IC-VPN
Aus wiki.freifunk.net
Inhaltsverzeichnis |
InterCity VPN
Das VPN wird über Tinc und Quagga-BGP realisiert. Dazu wird ein Router mit Tinc und Quagga ausgestattet und an das VPN angebunden. Der Router kann dann mit anderen, über das VPN erreichbaren, Routern peeren und die Subnetze der eigenen Stadt per BGP bekannt geben. Da die meisten Städte sich bereits einen eigenen IP Bereich aus der IP Liste von Freifunk.net ausgesucht haben, sollte es kaum zu Überschneidungen kommen. Mittels BGP kann man aber auch einstellen, welche IP Bereiche man haben, oder nicht haben möchte und somit das Routing zwischen der eigenen Stadt und anderen Städten sehr gezielt steuern.
Es wird empfohlen 1-2 VPN Server pro Stadt zu haben.
Als Transfernetz dient 10.207.0.0/16, mit grober Einteilung 10.207.LAND.STADT. Als Transfernetz für IPv6 dient fec0::a:cf:0:0/96 (Repräsentation von 10.207.0.0/16 in HEX), mit grober Einteilung fec0::a:cf:LAND:STADT. Bei IPv6 bitte aufzupassen das es sich um hexadezimal Zahlen handelt => 10 = A, etc.
Zuerst eine IP Adresse (siehe unten stehende Liste - Netzübersicht) und AS Nummer registrieren. Bei der Gelegenheit gleich die unten stehende Beispielkonfiguration mit euren Werten erweitern.
Stand der Vernetzung
Topologie
Status
Ein BGP Looking Glass findet sich auf http://leipzig.freifunk.net/lookingglass/index.cgi
IC-VPN Smokeping von Augsburg nach verschiedenen Zielen: http://www.wgaugsburg.de/cgi-bin/smokeping.cgi?target=IC-VPN
Mailinglist
There is a mailinglist for all operators to make the coordination of new peerings easier. Please subscribe to it too. The list is invite-only, so please send a brief mail to the list owner to get you added.
Tinc Einrichten
Es sollten mindestens bei zwei weiteren Städten ein Tinc Login eingerichtet werden, damit im Falle eines Ausfalles trotzdem Kontakt in die Tinc Wolke besteht. Da Tinc ein vermaschtes VPN ist, werden die nötigen Verbindungen automatisch aufgebaut. Das auch mit dynamischen IP Adressen und dynDNS. Bitte mindestens Tinc Version 1.0.8 verwenden.
OpenWrt
Hierzu gibts eine kleine Anleitung für das Berliner Tinc unter TincVPNBerlin.
Debian / Ubuntu
Verzeichnis
Tinc benutzt eine Verzeichnisstruktur, die manuell angelegt werden muss. In diesem Beispiel nennen wir unser Tinc VPN einfach "icvpn". Unterhalb des "icvpn" Verzeichnisses wird noch ein "hosts" Verzeichnis angelegt, in dem später die Konfigurationsdateien der jeweiligen VPN Router hinterlegt werden.
mkdir -p /etc/tinc/icvpn/hosts
tinc.conf
Jetzt kommt die zentrale "tinc.conf" Datei dran. In dieser Datei stehen zentrale Konfigurationsparameter für den VPN Router drinnen.
vi /etc/tinc/icvpn/tinc.conf
Die folgenden Zeilen sind als Beispiel gedacht. Es gibt noch massenhaft weitere Parameter die gesetzt werden können, aber mit den unten stehenden Parametern sollte eine VPN Verbindung zustande kommen. Weitere Information über die "tinc.conf" Datei gibt es auf der Webseite zum Tinc-VPN Projekt.
Name = [STADTNAME]1 PrivateKeyFile = /etc/tinc/icvpn/rsa_key.priv Mode = Switch PingTimeout = 30 Port = 655 Hostnames=yes ConnectTo = berlin1 ConnectTo = hamburg1 ConnectTo = leipzig2 ConnectTo = augsburg1 ConnectTo = dresden1 ConnectTo = weimar1 ConnectTo = ljubljana1 ConnectTo = hannover1
Hier noch einmal eine relativ kurze Erklärung der oben stehenden Parametern. Als Name bietet sich an, den Stadtnamen zu nehmen und eine Zahl als Router Identifikation. PrivateKeyFile kann so bestehen bleiben. Der Key wird später erstellt und in die Datei rsa_key.priv gespeichert. Unser VPN arbeitet im "Switch" Modus. Der Parameter PingTimeout verursacht eine Trennung des VPNs zu einem remote Router, sobald der angegebene Timeout-Wert erreicht wurde. Danach wird Tinc versuchen, die Verbindung neu aufzubauen. Standardmäßig verwendet Tinc den Port 655. Dieser muss gegebenenfalls in der lokalen Firewall freigeschaltet werden. Hostnames erlaubt es dem Tinc Daemon, Verbindungen auch zu Hostnamen aufzubauen. Dies kann unter Umständen wichtig werden, falls man ein VPN zu dynamischen IP Adressen aufbauen will (dyndns läßt Grüßen). Unter BindToAddress sollte man seine externe, öffentliche IP Adresse eintragen. Sollte man keine statische IP Adresse haben, kann man diesen Parameter auch komplett aus der Konfigurationsdatei rausnehmen und Tinc wird auf jedem Interface erreichbar sein. Mit dem ConnectTo Parameter wird der Tinc Daemon aufgefordert, selbständig eine Verbindung zu den angegebenen Routern aufzubauen.
