Archiv:TincVPNBerlin
Dieser Artikel oder Abschnitt bedarf einer Überarbeitung.
* SEITE VERALTET! Berlin nutzt jetzt OpenVPN für die Vernetzung der Stadtteile (BBB-VPN): http://bbb-vpn.berlin.freifunk.net/cgi-bin-index.html |
Hier kommt die Einrichtung des Berliner Tunnels. Er ist für die Vernetzung der einzelnen Stadtteile gedacht und verwendet OLSR als routing protocol und Tinc als VPN-Software.
Software installieren
- Die Software TINC installieren
- ipkg install tinc
- apt-get install tinc
- Fuer OpenWrt White Russian / freifunk das Startscript von Tinc FFF Startscipt, was am besten in /etc/init.d/S49tinc
- chmod 775 /etc/init.d/S49tinc nicht vergessen.
- Fuer OpenWrt kamikaze, noch ohne uci support, mit "/etc/init.d/tinc enable" aktivieren:
- Script auf der Tinc-Seite
tinc Konfig
- in /etc/tinc ein Verzeichnis bbb anlegen (/etc/tinc/bbb)
- in /etc/tinc/nets.boot anlegen - zum Autostart
## This file contains all names of the networks to be started on system startup. bbb
- in /etc/tinc/bbb/tinc.conf kommt folgendes.
- Der Name ist der Knotenname im VPN und darf nur einmal vergeben werden. Auch Sonderzeichen (-,."$"§) sollten vermieden werden. Der tinc-Name wird bei andern Nodes in der ConnectTo-Zeile verwendet. Weiterhin erscheint er auf der Topologie-Grafik. Bitte benennt euren Knoten so, dass ein Rückschluss auf den Besitzer bzw. FreifunkKnoten möglich ist. Das erleichter die Fehlersuche.
Name = <put name here> ConnectTo = bbb1 Device = /dev/net/tun AddressFamily = any HostNames = yes Mode = switch PrivateKeyFile = /etc/tinc/bbb/rsa_key.priv PingTimeout = 30 MACExpire = 30 MaxTimeout = 300 PMTUDiscovery = yes
- /etc/tinc/bbb/tinc-up
- Die IP für das neue Interface sollte aus dem Bereich 77.87.48.0/26 sein.
#!/bin/sh # This file sets up the tap device. #vpn-bbb1 ip link set dev $INTERFACE up ip addr add dev $INTERFACE 77.87.48.X/26 broadcast 77.87.48.63 #ip -6 addr add dev $INTERFACE fc01::2008:X/96
- /etc/tinc/bbb/tinc-down
#!/bin/sh # This file closes down the tap device. ip link set dev $INTERFACE down ip addr del dev $INTERFACE 77.87.48.X/26 broadcast 77.87.48.63 #ip -6 addr del dev $INTERFACE fc01::2008:X/96
- Scripte ausführbar machen
- chmod 755 /etc/tinc/bbb/tinc-*
- dann Verzeichnis /etc/tinc/bbb/hosts anlegen
- Schlüssel generieren mit
- tincd -n bbb -K
- Es wird eine Datei /etc/tinc/bbb/hosts/<node-name> angelegt. Die enthält den öffentlichen Schlüssel. Diese muss noch um die öffentliche Adresse ergänzt werden. Beispiele findest du in der Node-Übersicht.
address = <your_dnydns_or_dns_or_ip_address> port = <your_port_usually_655> -----BEGIN RSA PUBLIC KEY----- <your_key_hex_foo> -----END RSA PUBLIC KEY-----
- Die <node-name>-Datei muss auf einem der VPN-Teilnehmer hinterlegt werden, sonst wird keine Verbindung aufgebaut. In diesem Beispiel wird nach bbb1 verbunden, somit muss der eigene Schlüssel auch auf dem vpn-bbb1.berlin.freifunk.net Server hinterlegt sein. Einfach auf der eMail-Liste anfragen. Alternativ kann auch jeder andere VPN-Teilnehmer gefragt werden und der Schlüssel dort abgelegt werden.
