. Do not check for built-ins.
check_modules=true
[log]
; Log filename
filename=tunneldigger-broker.log
; Verbosity
verbosity=DEBUG
; Should IP addresses be logged or not
log_ip_addresses=false 
[hooks]
; Arguments to the session.{up,pre-down,down} hooks are as follows:
;
;    <tunnel_id> <session_id> <interface> <mtu> <endpoint_ip> <endpoint_port>  <local_port>
;
; Arguments to the session.mtu-changed hook are as follows:
;
;    <tunnel_id> <session_id> <interface> <old_mtu> <new_mtu>
;
; Called after the tunnel interface goes up
  session.up=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.up
; Called just before the tunnel interface goes down
  session.pre-down=/srv/tunneldigger/tunneldigger/broker/scripts/has-sued.down
; Called after the tunnel interface goes down
session.down=
; Called after the tunnel MTU gets changed because of PMTU discovery
session.mtu-changed=/srv/tunneldigger/tunneldigger/broker/scripts/mtu_changed-has-sued.sh
 


Skripte in ''scripts/''
In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.


bridge_functions-has.sh:
==Start einrichten==
ensure_policy()
{
  ip rule del $*
  ip rule add $*
}
ensure_bridge()
{
#MAC aus MTU generieren (auf jedem GW eine Stelle ändern)
  mac=$(echo $MTU |  sed -E "s/^(..)/0a:00:03:01:\1:/")
  local brname="$1"
  brctl addbr $brname 2>/dev/null
  if <nowiki>[[ "$?" == "0" ]]</nowiki>; then
    # Bridge did not exist before, we have to initialize it
    ip link set dev $brname address $mac up
    # Neue Bridge batman hinzufügen
    batctl -m $BATDEV if add $brname
    # Disable forwarding between bridge ports
    ebtables -A FORWARD --logical-in $brname -j DROP
  fi
}


Wir legen für jede Hood eine systemd unit Datei an:


bridge_functions-has-sued.sh:
Z.B. /etc/systemd/system/td-broker-hood.service
ensure_policy()
{
  ip rule del $*
  ip rule add $*
}
ensure_bridge()
{
#MAC aus MTU generieren (auf jedem GW eine Stelle ändern)
  mac=$(echo $MTU |  sed -E "s/^(..)/0a:00:03:02:\1:/")
  local brname="$1"
  brctl addbr $brname 2>/dev/null
  if <nowiki>[[ "$?" == "0" ]]</nowiki>; then
    # Bridge did not exist before, we have to initialize it
    ip link set dev $brname address $mac up
    # Neue Bridge batman hinzufügen
    batctl -m $BATDEV if add $brname
    # Disable forwarding between bridge ports
    ebtables -A FORWARD --logical-in $brname -j DROP
  fi
}
has.up:


  #!/bin/bash
  [Unit]
  TUNNEL_ID="$1"
  Description=tunneldigger tunnelling network daemon using l2tpv3
  INTERFACE="$3"
  After=network.target auditd.service
MTU="$4"
BATDEV=bat4
   
   
  . scripts/bridge_functions-has.sh
  [Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg
   
   
  # Set the interface to UP state
  KillMode=process
  ip link set dev $INTERFACE up mtu $MTU
  Restart=on-failure
   
   
  # Add the interface to our bridge
  [Install]
  ensure_bridge l2-br-has${MTU}
  WantedBy=multi-user.target
brctl addif l2-br-has${MTU} $INTERFACE


==Unit aktivieren==
has-sued.up:


  #!/bin/bash
  systemctl enable td-broker-hood.service
TUNNEL_ID="$1"
INTERFACE="$3"
MTU="$4"
BATDEV=bat7
. scripts/bridge_functions-has-sued.sh
# Set the interface to UP state
ip link set dev $INTERFACE up mtu $MTU
# Add the interface to our bridge
ensure_bridge l2-br-sued${MTU}
brctl addif l2-br-sued${MTU} $INTERFACE


==Broker starten==


mtu_changed-has.sh
systemctl start td-broker-hood.service


#!/bin/bash
Der Broker startet beim nächsen Booten automatisch.
TUNNEL_ID="$1"
INTERFACE="$3"
OLD_MTU="$4"
NEW_MTU="$5"
BATDEV=bat4
MTU=$NEW_MTU
. scripts/bridge_functions-has.sh
# Remove interface from old bridge
brctl delif l2-br-has${OLD_MTU} $INTERFACE
# Change interface MTU
ip link set dev $INTERFACE mtu $NEW_MTU
# Add interface to new bridge
ensure_bridge l2-br-has${NEW_MTU}
brctl addif l2-br-has${NEW_MTU} $INTERFACE


==Den Routern mitteilen, dass wir l2tp anbieten==


mtu_changed-has-sued.sh
'''Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!'''