tinc-up
Jetzt legen wir die Datei "tinc-up" an. Diese Datei wird von Tinc ausgeführt, sobald der VPN Daemon beendet wird. Mittels dieser Datei kann man also zum Beispiel auch statische Routen aus dem System entfernen
vi /etc/tinc/icvpn/tinc-up
In dieser Datei legen wir fest, welche IP Adresse unserer VPN Router innerhalb des InterCity-VPNs haben soll. Man könnte hier auch IPv6 Adressen durch diese Datei auf unser VPN Interface setzen lassen.
#!/bin/sh /sbin/ip link set dev $INTERFACE up /sbin/ip addr add dev $INTERFACE 10.207.X.Y/16 broadcast 10.207.255.255 /sbin/ip -6 addr add dev $INTERFACE fec0::a:cf:X:Y/96
tinc-down
Das ganze werden wir nun auch noch mit der "tinc-down" Datei machen.
vi /etc/tinc/icvpn/tinc-down
In diese Datei sollte folgender Text eingetragen werden.
#!/bin/sh /sbin/ip addr del dev $INTERFACE 10.207.X.Y/16 broadcast 10.207.255.255 /sbin/ip -6 addr del dev $INTERFACE fec0::a:cf:X:Y/96 /sbin/ip link set dev $INTERFACE down
Beide Dateien ausführbar machen.
chmod 755 /etc/tinc/icvpn/tinc-*
Peers und Public-key
So, das war die Vorbereitung. Nun kommen noch ein paar wichtige Schritte. Der tinc Daemon benötigt für jeden Router, auch für den eigenen, einen (öffentlichen) RSA-Schlüssel. Die Schlüssel von anderen Routern kannst du im Abschnitt #Tinc-Schlüssel / VPN Keys finden – den eigenen musst du jetzt erzeugen und unten in die Liste eintragen.
Jeder Schlüssel liegt in einer eigenen Datei im Verzeichnis /etc/tinc/icvpn/hosts/, also zum Beispiel /etc/tinc/icvpn/hosts/berlin1.
Wichtig: Die Namen der Dateien, insbesondere die Groß-/Kleinschreibung, sind wichtig!
Zuerst werden wir einen neuen, eigenen Schlüssel erzeugen. Dabei müssen wir auf der Kommandozeile keinen Namen angeben, weil der entsprechende Name aus der Datei tinc.conf verwendet wird. tincd wird nachfragen, wo es die Dateien erstellen soll. Die vorgeschlagenen Defaults sind genau richtig.
tincd --net=icvpn --generate-keys # Kurzversion: #tincd -n icvpn -K
Anschließend sollte die Datei /etc/tinc/icvpn/hosts/stadt1 existieren. In diese Datei müssen wir jetzt noch den Hostnamen oder die IP-Adresse eintragen, unter dem der Rechner über das Internet erreichbar ist. Dafür fügen wir etwa Folgendes als erste Zeile in die Datei ein:
Address = vpn1.stadt.freifunk.net
Wichtig: Da etwaige Änderungen auf allen anderen Servern übernommen werden müss(t)en, ist das ein schwieriges Unterfangen. Die hier gemachten Angaben sollten sich also nach Möglichkeit nie ändern. Hostnamen sind deshalb viel flexibler als IP-Adressen.
Den Inhalt dieser gerade bearbeiteten Datei solltest du unten an die Liste anhängen, damit andere Admins leicht Zugang zu deinem Schlüssel haben.
Als nächstes legen wir einen Remote-Router an. Fangen wir zum Beispiel mit berlin1 an:
vi /etc/tinc/icvpn/hosts/berlin1
In diese Datei tragen wir den Code aus dem Abschnitt #Berlin ein. Üblicherweise brauchen wir nur die Address-Zeile, eventuell eine Port-Zeile und den Public Key. Falls gewünscht/notwendig, kann man in diese Datei aber auch noch andere Parameter eintragen. Näheres gibt es in der tinc.conf(5) Manpage oder auf der Webseite des Tinc-VPN-Projektes.