- Fuer den VPN-Server eine Datei in /etc/tinc/bbb/hosts/bbb1 anlegen und mit dem Inhalt des public-Keys von bbb1 (siehe Node-Tabelle) füllen.
- Am Ende sollte es dann so aussehen
. ./tinc ./tinc/bbb ./tinc/bbb/tinc-down ./tinc/bbb/tinc.conf ./tinc/bbb/tinc-up ./tinc/bbb/hosts ./tinc/bbb/hosts/bbb1 ./tinc/bbb/hosts/vpnnode ./tinc/nets.boot ./init.d ./init.d/tinc
Bitte um Verbesserung: Wenn man die Anleitung abarbeitet, kommt man zu einem anderen Ergebnis. Bitte mal selber Schritt für Schritt nachvollziehen. tinc legt die hosts-Datei nicht selber an. Fehlt der folgende Schritt mit Absicht? mkdir /etc/tinc/bbb/hosts . Beim erstellen der Keys gibt es sonst eine Fehlermeldung. Der Inhalt von ./tinc/bbb/hosts/vpnnode fehlt. Die Tabelle kann so nicht stimmen. Es fehlen die public+privat-Keys. Ich wollte euch nicht reinpfuschen, deshalb alles hier am Ende.
OLSR Konfig
OLSR muss auf dem Interface sprechen. Hier also der Auszug. Der bcast ist nocht recht experimentell - funkt unter linux so aber schonmal. openWrt mal bitte testen. Bei openWrt in die /etc/local.olsrd.conf
Interface "bbb" { Ip4Broadcast 255.255.255.255 HelloInterval 50.0 HelloValidityTime 900.0 TcInterval 30.0 TcValidityTime 2700.0 MidInterval 150.0 MidValidityTime 2700.0 HnaInterval 150.0 HnaValidityTime 900.0 LinkQualityMult default 0.1 }
- Firewall anpassen
- bei openWrt / Freifunk in /etc/local.fw
iptables -I INPUT -i bbb -j ACCEPT iptables -I OUTPUT -o bbb -j ACCEPT iptables -I FORWARD -i bbb -j ACCEPT iptables -I FORWARD -o bbb -j ACCEPT
Topology
Eine Grafik ist auf http://vpn.berlin.freifunk.net unter Berlin VPN (BBB-VPN) zu sehen. Direktlink
Weitere grapfiken:
Knoten in der Tinc-Wolke
Die Adressen der Tinc-Wolke sind aus dem Subnetz 77.87.48.0/26, broadcast 77.87.48.63. Der Bereich geht von 77.87.48.1 bis 77.87.48.62.
tinc-Name | IP-Address (ipv4+ipv6) | Admin email | Public-Key | Bemerkung | |
---|---|---|---|---|---|
bbb1 | 77.87.48.1 | dpaufler at leo34 dot net | address = vpn-bbb1.berlin.freifunk.net port = 656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAOLKuq3yso4FvyH+Xw6D8mv3DHo7j9D+PfR5UYWy2+DUFJ/Tn70Gakxz VfDAkNeRXi//LoGRK2Eoqu6coTNZbe1rkAabgPN2W8we3NT/mhS6MDEHn+Z5H2lF smcL4WTEDpE+bAPFJA7wEJlr483YfUIjK9u+a+R/Pq54EwiI5/9NAgMBAAE= -----END RSA PUBLIC KEY----- |
Main VPN Server BBB1 | |