#!/bin/bash
Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen
TUNNEL_ID="$1"
INTERFACE="$3"
OLD_MTU="$4"
NEW_MTU="$5"
BATDEV=bat7
MTU=NEW_MTU
. scripts/bridge_functions-has-sued.sh
# Remove interface from old bridge
brctl delif l2-br-sued${OLD_MTU} $INTERFACE
# Change interface MTU
ip link set dev $INTERFACE mtu $NEW_MTU
# Add interface to new bridge
ensure_bridge l2-br-sued${NEW_MTU}
brctl addif l2-br-sued${NEW_MTU} $INTERFACE


echo l2tp > vpn.txt


has.down
Danach verbinden sich die Router via l2tp.


#!/bin/bash
==Kontrolle==
TUNNEL_ID="$1"
INTERFACE="$3"
MTU="$4"
# Remove the interface from our bridge
brctl delif l2-br-has${MTU} $INTERFACE


- über ''systemctl status td-broker-xxx.service'' kann man den Status erfragen.


has-sued.down
- mit ''ip link'' sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.


#!/bin/bash
- mit ''ip l2tp show tunnel'' sieht man die einzelnen Tunnel
TUNNEL_ID="$1"
INTERFACE="$3"
MTU="$4"
# Remove the interface from our bridge
brctl delif l2-br-sued${MTU} $INTERFACE


<br>
- mit ''ip l2tp show session'' die entsprechenden Devices
<br>


- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben:  ''iptables -L -t nat''


'''Start einrichten:'''
- das Log mit journalctl -u td-broker-HOOD.service


In ''/etc/systemd/system/'' Units erstellen


tunneldigger-broker-sued.service:


[Unit]
==Broker für eine Hood wieder los werden==
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service
[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main  /srv/tunneldigger/tunneldigger/broker/l2tp_broker-hassued.cfg
KillMode=process
Restart=on-failure
[Install]
WantedBy=multi-user.target


Beispielhood: hawaii


tunneldigger-broker-has.service:
Service stoppen:  (Tipp: Tab-Taste)
systemctl stop td-broker-hawaii.service  


[Unit]
Service ausschalten:
Description=tunneldigger tunnelling network daemon using l2tpv3
  systemctl disable td-broker-hawaii.service
After=network.target auditd.service
[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
  ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m broker.main  /srv/tunneldigger/tunneldigger/broker/l2tp_broker-has.cfg
KillMode=process
Restart=on-failure
[Install]
WantedBy=multi-user.target


Jetzt noch den Service anmelden, autostart und manuell Start <br />
Wenn man die ganze Konfiguration weg haben will, geht es weiter.
systemctl daemon-reload  <br />
systemctl enable tunneldigger-broker-sued.service tunneldigger-broker-has.service  <br />
systemctl start tunneldigger-broker-sued.service  tunneldigger-broker-has.service  <br />


Das kann man jetzt mehrfach machen mit unterschiedlichen Konfigurationen für verschiedene Hoods.
Unit löschen:
rm /etc/systemd/system/td-broker-hawaii.service


systemd davon in Kenntnis setzen:
systemctl daemon-reload


über "systemctl status tunneldigger-broker-xxx.service" kann man den Status erfragen.
Konfigdateien löschen:
rm /etc/hawaii.cfg

Aktuelle Version vom 27. Oktober 2019, 11:15 Uhr

Veraltet!

Die neuere Node-Firmware > 20181202 unterstützt keinen Tunneldigger mehr!


Seit der Firmware 20161008-beta ist der Tunneldigger für l2tp Tunnel zum Gateway mit dabei. Hier die Anleitung, wie man den Tunnelbroker auf einem Gateway installiert und konfiguriert.

Vorteile:

Weniger CPU Last auf den Gateway Servern und den Routern. Mehr Durchsatz durch die Tunnel.

Nachteile:

Auf kleinen Gateways (Vserver, 1 Kern) kommt es bei vielen Tunnel >100 zu Problemen. Die CPU Last steigt überproportional zur Tunnelzahl. Besonders ein Anstieg von si - software interrupts ist zu beobachten und es kommt zur Kernelpanic.