Diese Dateien „per Hand” zu pflegen ist natürlich aufwendig und fehlerträchtig. Eine (hoffentlich aktuelle) Liste kann man sich per rsync(1) besorgen. Details dazu stehen unter #Tinc-Schlüssel / VPN Keys.
rsync --recursive rsync://gw2.fffranken.de/tinc-icvpn/hosts /etc/tinc/icvpn
Insgesamt brauchst du für jeden VPN-Server, zu dem du eine Verbindung aufbauen möchtest, eine Datei. Du musst dich nicht unbedingt mit allen VPN-Servern verbinden – die Daten werden von tinc entsprechend weitergereicht. Eine Verbindung zu zwei oder drei Servern wäre der Ausfallsicherheit wegen aber schon sinnvoll.
Sobald die Dateien in /etc/tinc/icvpn/hosts erstellt wurden, hat man auch festgelegt, welche Router sich zum eigenen Router verbinden dürfen: Jeder Router für den eine Datei existiert kann sich prinzipiell mit dem eigenen Server verbinden.
BGP Einrichten
Quagga installieren
/etc/quagga/bgpd.conf
! hostname [HOSTNAME] password [SOMETHING] ! router bgp [ASN] bgp router-id 10.207.X.Y ! Here you can specify the networks you are using. network 10.20.30.40/32 neighbor icvpn4 peer-group neighbor icvpn4 soft-reconfiguration inbound neighbor icvpn4 prefix-list icvpn4 in neighbor icvpn4 prefix-list icvpn4 out neighbor 10.207.0.1 remote-as 65041 neighbor 10.207.0.1 description Leipzig1 neighbor 10.207.0.1 peer-group icvpn4 neighbor 10.207.0.2 remote-as 65041 neighbor 10.207.0.2 description Leipzig2 neighbor 10.207.0.2 peer-group icvpn4 neighbor 10.207.255.1 remote-as 65041 neighbor 10.207.255.1 description Leipzig-DB neighbor 10.207.255.1 peer-group icvpn4 neighbor 10.207.0.3 remote-as 65042 neighbor 10.207.0.3 description Weimar1 neighbor 10.207.0.3 peer-group icvpn4 neighbor 10.207.0.5 remote-as 44194 neighbor 10.207.0.5 description Berlin1 neighbor 10.207.0.5 peer-group icvpn4 neighbor 10.207.0.6 remote-as 44194 neighbor 10.207.0.6 description Berlin2 neighbor 10.207.0.6 peer-group icvpn4 neighbor 10.207.0.9 remote-as 65044 neighbor 10.207.0.9 description Hamburg1 neighbor 10.207.0.9 peer-group icvpn4 neighbor 10.207.0.10 remote-as 65044 neighbor 10.207.0.10 description Hamburg2 neighbor 10.207.0.10 peer-group icvpn4 neighbor 10.207.0.11 remote-as 65045 neighbor 10.207.0.11 description Stuttgart1 neighbor 10.207.0.11 peer-group icvpn4 neighbor 10.207.0.12 remote-as 65045 neighbor 10.207.0.12 description Stuttgart2 neighbor 10.207.0.12 peer-group icvpn4 neighbor 10.207.0.13 remote-as 65046 neighbor 10.207.0.13 description Halle1 neighbor 10.207.0.13 peer-group icvpn4 neighbor 10.207.0.14 remote-as 65046 neighbor 10.207.0.14 description Halle2 neighbor 10.207.0.14 peer-group icvpn4 neighbor 10.207.0.15 remote-as 65047 neighbor 10.207.0.15 description Aurich1 neighbor 10.207.0.15 peer-group icvpn4 neighbor 10.207.0.17 remote-as 65050 neighbor 10.207.0.17 description Augsburg1 neighbor 10.207.0.17 peer-group icvpn4 neighbor 10.207.0.18 remote-as 65045 neighbor 10.207.0.18 description Treuenbrietzen neighbor 10.207.0.18 peer-group icvpn4 neighbor 10.207.0.19 remote-as 65051 neighbor 10.207.0.19 description Dresden1 neighbor 10.207.0.19 peer-group icvpn4 neighbor 10.207.0.22 remote-as 65511 neighbor 10.207.0.22 description Hannover1 neighbor 10.207.0.22 peer-group icvpn4 neighbor 10.207.0.23 remote-as 65024 neighbor 10.207.0.23 description Franken1 neighbor 10.207.0.23 peer-group icvpn4 neighbor 10.207.0.24 remote-as 65024 neighbor 10.207.0.24 description Franken2 neighbor 10.207.0.24 peer-group icvpn4 neighbor 10.207.0.25 remote-as 65025 neighbor 10.207.0.25 description grossdraxdorf neighbor 10.207.0.25 peer-group icvpn4 neighbor 10.207.0.26 remote-as 65512 neighbor 10.207.0.26 description BadZwischenahn1 neighbor 10.207.0.26 peer-group icvpn4 neighbor 10.207.2.0 