TincVPNBerlin

Aus wiki.freifunk.net
Wechseln zu: Navigation, Suche
Important.png Wichtig: Längerfristig wollen wir auf L2gvpn umsteigen. Hierzu sind im Moment noch ein paar Dinge zu testen. Es ist jedoch Absehbar, dass die Tunnelvariante mit TINC nach dem erfolgreichen Einsatz von l2gvpn abgelöst wird, und dies in nicht all zu ferner Zukunft

Hier kommt die Einrichtung des Berliner Tunnels. Er ist für die Vernetzung der einzelnen Stadtteile gedacht und verwendet OLSR als routing protocol und Tinc als VPN-Software.

Inhaltsverzeichnis

Software installieren

  • Die Software TINC installieren
    • ipkg install tinc
    • apt-get install tinc
  • Fuer OpenWrt White Russian / freifunk das Startscript von Tinc FFF Startscipt, was am besten in /etc/init.d/S49tinc
    • chmod 775 /etc/init.d/S49tinc nicht vergessen.
  • Fuer OpenWrt kamikaze, noch ohne uci support, mit "/etc/init.d/tinc enable" aktivieren:

tinc Konfig

  • in /etc/tinc ein Verzeichnis bbb anlegen (/etc/tinc/bbb)
  • in /etc/tinc/nets.boot anlegen - zum Autostart 
## This file contains all names of the networks to be started on system startup.
bbb
  • in /etc/tinc/bbb/tinc.conf kommt folgendes.
  • Der Name ist der Knotenname im VPN und darf nur einmal vergeben werden. Auch Sonderzeichen (-,."$"§) sollten vermieden werden. Der tinc-Name wird bei andern Nodes in der ConnectTo-Zeile verwendet. Weiterhin erscheint er auf der Topologie-Grafik. Bitte benennt euren Knoten so, dass ein Rückschluss auf den Besitzer bzw. FreifunkKnoten möglich ist. Das erleichter die Fehlersuche. 
Name = <put name here>

ConnectTo = bbb1

Device = /dev/net/tun
AddressFamily = any
HostNames = yes

Mode = switch
PrivateKeyFile = /etc/tinc/bbb/rsa_key.priv
PingTimeout = 30
MACExpire = 30
MaxTimeout = 300
PMTUDiscovery = yes
  • /etc/tinc/bbb/tinc-up
    • Die IP für das neue Interface sollte aus dem Bereich 77.87.48.0/26 sein. 
#!/bin/sh
# This file sets up the tap device.

#vpn-bbb1
ip link set dev $INTERFACE up
ip addr add dev $INTERFACE 77.87.48.X/26 broadcast 77.87.48.63
#ip -6 addr add dev $INTERFACE fc01::2008:X/96
  • /etc/tinc/bbb/tinc-down 
#!/bin/sh
# This file closes down the tap device.

ip link set dev $INTERFACE down
ip addr del dev $INTERFACE 77.87.48.X/26 broadcast 77.87.48.63
#ip -6 addr del dev $INTERFACE fc01::2008:X/96
  • Scripte ausführbar machen
    • chmod 755 /etc/tinc/bbb/tinc-*
  • dann Verzeichnis /etc/tinc/bbb/hosts anlegen
  • Schlüssel generieren mit
    • tincd -n bbb -K
    • Es wird eine Datei /etc/tinc/bbb/hosts/<node-name> angelegt. Die enthält den öffentlichen Schlüssel. Diese muss noch um die öffentliche Adresse ergänzt werden. Beispiele findest du in der Node-Übersicht. 
address = <your_dnydns_or_dns_or_ip_address>
port = <your_port_usually_655>
-----BEGIN RSA PUBLIC KEY-----
<your_key_hex_foo>
-----END RSA PUBLIC KEY-----
  • Die <node-name>-Datei muss auf einem der VPN-Teilnehmer hinterlegt werden, sonst wird keine Verbindung aufgebaut. In diesem Beispiel wird nach bbb1 verbunden, somit muss der eigene Schlüssel auch auf dem vpn-bbb1.berlin.freifunk.net Server hinterlegt sein. Einfach auf der eMail-Liste anfragen. Alternativ kann auch jeder andere VPN-Teilnehmer gefragt werden und der Schlüssel dort abgelegt werden.
  • Fuer den VPN-Server eine Datei in /etc/tinc/bbb/hosts/bbb1 anlegen und mit dem Inhalt des public-Keys von bbb1 (siehe Node-Tabelle) füllen.
  • Am Ende sollte es dann so aussehen 
.
./tinc
./tinc/bbb
./tinc/bbb/tinc-down
./tinc/bbb/tinc.conf
./tinc/bbb/tinc-up
./tinc/bbb/hosts
./tinc/bbb/hosts/bbb1
./tinc/bbb/hosts/vpnnode
./tinc/nets.boot
./init.d
./init.d/tinc