Am Router

Eine Firmware ab 20161008-beta oder neuer flashen.

Es wird die Datei vpn.txt auf dem GW geprüft, wenn mit Inhalt l2tp vorhanden, dann l2tp sonst fastd.

Am Router muss nichts konfiguriert werden!

Am Gateway (KeyXchangev2!!)

So, jetzt brauchen wir noch Gateways mit dem Broker. Nebenbei braucht der Gateway auch noch ein Webserver, die Clients fragen ob ein Gateway l2tp anbietet oder nicht.

Vorbereitungen:

Nötige Pakete holen:

apt-get install iproute bridge-utils libnetfilter-conntrack-dev libnfnetlink-dev libffi-dev python-dev libevent-dev ebtables python-virtualenv
apache2


Module

In /etc/modules die Module eintragen:

l2tp_core
l2tp_eth
l2tp_netlink

Mit modprobe "name des Moduls" kann man dann alle Module laden. Beim nächsten reboot geht das dann automatisch.

modprobe l2tp_core
modprobe l2tp_eth
modprobe l2tp_netlink

Installation:

Eine Installationsanleitung findet man hier:

https://tunneldigger.readthedocs.io/en/latest/server.html


Es gibt auch eine angepasste Version des Brokers für die fff-Gateways.

Hierfür die Anleitung:

mkdir /srv/tunneldigger
cd /srv/tunneldigger 
virtualenv env_tunneldigger 
git clone  https://github.com/rohammer/tunneldigger.git
source env_tunneldigger/bin/activate 
cd  /srv/tunneldigger/tunneldigger/broker 
python setup.py install


Konfiguration:

Im Brokerverzeichnis findet ihr eine Beispielkonfigdatei: l2tp_broker.cfg.example. Wir brauchen für jede Hood eine Konfigdatei.

Diese Datei kopieren wir für jede Hood einmal nach /etc/tunneldigger/

mkdir /etc/tunneldigger
cp /srv/tunneldigger/tunneldigger/broker/l2tp_broker.cfg.example /etc/tunneldigger/hood.cfg

In die Konfigdatei die Parameter der Hood eintragen. Die Datei ist selbsterklärend.

Start einrichten

Wir legen für jede Hood eine systemd unit Datei an:

Z.B. /etc/systemd/system/td-broker-hood.service

[Unit]
Description=tunneldigger tunnelling network daemon using l2tpv3
After=network.target auditd.service

[Service]
Type=simple
WorkingDirectory=/srv/tunneldigger/tunneldigger
ExecStart=/srv/tunneldigger/env_tunneldigger/bin/python -m tunneldigger_broker.main /etc/tunneldigger/hood.cfg

KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target

Unit aktivieren

systemctl enable td-broker-hood.service

Broker starten

systemctl start td-broker-hood.service

Der Broker startet beim nächsen Booten automatisch.

Den Routern mitteilen, dass wir l2tp anbieten

Erst aktivieren, wenn für alle Hoods des Gateways die Konfiguration gemacht wurde!!

Im DocumentRoot des Webservers die Datei vpn.txt mit Inhalt l2tp anlegen

echo l2tp > vpn.txt

Danach verbinden sich die Router via l2tp.

Kontrolle

- über systemctl status td-broker-xxx.service kann man den Status erfragen.

- mit ip link sieht man für jeden Router ein l2tpXXXX Device mit der entsprechenden Bridge als master.

- mit ip l2tp show tunnel sieht man die einzelnen Tunnel

- mit ip l2tp show session die entsprechenden Devices

- der Broker sollte auch die entsprechenden SNAT und DNAT Einträge gemacht haben: iptables -L -t nat

- das Log mit journalctl -u td-broker-HOOD.service


Broker für eine Hood wieder los werden

Beispielhood: hawaii

Service stoppen: (Tipp: Tab-Taste)

systemctl stop td-broker-hawaii.service 

Service ausschalten:

systemctl disable td-broker-hawaii.service 

Wenn man die ganze Konfiguration weg haben will, geht es weiter.

Unit löschen:

rm /etc/systemd/system/td-broker-hawaii.service

systemd davon in Kenntnis setzen:

systemctl daemon-reload

Konfigdateien löschen:

rm /etc/hawaii.cfg