remote-as 64600 neighbor 10.207.2.0 description diac24.net neighbor 10.207.2.0 peer-group icvpn4 neighbor 10.207.3.23 remote-as 65023 neighbor 10.207.3.23 description kiberpipa.net neighbor 10.207.3.23 peer-group icvpn4 address-family ipv6 ! Here you can specify the networks you are using. network fec0:123::/128 neighbor icvpn6 peer-group neighbor icvpn6 activate neighbor icvpn6 prefix-list icvpn6 in neighbor icvpn6 prefix-list icvpn6 out neighbor fec0::a:cf:0:9 remote-as 65044 neighbor fec0::a:cf:0:9 description Hamburg1 neighbor fec0::a:cf:0:9 peer-group icvpn6 neighbor fec0::a:cf:0:a remote-as 65044 neighbor fec0::a:cf:0:a description Hamburg2 neighbor fec0::a:cf:0:a peer-group icvpn6 neighbor fec0::a:cf:ac:16 remote-as 64600 neighbor fec0::a:cf:ac:16 description diac24.net neighbor fec0::a:cf:ac:16 peer-group icvpn6 neighbor fec0::a:cf:3:23 remote-as 65023 neighbor fec0::a:cf:3:23 description kiberpipa.net neighbor fec0::a:cf:3:23 peer-group icvpn6 ! exit-address-family ! ip prefix-list icvpn4 description *** ICVPN prefix-list for internal and public IP address space *** ! ! deny the default gateway route ! ip prefix-list icvpn4 seq 10 deny 0.0.0.0/0 ! ! permit RFC1918 networks ! ip prefix-list icvpn4 seq 20 permit 10.0.0.0/8 le 24 ip prefix-list icvpn4 seq 21 permit 172.16.0.0/12 le 24 ip prefix-list icvpn4 seq 22 permit 192.168.0.0/16 le 24 ! ! permit this 6/8 network as it is almost unused in the wild. ! ip prefix-list icvpn4 seq 30 permit 6.0.0.0/16 le 32 ip prefix-list icvpn4 seq 31 permit 6.0.0.0/8 le 24 ! ! permit 104/8 and 105/8 ! ip prefix-list icvpn4 seq 40 permit 104.0.0.0/8 le 24 ge 9 ip prefix-list icvpn4 seq 41 permit 105.0.0.0/8 le 24 ge 9 ! ! permit some other special IP networks ! ip prefix-list icvpn4 seq 100 permit 191.161.0.0/16 ! ! permit public IP ranges which will be announced in the ICVPN ! ip prefix-list icvpn4 seq 501 permit 77.87.48.0/21 ip prefix-list icvpn4 seq 502 permit 78.41.112.0/22 ip prefix-list icvpn4 seq 503 permit 78.46.211.128/25 ip prefix-list icvpn4 seq 504 permit 193.238.156.0/22 ip prefix-list icvpn4 seq 506 permit 91.210.212.0/22 le 29 ! ! deny all others ! ip prefix-list icvpn4 seq 999 deny 0.0.0.0/0 le 32 ! ipv6 prefix-list icvpn6 permit 2000::/3 le 64 ipv6 prefix-list icvpn6 deny any ! log file /var/log/quagga/bgpd.log ! !log stdout
Die access-list ist so gewählt das nur ausgewählte Netze übernommen werden, bei BGP handelt es sich um Routing Protokoll das über den AS Border hinaus arbeitet. D.h. sollte man jedem Announcment grundsätzlich Misstrauen. Es könnte durchaus passieren das ein Admin bei sich einen Filter falsch setzt und euch plötzlich den Globalen Routing Table announciert. Das macht auf schwachen Kisten keine große Freude. :)
/etc/quagga/zebra.conf
hostname HOSTNAME password PASSWORT enable password PASSWORT
Ist eigentlich mehr oder weniger leer, startet aber nicht ohne.
Die Konfiguration kann auch interaktiv über vtysh erledigt werden, dadurch ist kein restart des Quagga Prozesses nötig. Dabei hilft folgendes snipplet:
telnet localhost bgpd
enable configure terminal router bgp <as-number> neighbor 10.207.0.x remote-as <as-number> neighbor 10.207.0.x peer-group icvpn4 neighbor 10.207.0.x description <bla> write file
OLSR anpassen
Es gibt ein Plugin für olsrd, „olsrd_quagga”, welches es erlaubt die BGP-Routen als HNA in OLSR weiterzuverbreiten. Das Plugin ist in dem Paket olsrd-luci-mod-quagga verfügbar.
Eine gepatchete Version die ohne TCP-Sockets auskommt:
http://files.poelzi.org/freifunk/olsrd-quagga-0.2.1b.tar.gz
in /etc/olsrd.conf
LoadPlugin "olsrd_quagga.so.0.2.1"
{
PlParam "redistribute" "bgp"
}
Es geht auch andersherum, aber keiner will Hunderte von Hostrouten im BGP announcen.