Bitte um Verbesserung: Wenn man die Anleitung abarbeitet, kommt man zu einem anderen Ergebnis. Bitte mal selber Schritt für Schritt nachvollziehen. tinc legt die hosts-Datei nicht selber an. Fehlt der folgende Schritt mit Absicht? mkdir /etc/tinc/bbb/hosts . Beim erstellen der Keys gibt es sonst eine Fehlermeldung. Der Inhalt von ./tinc/bbb/hosts/vpnnode fehlt. Die Tabelle kann so nicht stimmen. Es fehlen die public+privat-Keys. Ich wollte euch nicht reinpfuschen, deshalb alles hier am Ende.

OLSR Konfig

OLSR muss auf dem Interface sprechen. Hier also der Auszug. Der bcast ist nocht recht experimentell - funkt unter linux so aber schonmal. openWrt mal bitte testen. Bei openWrt in die /etc/local.olsrd.conf 

Interface "bbb"
{
        Ip4Broadcast 255.255.255.255
        HelloInterval           50.0
        HelloValidityTime       900.0
        TcInterval              30.0
        TcValidityTime          2700.0
        MidInterval             150.0
        MidValidityTime         2700.0
        HnaInterval             150.0
        HnaValidityTime         900.0

        LinkQualityMult         default 0.1
}
  • Firewall anpassen
    • bei openWrt / Freifunk in /etc/local.fw 
iptables -I INPUT -i bbb -j ACCEPT
iptables -I OUTPUT -o bbb -j ACCEPT
iptables -I FORWARD -i bbb -j ACCEPT
iptables -I FORWARD -o bbb -j ACCEPT

Topology

Eine Grafik ist auf http://vpn.berlin.freifunk.net unter Berlin VPN (BBB-VPN) zu sehen. Direktlink

Weitere grapfiken:

Knoten in der Tinc-Wolke

Die Adressen der Tinc-Wolke sind aus dem Subnetz 77.87.48.0/26, broadcast 77.87.48.63. Der Bereich geht von 77.87.48.1 bis 77.87.48.62.

tinc-Name IP-Address (ipv4+ipv6) Admin email Public-Key Bemerkung
bbb1 77.87.48.1 dpaufler at leo34 dot net 
address = vpn-bbb1.berlin.freifunk.net
port = 656
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAOLKuq3yso4FvyH+Xw6D8mv3DHo7j9D+PfR5UYWy2+DUFJ/Tn70Gakxz
VfDAkNeRXi//LoGRK2Eoqu6coTNZbe1rkAabgPN2W8we3NT/mhS6MDEHn+Z5H2lF
smcL4WTEDpE+bAPFJA7wEJlr483YfUIjK9u+a+R/Pq54EwiI5/9NAgMBAAE=
-----END RSA PUBLIC KEY-----
Main VPN Server BBB1
bbb1 77.87.48.2 dpaufler at leo34 dot net N2n Tunnel Test
bbb1 77.87.48.3 dpaufler at leo34 dot net NAT 104.0.0.0/8
floh-gw-1 77.87.48.4 2a01:198:342:17:ffff:ffff:ffff:1 onlinefloh (dot) freifunk (at) web (dot) de 
Address = lime.dnsalias.net
Port = 655
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAOXrCPORv6A5da8QKYrrin0c7XKU+KpthuYfIJ9yMCtNV/HoXGDV+a36
DMcB8p9TvNXWVTBjzFq+pM2QuUsbHgBGh34BtSSwhl1GO+3ofewWzxmNP9KrAWFd
g3UjY2d18juRHfi3jHEjg3okiAJK7WuLpfjf7OaslZheIVsaqK59AgMBAAE=
-----END RSA PUBLIC KEY-----
IPv6 testweise, mal läuft's, mal nicht
floh-gw-2 77.87.48.5 onlinefloh (dot) freifunk (at) web (dot) de 
Address = vz127.worldserver.net
Port = 655
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAK7HvGan4W8uO5z5X7Ps1niiWse8Wiue45pJfdDqgVpoiUVulbzMTsVw
6IPMM5phoJEPJjI/Wr1/8Ze8Ov5k4at0eMLuHg9vQbrvJMbnuB5UXGpT6aulprAr
hY8WY9leTCSfdJrKaEa7Yq6hNxB4heHh2EoKOAMmZHpArpgFnF+ZAgMBAAE=
-----END RSA PUBLIC KEY-----
keksmini 77.87.48.8 keks_vnp - - ---<ät>--- - - freifunk-bno - - ---