bbb1 | 77.87.48.2 | dpaufler at leo34 dot net | N2n Tunnel Test | ||
bbb1 | 77.87.48.3 | dpaufler at leo34 dot net | NAT 104.0.0.0/8 | ||
floh-gw-1 | 77.87.48.4 2a01:198:342:17:ffff:ffff:ffff:1 | onlinefloh (dot) freifunk (at) web (dot) de | Address = lime.dnsalias.net Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAOXrCPORv6A5da8QKYrrin0c7XKU+KpthuYfIJ9yMCtNV/HoXGDV+a36 DMcB8p9TvNXWVTBjzFq+pM2QuUsbHgBGh34BtSSwhl1GO+3ofewWzxmNP9KrAWFd g3UjY2d18juRHfi3jHEjg3okiAJK7WuLpfjf7OaslZheIVsaqK59AgMBAAE= -----END RSA PUBLIC KEY----- |
IPv6 testweise, mal läuft's, mal nicht | |
floh-gw-2 | 77.87.48.5 | onlinefloh (dot) freifunk (at) web (dot) de | Address = vz127.worldserver.net Port = 655 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAK7HvGan4W8uO5z5X7Ps1niiWse8Wiue45pJfdDqgVpoiUVulbzMTsVw 6IPMM5phoJEPJjI/Wr1/8Ze8Ov5k4at0eMLuHg9vQbrvJMbnuB5UXGpT6aulprAr hY8WY9leTCSfdJrKaEa7Yq6hNxB4heHh2EoKOAMmZHpArpgFnF+ZAgMBAAE= -----END RSA PUBLIC KEY----- |
||
keksmini | 77.87.48.8 | keks_vnp - - ---<ät>--- - - freifunk-bno - - ---<pünktchen>--- - - de | address = 194.105.102.251 port = 656 -----BEGIN RSA PUBLIC KEY----- MIICCgKCAgEA5M5jXrqs1ppgG4t88C0WwfSZF5rFA9UmBQk5g/v42u8Y5bF7Aezd 4udXh9D8a7Tw/3bbgBxyfZU4GEhVQ5nriokab3NgQEA0XD0zNy6TElkeRZfXTPi/ cXifvTOQTj2buLw3aLaAYJhjpgR9/bu0RvcfnlLtGER4IHhD03n+MamWRWGaCsY/ W0q6iULkTc4ZMGyQD5LUovYoEygvSUi1kOBu9VI0Fig3dw0UFOWVL/3sHvvIPZS4 1eGmA/C1XiGcMlFZA312riL44kZT2IGcTyW6yBDcL3so1MTPa6KqkfjZlXUXJBsi UhvKUS6UKeUGqv7CN8z2mL7U/iNipSha1bbud+brtsSkOuWo4j3HO8JMTg72qbZ0 yT7Z4XQaFCNnNjkJS1qZrtFfGWrE8OL4VfScp6RiI0rh91q9J8FCNf9ytkb1NSCI nWcCR1yNsfP8u2T9s86X31YLsleIJc9Z9dQc9SLrPmrtvjf2pe4y0Q5PGdH2t7DG 1h+ecFAdPd46iB103lmT5UFjHOcYDznYi19wcMi3+7SwpIjr+hC2KHzz4RHHE3F7 N6CwwcWt4t9OP3wScJahg2cySM8YXGuD0XvNZOyxac+dI2RQD0YvPl/4Bj/L59l7 YN81xvumfvT0nJUF7dVZkfUaURhhui11X95bzL6lclreAkDMgelmUDMCAwEAAQ== -----END RSA PUBLIC KEY----- |
olsr tunnel to HSH south, coming soon | |
gate | 77.87.48.9 | dpaufler at leo34 dot net | address = gate.leo34.net port = 656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBANLG48V8+i3elU+Gq/Uqeo5iQq5ZJjeJ6BcWIokkdZXl0nNF9Nth7y/D bxenGT1RHGmXPL/JkRkDgPBtY93DhBQ1KKJQ1Sox7JudUdxUj5YBi4TaB+XuT1du 5erITC037I7Rw8RqodfsuadGyxhYj5QoWwRKx2s40al5N1UjJobzAgMBAAE= -----END RSA PUBLIC KEY----- |
router @home | |