Für den statischen HNA announce kann folgendes verwendet werden
# IC-VPN transit
10.207.0.0 255.255.0.0
# Berlin
77.87.48.0 255.255.248.0
104.0.0.0 255.224.0.0
104.32.0.0 255.240.0.0
104.64.0.0 255.192.0.0
104.128.0.0 255.128.0.0
# Leipzig
104.61.0.0 255.255.0.0
# Weimar
104.63.0.0 255.255.0.0
10.63.0.0 255.255.0.0
# Dresden
10.12.0.0 255.255.0.0
10.200.0.0 255.255.0.0
# Hamburg
10.112.0.0 255.248.0.0
10.120.0.0 255.252.0.0
10.124.0.0 255.254.0.0
10.126.0.0 255.255.0.0
# Halle
104.61.250.0 255.255.255.0
104.61.251.0 255.255.255.0
104.61.252.0 255.255.255.0
104.61.246.0 255.255.255.0
# Aurich
78.46.211.128 255.255.255.128
# Augsburg
10.11.0.0 255.255.192.0
# Freiburg
104.60.0.0 255.255.0.0
# Chaos VPN (diac24)
172.22.0.0 255.254.0.0
# Hannover
10.2.0.0 255.255.0.0
# ljubljana
10.14.0.0 255.255.0.0
# Großdraxdorf
104.59.246.0 255.255.255.0
# Bad Zwischenahn
10.20.0.0 255.255.0.0
Netzübersicht / Network Information
| Stadt / City | AS | IPv4 (Transfernetz / Transitnetwork) | IPv6 (Site-Local) | Public IP | Admin | Announciert / announces |
|---|---|---|---|---|---|---|
| Leipzig | 65041 | 10.207.0.1 (vpn1) | 88.198.196.5 | freifunk ÄD poelzi DOT org | 104.61.0.0/16, 6.0.1.1/32, 10.61.0.0/16, 6.61.0.0/18 | |
| Leipzig | 65041 | 10.207.0.2 (vpn2) | 88.198.178.18 | freifunk ÄD poelzi DOT org | 104.61.0.0/16, 6.0.1.1/32, 10.61.0.0/16, 6.61.0.0/18 | |
| Leipzig | 65041 | 10.207.255.1 (services ip) | db.leipzig.freifunk.net | freifunk [ät] poelzi [döt] org | ||
| Weimar 1 | 65042 | 10.207.0.3 | vpn-ic1.weimarnetz.de | bittorfATbluebottle.com | 10.63.0.0/16 | |
| Weimar 2 | 65042 | 10.207.0.4 | ping01.stura.uni-weimar.de | bittorfATbluebottle.com | 10.63.0.0/16 | |
| Berlin | 44194 | 10.207.0.5 (vpn1) | fec0::a:cf:0:5/96 | vpn-ic1.berlin.freifunk.net | dpaufler at leo34 dot net | 104.0.0.0/8 with exceptions, 77.87.48.0/21 |
| Berlin | 44194 | 10.207.0.6 | fec0::a:cf:0:6/96 | --- | dpaufler at leo34 dot net | 104.0.0.0/8 with exceptions, 77.87.48.0/21 |
| Erfurt | L2GVPN (vpn) | sb aet ilmbeat dot net | ||||
| Hamburg | 65044 | 10.207.0.9 (vpn1) | fec0::a:cf:0:9/96 | vpn1.hamburg.freifunk.net | ds - ainex # net | 10.112.0.0/13, 10.120.0.0/14, 10.124.0.0/15, 10.126.0.0/16, 10.4.2.0/24, 91.210.212.0/22, 2001:6f8:982::/48, 2001:6f8:1300::/48, 2001:4830:1739::/48 |
| Hamburg | 65044 | 10.207.0.10 (vpn2) (defacto offline) | fec0::a:cf:0:a/96 | ds - ainex # net | none yet | |
| Stuttgart | 65045 | 10.207.0.11/12 | albi !? | |||
| Halle | 65046 | 10.207.0.13 | 88.198.51.136 | se at opennerds dot org | 104.61.250.0/24, 104.61.251.0/24, 104.61.252.0/24, 104.61.246.0/24 | |
| Halle | 65046 | 10.207.0.14 | ||||
| Aurich | 65047 | 10.207.0.15 | 88.198.68.212 | simon.frerichs@gmail.com | 78.46.211.128/25 | |
| Aurich | 65047 | 10.207.0.16 (noch nicht online, siehe 10.207.0.15 ) | .... | simon.frerichs@gmail.com | .... | |
| Graz | 42729, 65048 | 10.207.1.2 + 3 | not yet | otti-ff ÄT graz.funkfeuer.at | 193.33.150.0/23, 10.12.0.0/16 | |