--- - - de 

address = 194.105.102.251
port = 656
-----BEGIN RSA PUBLIC KEY-----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==
-----END RSA PUBLIC KEY-----
olsr tunnel to HSH south, coming soon
gate 77.87.48.9 dpaufler at leo34 dot net 
address = gate.leo34.net
port = 656
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBANLG48V8+i3elU+Gq/Uqeo5iQq5ZJjeJ6BcWIokkdZXl0nNF9Nth7y/D
bxenGT1RHGmXPL/JkRkDgPBtY93DhBQ1KKJQ1Sox7JudUdxUj5YBi4TaB+XuT1du
5erITC037I7Rw8RqodfsuadGyxhYj5QoWwRKx2s40al5N1UjJobzAgMBAAE=
-----END RSA PUBLIC KEY-----
router @home
dpa_test_fonera 77.87.48.10 dpaufler at leo34 dot net 
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAOahNjdSM7Q9LxcJ6MwLxIekpXI4aJ6o7VCJ+rV+y0l41DqtJSxuHG1/
AKuGM00yzvd92DHmcUcGScifLeBkVGUm9UEB1TT28hX3O1WNV+xprblympB+6pWm
KI/7+cEvy8e0y7WHoTNxI/DVeW/kMLHl5Y7MyKNZs0l13SW7oDSBAgMBAAE=
-----END RSA PUBLIC KEY-----
fonera @ test
cbasegw 77.87.48.23 cven at c-base dot org 
Address=84.22.107.10
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBALaACxt+330Y3lZb8qnOefe4KobKrrWo+MeN6i93VupkDltUeFJ+4nbY
+AsJp/4kLR2AO0Hjmk9UHsbvNg/oYINakqKsKiu/F9hq81DWu0cM6UrthIyjTtJ5
J1nIXDIhOddFaER3dO+uV1f+c7/qn4Ls5+1b0fwW7hTGOj6K2h5rAgMBAAE=
-----END RSA PUBLIC KEY-----
OLSR gateway c-base mainhall
alxmobil 77.87.48.X alx at dd19 dot de 
-----BEGIN RSA PUBLIC KEY-----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==
-----END RSA PUBLIC KEY-----
alxfokus 77.87.48.24 alexander.morlang auf fokus punkt fraunhofer punkt de 
address = 193.175.134.36
-----BEGIN RSA PUBLIC KEY-----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==
-----END RSA PUBLIC KEY-----
77.87.50.64/26 plus 77.87.50.128/26 fuer die TFH geroutet ueber FOKUS
ICMP 77.87.48.25 alx@dd19.de 
We are doing n2n
squatted 77.87.51.x
blackholeAP1 77.87.48.30 freifunk at animatedpictures.de 
address = blackhole-ap1.animatedpictures.de
port = 656
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAMkBA4Qmg/rfeoAlwwlC5Itan5cOdTNURCX3ItBQbvqfoUZ9iNRcJphZ
RZGQ56931jTFBVqH0k36KHgOA5bSY+IgrXdyVrDgvrIY4iUu3PXU9pfKP94+e6zk
TlFqS6BfifSS5z304UAwJyqsJf0Y02o0bXAX6oAsC7VMGwvm4ol7AgMBAAE=
-----END RSA PUBLIC KEY-----
WRT Test 77.87.48.32 flash128 aet gmx de 
We are doing n2n
bnonico 77.87.48.42 freifunk bei frithjof-hammer.de 
Address = eliza.homelinux.org
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBALkcbzIt1bvbXUBnUjGvW9SvMn61/wYTxnLnlKBVxZyZUMpYv9wf6Vze
mCLKRqLpP8lP7MrPdX7VZ15gMnH2EbnL9HGV/1wG7wHgCsOr0VcEkODUyJW/E/D0
1zaod69MWwXUj2JBu01AUsfmKgpae8UH06yw2LCghYF2bOaIYdjNAgMBAAE=
-----END RSA PUBLIC KEY-----
lachman.ath.cx 77.87.48.43 patrick lunatiki.de 