dpa_test_fonera | 77.87.48.10 | dpaufler at leo34 dot net | -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAOahNjdSM7Q9LxcJ6MwLxIekpXI4aJ6o7VCJ+rV+y0l41DqtJSxuHG1/ AKuGM00yzvd92DHmcUcGScifLeBkVGUm9UEB1TT28hX3O1WNV+xprblympB+6pWm KI/7+cEvy8e0y7WHoTNxI/DVeW/kMLHl5Y7MyKNZs0l13SW7oDSBAgMBAAE= -----END RSA PUBLIC KEY----- |
fonera @ test | |
cbasegw | 77.87.48.23 | cven at c-base dot org | Address=84.22.107.10 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALaACxt+330Y3lZb8qnOefe4KobKrrWo+MeN6i93VupkDltUeFJ+4nbY +AsJp/4kLR2AO0Hjmk9UHsbvNg/oYINakqKsKiu/F9hq81DWu0cM6UrthIyjTtJ5 J1nIXDIhOddFaER3dO+uV1f+c7/qn4Ls5+1b0fwW7hTGOj6K2h5rAgMBAAE= -----END RSA PUBLIC KEY----- |
OLSR gateway c-base mainhall | |
alxmobil | 77.87.48.X | alx at dd19 dot de | -----BEGIN RSA PUBLIC KEY----- MIICCgKCAgEA5q/qymIfWlwyaJ5yVP08/BhjPVK/eYeBcZCt+NmsYLcVTV6pDPIz uh2u90CvbdESodX2DJoaCQnbpAx/8qwulfm3a+FWWFq90/BCciUALqq2SVqYzj+x jHhaYPXcNat/St4x2KbrgzGe8/wNXWYVXD02Op9id+EbdgScyvjN6bevqsU6tQe9 CWRW6ckj1tK50njr6JF4x8gLnSogpzAosjxPbnO9BX+BJI4ufq/BtQ/8Upt1f3d9 7dp4tSswz5GaP4FrhsEeAkNWTmDCFCBMI0Fs07xJp7PNVeVDmxZantpVaW06VuBO eSg0Sh2nN7aF9xAq7cKdQ4pLoOSywCfcl5QGqmiZkmJQmzwQpfG9Ha0az1mVxOdl p+IjrdxcCHziYNyFpH1gz9/kKZuzqDBWAkJrOwGJ5efcTvQ4aNSggG990vHESf6K BjQLGowrcxbanL6c/EzQBOKcysauPx9351CnanohldGVAbG886YYqUSOW9rBp4S9 ccvhBtEtYZ84fG70agxUoSiMn6kuKSuMkUawUdcxSj0LswH69najjIAO0lCJMU9q nqG7canDBPBD3IkVbprbzKSktdUUQ419ewDz0CRMMHSOQEnD7qjzPyVQS4tt7vu5 WT9acnGDdFlIiOMhjcDlx0kJb9GisykbC8uscGm0qEDXVC6a8ITUma8CAwEAAQ== -----END RSA PUBLIC KEY----- |
||
alxfokus | 77.87.48.24 | alexander.morlang auf fokus punkt fraunhofer punkt de | address = 193.175.134.36 -----BEGIN RSA PUBLIC KEY----- MIICCgKCAgEApfGdIuLIib3DkbnIWVYnmbH0UW2sE0ItT2ZXUKclZsTD8sM1O2k9 IPy5IWWPkGv3FgNI9I1W2DuGYvzSoyyKWwKS+i1nbEt9W2StRzNk3M9khtaaJse4 eOrLJ1nc59pF1h/8aBl7llgR4Wgjx87MM4w5qLme3egWD0o/XVIzX64J3NVrbMe6 hCA5JS06IM/vtD421bX5DoNxsQfH0pmzvCXFI2TuCoZvU0i1Vu20b9sjcC55I5qN /3vQvoqcX0P+8tMbjBVQs1noO8OU3yyGsBwfIOPRef5UbA79D5Qa/luPaE+Bcg4Z RhL6VDBZ7Nye8IKK/5JBxUsyJHf3nDtDtYvplgQv/vJfQB78ZrMHI2kIrlWYLVHv m1XkLLFJ105ZHQECVlCIXq6ClJf12WfYMA9IaBnrXLQnNAUyjPdMAp4+t5d2yryM 0shq8zcTJWk6mv1G+5yjN4UUtV5wfCKIWSBC007vcXBigDXri54ahWvq6EhR4hZb 6rmgyxsjlEPahZr/wA2bspUHLokmPpBx3LXYzEAW0435lVI/464bt3c2mMwXuxak rAktaAcA8agc5AJbvGkBPTm2O3lTsgTyfBmWbOYif6Qlt+ZqI6fPn4kVq5Desygw zxlNz7kzhB3URWA+af8HeNTPXoTR+CyyoLH9AK+PnoSZlyeyKOGXiIkCAwEAAQ== -----END RSA PUBLIC KEY----- |