| Augsburg 1 | 65050 | 10.207.0.17 | augsburg1.ath.cx | freifunk AT somakoma DOT de | 10.11.0.0/18 | |
| Treuenbrietzen | 65045 | 10.207.0.18 | shonyt.mine.nu | freifunk AT shony DOT de | 10.24.0.0/22 | |
| Dresden 1 | 65051 | 10.207.0.19 | vpn.ddmesh.de | freifunk AT ddmesh DOT de | 10.12.0.0/16, 10.200.0.0/16 | |
| Dresden 2 (reserviert) | 65051 | 10.207.0.20 | unbekannt | freifunk AT ddmesh DOT de | 10.12.0.0/16, 10.200.0.0/16 | |
| Freiburg 1 (noch im Test) | 65060 | 10.207.0.21 | fec0::a:cf:0:21/96 | 87.193.156.225 | marcus AT wolschon DOT biz | 104.60.0.0/16 |
| diac24.net | 64600 | 10.207.2.0 | fec0::a:cf:ac:16 | sbz.icvpn.diac24.net | equinox AT diac24 DOT net | 172.22.0.0/15, versch. IPv6 |
| Basel 1 (im Aufbau) | 65090 | 10.207.5.1 | vpn.dyn.skeps.ch | openwireless ÄT skeps DOT ch | 10.239.0.0/16 | |
| Hannover 1 | 65511 | 10.207.0.22 | vpn.hannover.freifunk.net | mickey -> netfreaks DOTtORG | 10.2.0.0/16 | |
| ljubljana1 (kiberpipa.net) | 65023 | 10.207.3.23 | fec0::a:cf:3:23/29 | gw.kiberpipa.net | lowkey -> l0ki<at>frubsd<dot>org | 10.14.0.0/16, 2001:15c0:66e9::/48 |
| Franken | 65024 | 10.207.0.23 | fec0::a:cf:0:17 | gw1.fffranken.de | tokkee | 10.50.0.0/16 |
| Franken | 65024 | 10.207.0.24 | fec0::a:cf:0:18 | gw2.fffranken.de | octo | 10.50.0.0/16 |
| Großdraxdorf | 65025 | 10.207.0.25 | ffgdd.ath.cx | n3ph@evilprojects.org | 104.59.246.0/24 | |
| Bad Zwischenahn (Testlauf) | 65512 | 10.207.0.26 | ffbz.ath.cx | ulli_1@ewetel.net | 10.20.0.0/16 |
Tinc-Schlüssel / VPN Keys
Um die Administration zu vereinfachen verwendet Freifunk Franken einen rsync-Daemon. Wer möchte und uns vertraut, darf den Dienst gerne mitbenutzen. Der folgende Aufruf synchronisiert das lokale Verzeichnis auf den Stand des rsync-Repositories. Dabei werden Dateien, die lokal im Verzeichnis /etc/tinc/icvpn/hosts liegen aber im Repository nicht existieren, gelöscht! (Option --delete)
# Über das BGP-Transfer-Netz rsync --recursive --delete rsync://10.207.0.24/tinc-icvpn/hosts /etc/tinc/icvpn # Über das Internet #rsync --recursive --delete rsync://gw2.fffranken.de/tinc-icvpn/hosts /etc/tinc/icvpn
Für maximalen Komfort kann diese Aufgabe via cron(8) automatisiert werden. Vorsichtige Zeitgenossen können ein separates Verzeichnis synchronisieren und sich Änderungen via diff(1) anzeigen und gegebenenfalls mailen lassen. Ansprechpartner bei Problemen ist octo.
Weimar
tinc-hostname: weimar1
address = vpn-ic1.weimarnetz.de -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAK3E6Ka6veONswQaGaxExDB7VNRIV7uBtsKIHME7tMSpLQGgs1JIQvnM cgXBYC6oPJPhoebo+E0BNd1YomsM9nhGPS233aremznUmU69xRB3GJL3eV/bvkuQ euG5K156uX/1cBhgNqlSwnKJz3g94yUSY1RzekBDtCE3QfqvVfLjAgMBAAE= -----END RSA PUBLIC KEY-----
tinc-hostname: weimar2
address = ping01.stura.uni-weimar.de -----BEGIN RSA PUBLIC KEY----- to-be-done... -----END RSA PUBLIC KEY-----
Berlin
tinc-hostname: berlin1