address=lachman.ath.cx
port=656
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAKnis1JTWBH1Zcwun0CZO4iB5zaQHRkJaCeIHSy471AsmdqzVB0PTNKX
2dwh6vYlIHpUDNKzWLLPG6cjXgEGevwPPzQfGYaBKHVpy8Xq+EYU0zH6u6vzA8YD
evE7sV/2kxw2bfLLJV3qeDbS63XnfVcOEeQpi1kFeWE+ZrK4TixLAgMBAAE=
-----END RSA PUBLIC KEY-----
ralisi 77.87.48.44 ralisi (A) freenet o de 
address = ralisi.ath.cx
port = 4012
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAJIjqZ2mOIPX/MJt/ZqrtHu8lPAwyHbek1xeYzJhdSYItPN1Sl0uQrvA
TIIrjNZVra29jUgGQR7STUYfuAqXG0IX68wcLO0i7LG+pCdQVqyJLiiZbxzMbtlj
EHW9YDfqzOwMC6KDqHVXDe27FIcHPp2qjA1jyqg6GnTcQbmQAnI3AgMBAAE=
-----END RSA PUBLIC KEY-----
in Lankwitz
rictestfoo 77.87.48.X localhost@127-o-o-1.net 
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAJ3hMfp9FpaATz7JT3TQ0AHtvoMgs3TiEi05jcXthuq/9f1glXnSmGuG
jdO28NAek/EM/OvdCzPHD14hSsvKg8mt0NO84WLTVr7bsMNvdL7yfHkNujQCyh37
8tDvzSU3z7rS04CTUDEkpv5vDiy+hTM7UgyN4xvtK97p5Us+5c8NAgMBAAE=
-----END RSA PUBLIC KEY-----
ricfonera 77.87.48.X localhost@127-o-o-1.net 
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAK7W9FCzC7cWmlaE8xGnVqNrRnk5RWUs18EKcVIgSXWxO6mKw0Yq8wsQ
st9Q4GyFAD9WPoiFzSQhJTMpN8AkDEV5rbffvNrwS4BiUftKRGmygqefJCDks/vo
jhaYfkT8TzH4FM4rPKxk0YN4Km4JMZBWFhzmVJvrADKR/D1mjdV3AgMBAAE=
-----END RSA PUBLIC KEY-----
kifuse02 77.87.48.47 admin kiezfunk.net 
Address = kifuse02.ath.cx
Port = 657
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAKY6ZQg9UUtZEYWByVXBLaBpHxqHlnFaEqT29W+P/FXjgwu1wZv6Fqst
SsfN6YV0Z/6h/DBo5TFvg8LcT1PiGE3me3rUTj9SDrsS/mq0OTi8EaWbRlPJ4xd/
M/kaYGIAGkxpt1UQ/K1WQavFy3ZKSrFY96M5a9cMbSyT2rbv9Zn5AgMBAAE=
-----END RSA PUBLIC KEY-----
xalina 77.87.48.48 x minus alina bei gmx punkt net 
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAMXgv34C6VPsjPN8wcwCyZWzcwpP38+JVELsR6iZkdvYvjIoRwi9eRm2
8485K1S2jJbkOcleNFumesFmO6ubvF/2Lpe8CMuAa2WYnnFSsthUm9B06a30NAlh
U5hWC8rEgeGv7unNR5AAdwfxpg2xb4ca4lXnefD1Zn0Ru/cIeziJAgMBAAE=
-----END RSA PUBLIC KEY-----
Layer 8 Ersatz
kiezbit 77.87.48.49 mercurix at wlankarow de 
vorübergehend inaktiv
Testsystem in Moabit
karow 77.87.48.50 mercurix at wlankarow de 
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAJ9Ss1Uv99M/sGSRTicmdsj4batMLIV1get4GKCg6GyA5kxjNdlt8eKR
ajiOR6D9jYQDJpERNC5uK3k28osGCE2cVk/D0Rjq/yIBAf/EphiniyC7te8uXjqj
O9ulXK5aC/ebMzyyNqN0yzp+g4qMACmaX8Y580bxypN31Er6rw99AgMBAAE=
-----END RSA PUBLIC KEY-----
Testsystem in Karow
<VPN_node_name> 77.87.48.X <email_address> 
<put public key here>
<some stuff>

Siehe auch

Von „http://wiki.freifunk.net/index.php?title=TincVPNBerlin&oldid=9752
Meine Werkzeuge
Namensräume
Varianten
Aktionen
Navigation
Grundlagen
Freifunk
Werkzeuge