address = vpn-ic1.berlin.freifunk.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALfEgQh1Po7B5/IP57pZT0iRjY+8GVfGgkYB7dFIANk/iSWjThe9pERm x4GGx2NNoiNoDVdUtSz41oIc65bd651G01e2A1bnFQ9qRc9rZ/S91SqpO0+KheYw judU2Mc81XkKQ38e9rgtU/OvWOF1Hq2EOOork2cePsC8QRa9oAa5AgMBAAE= -----END RSA PUBLIC KEY-----
Hamburg
tinc-hostname: hamburg1
Address = vpn1.hamburg.freifunk.net Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAL5ld4OnWv52XD8q0MbfW+DLUe2lCaHLyf4XacwqOhjvS5RH+iAyPgIc BZJEtmKjW+FrPRLTtJVeptlLWGJr+EE2/G3fq0/AbQDhzIT7OnqCNGrMC1YzNOZm C8CVyiPwELdvBL+Z7j6Jq545/1zZ/H+z1EK6xuucjhwITFqMQrdxAgMBAAE= -----END RSA PUBLIC KEY-----
tinc-hostname: hamburg2
-----BEGIN RSA PUBLIC KEY----- MIGJAoGBAKE101EjT+PGZOp8mqkscn7ZSB/82cdidJVtxm5g9fyH8S6cK4c/flC8 7Ye24uBv/qlajN9DBha6/Xdfzekg5GrqaAgyR2mkTKQNOWL72W3igDgas1YYgKZR /bJoAJj1RHbSUaVCVVZKbmLMgwYtfB26zZ9ErnELKNnejPnk6lChAgMBAAE= -----END RSA PUBLIC KEY-----
Halle
tinc-hostname: ffhallevpn1
Address = vpn1.freifunk-halle.de Address = 88.198.51.136 Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALF/Wu4pe+f3dHeLYApHxUnOGUBzpNREUet6nDp80uWT/dph7h6Yqtz2 XMkifjDjSDnHPa1l1LwWFXkTKVQLH4lUrDuadXMU+BSEJWO36vg/A9E3AjbzoTA7 RY6Gzx+FOXqTGOtqzEPMLkBGTrslerpw9JzfCgLlxLLCXg8Tri8ZAgMBAAE= -----END RSA PUBLIC KEY-----
Erfurt
moved to l2gvpn
Leipzig
tinc-hostname: leipzig1
Address = vpn1.leipzig.freifunk.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAKL7eWHmD2Rn6IP7JlSWtkphokN785g8nccBmfcjbwEwiZv+EFaVoid/ 0dPfvHaX0GaQGOhpef3PVHEbIMuU8dD9+7WbXO3+hUSIAfHoIdGK7n8qFtzTpzqn HAWcgneIE+sZVZRKC0B3VyQ8XujHuLCrQYkjRmVzvbb4cSzE+YhxAgMBAAE= -----END RSA PUBLIC KEY-----
tinc-hostname: leipzig2
Address = vpn2.leipzig.freifunk.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALf6n7zN7GDf50k4F1+JbOde/7WGKc8HtaCNyIV93PeSFz1IiGpf8Vnn 9xGl64X+5i07gH9l81Cx2/cgSqY3XYSTCVrCCaAJN5jnoQbubfQTojx/e0ZKDXeO WVtjm6Y+TcqBLJ2TRAxmtyc3VX5VBfU3N3yaYZv3G+RzKNFI1VX7AgMBAAE= -----END RSA PUBLIC KEY-----
Aurich
tinc-hostname: aurich1
Address = 88.198.68.212 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAMTmDsazE1oEcjoMdiVtRtRyY1YX13DtK7O3sYdNMUjQA1Zn+OgDPRxm okwOAvT6ZqWr9xLmYWose3Vh7x4wuuNRuGaKgbB0bqWGWBlYeaqTTKGT9V/eJalj n3of5UZQkTDpYHd4RWNRbYKT69sLfR4/8gmp4EUbAPD4JRBrUGPvAgMBAAE= -----END RSA PUBLIC KEY-----
Augsburg
tinc-hostname: augsburg1
Address = augsburg1.ath.cx -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALVQaY0axASCewZdfMPbxUBwphhoDHKzm0SvpietNy0gy+43Jb+N/Cs+ d9l9HlAS2ngrCAahVm/GRA3iYHH2i5JdZnzxPFKdkefcZFz7x0ZDaqeqpb2YLWFs z2LPm37OCcsi9NPZtvDG+0Nas370xDn/6uZhCd0gAplDuI+3m0vRAgMBAAE= -----END RSA PUBLIC KEY-----
Treuenbrietzen
tinc-hostname: Treuenbrietzen
Address = shonyt.mine.nu -----BEGIN RSA PUBLIC KEY----- MIGJAoGBANbR3LhhWFNt9ak//ZTReEuNQHjibgTAM+cNTDwLevudrP3y9htxTzgF UZDHnkbDqwrYNjnuaMLIik7ljj5aKQd+fXmv3S+sFvvaPnm+e7Fpt+r/ReTnS6su iOdmQ7XgC/b6r5ISjGhSheHcVSNMmbDWwYISSpDTu9S5qcUAkp1jAgMBAAE= -----END RSA PUBLIC KEY-----
Freiburg
tinc-hostname: freiburg1
Address = port-87-193-156-225.static.qsc.de -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALo3VfMiPxK5lxWOYqoCZavMp8Lo4HYTmhLR6w3dHDJTI+UKTNDOf3Tc reO0q+K85uopAtuu9yEshMxapvmijmEO9YsD+XinLNvnwNxx7qSaVQrPFTa4MutK OuD1fP/PyX12XOnPsjw/CecqhbkCDg8XwFtGZcOJq9Z6DPvyotvJAgMBAAE= -----END RSA PUBLIC KEY-----
diac24.net
tinc-hostname: diac24_sbz
Address = sbz.icvpn.diac24.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAN8O1i0kkDsktLuFbL01x/Mj47KtTMQUm373NthJoYeuxh7Uc8eud0E3 FoZBcMCn7LKRvLh8HH83re+SAeplZ5nFqYLBEIZtonhRlP+bnIQDjGCwTaXXp2ew m8ZAPA1TPRl6e3ZzJw7CvGZrsiKfwwNUaEp/AIrdJ3p55fUehiFNAgMBAAE= -----END RSA PUBLIC KEY-----
Dresden
tinc-hostname: dresden1
Address = vpn.ddmesh.de Port = 656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBANpfSvLAUcixOY3HJTUim57bJEhX85qEVO89nxfkE0YKUii1mSj0F7R4 dqgCySagEgvYeYWPISgvyzIhRP2xvkefGG0ev72bSVjFoZWg6mcinZ/y9rIkbSY2 jx/2bFplofDHqYDGEZfYoIEQOptW9jURhqYGvdgH0OVtvvhRf1WdAgMBAAE= -----END RSA PUBLIC KEY-----
Hannover
tinc-hostname: hannover1
Address = vpn.hannover.freifunk.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAJsf2VLpTQlglzwBWe2B9RIgTEl4Y2a22Xt0DMPRw2vRc4aLcYh9G9TC IvlXl87TKILdkZ8jlK9cMmwupAmtoxlRUCDkode1dqZ/Knf+iIOCP3jBPDggKKcR /8MmS/ao+Ujb9tTuzv8KhVOqAcezKAHh1rVjriVyhCS/PhmZDViZAgMBAAE= -----END RSA PUBLIC KEY-----
Ljubljana (kiberpipa.net)
tinc-hostname: ljubljana1
address = gw.kiberpipa.net -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAL4X76pBCF0b/z45rFPbgTrKpISle9MbLqvq3tDc2fTERowis0aBTTuK mfVIQkF3W+8JMcjQdez5tQWKHnfpz4PmdSC4Dmxolgk/d9b7HNQTP8MCmCLzf+D7 nT4TLS1ZZH9nTnLbVNINNIHZTLU+8AfX3IOLCG0Shw8qDNH0QxT1AgMBAAE= -----END RSA PUBLIC KEY-----
Franken
tinc-Hostname: franken1
Address = gw1.fffranken.de -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAL7Zdz7fpxIkUm8hvxK0Qm+iS11d9AN1BmjLrMZU9nlUwf+NTNIX94Ng XV1GINi9U/RF6j35JAyt6Y2K7C3BjHM2Zl8rm2ya2lhvoKhsDJTe1x07BnhamzEs k0xufslEH9ZatR7FDYzKQa1qPFxLyojDymYiap+L/7QD+Q8eU+dFAgMBAAE= -----END RSA PUBLIC KEY-----
tinc-Hostname: franken2
Address = gw2.fffranken.de Port = 656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAOvt5phPFC+/KUvmGWJdNfIoPWuHfJb0na25VteGQDUMn0krudoIJQFb snELlAl5emnNbH7W5NWGKfjl7fMRC8RJ7r9eb1/jjsRlDK6aRnN8hHzcCa45PCeI m1plGxS6SC3kI6lRB9gjXoKe4GPl+fi3F7sk6fxxIxDBQSnYFWMnAgMBAAE= -----END RSA PUBLIC KEY-----
Grossdraxdorf
tinc-Hostname: grossdraxdorf
Address = ffgdd.ath.cx Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAKhb22phgEM0fsbvIiqKRp4RgPd3N7mPAFtF0R55wyrw8QUyRJ/M0TKE jJQKw8UVlmGNBcvjdLJQLowDhNn/3cob000ADVHaFrOlniwnlr4xw8FvARvdll8S Q2l/uJXccBT2f5BwC9JxUPStdDWpb9r5YTAxVh/cA73yI1xNrurbAgMBAAE= -----END RSA PUBLIC KEY-----
Bad Zwischenahn
tinc-Hostname: badzwischenahn1
Address = ffbz.ath.cx Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAMlCF8Yj3adfH6Mssc7J59CMIzO4ZTa4meHXDaGWHXzGIMnUWRUlLIfp 7sa/uJ4U9iQU3ZEwv1cPWweDvWrG1HNL+oJEVv7xQWcBXaYnm0le305qom0E0U5U cMt+yNZWTh2KfgJjGB78FuOas1yiGpVPnV2wAGgzREKgmiXTOzZnAgMBAAE= -----END RSA PUBLIC KEY-----