77.87.50.64/26 plus 77.87.50.128/26 fuer die TFH geroutet ueber FOKUS | |
ICMP | 77.87.48.25 | alx@dd19.de | We are doing n2n |
squatted 77.87.51.x | |
blackholeAP1 | 77.87.48.30 | freifunk at animatedpictures.de | address = blackhole-ap1.animatedpictures.de port = 656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAMkBA4Qmg/rfeoAlwwlC5Itan5cOdTNURCX3ItBQbvqfoUZ9iNRcJphZ RZGQ56931jTFBVqH0k36KHgOA5bSY+IgrXdyVrDgvrIY4iUu3PXU9pfKP94+e6zk TlFqS6BfifSS5z304UAwJyqsJf0Y02o0bXAX6oAsC7VMGwvm4ol7AgMBAAE= -----END RSA PUBLIC KEY----- |
||
WRT Test | 77.87.48.32 | flash128 aet gmx de | We are doing n2n | ||
bnonico | 77.87.48.42 | freifunk bei frithjof-hammer.de | Address = eliza.homelinux.org -----BEGIN RSA PUBLIC KEY----- MIGJAoGBALkcbzIt1bvbXUBnUjGvW9SvMn61/wYTxnLnlKBVxZyZUMpYv9wf6Vze mCLKRqLpP8lP7MrPdX7VZ15gMnH2EbnL9HGV/1wG7wHgCsOr0VcEkODUyJW/E/D0 1zaod69MWwXUj2JBu01AUsfmKgpae8UH06yw2LCghYF2bOaIYdjNAgMBAAE= -----END RSA PUBLIC KEY----- |
||
lachman.ath.cx | 77.87.48.43 | patrick lunatiki.de | address=lachman.ath.cx port=656 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAKnis1JTWBH1Zcwun0CZO4iB5zaQHRkJaCeIHSy471AsmdqzVB0PTNKX 2dwh6vYlIHpUDNKzWLLPG6cjXgEGevwPPzQfGYaBKHVpy8Xq+EYU0zH6u6vzA8YD evE7sV/2kxw2bfLLJV3qeDbS63XnfVcOEeQpi1kFeWE+ZrK4TixLAgMBAAE= -----END RSA PUBLIC KEY----- |
||
ralisi | 77.87.48.44 | ralisi (A) freenet o de | address = ralisi.ath.cx port = 4012 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAJIjqZ2mOIPX/MJt/ZqrtHu8lPAwyHbek1xeYzJhdSYItPN1Sl0uQrvA TIIrjNZVra29jUgGQR7STUYfuAqXG0IX68wcLO0i7LG+pCdQVqyJLiiZbxzMbtlj EHW9YDfqzOwMC6KDqHVXDe27FIcHPp2qjA1jyqg6GnTcQbmQAnI3AgMBAAE= -----END RSA PUBLIC KEY----- |
in Lankwitz | |
rictestfoo | 77.87.48.X | localhost@127-o-o-1.net | -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAJ3hMfp9FpaATz7JT3TQ0AHtvoMgs3TiEi05jcXthuq/9f1glXnSmGuG jdO28NAek/EM/OvdCzPHD14hSsvKg8mt0NO84WLTVr7bsMNvdL7yfHkNujQCyh37 8tDvzSU3z7rS04CTUDEkpv5vDiy+hTM7UgyN4xvtK97p5Us+5c8NAgMBAAE= -----END RSA PUBLIC KEY----- |
||
ricfonera | 77.87.48.X | localhost@127-o-o-1.net | -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAK7W9FCzC7cWmlaE8xGnVqNrRnk5RWUs18EKcVIgSXWxO6mKw0Yq8wsQ st9Q4GyFAD9WPoiFzSQhJTMpN8AkDEV5rbffvNrwS4BiUftKRGmygqefJCDks/vo jhaYfkT8TzH4FM4rPKxk0YN4Km4JMZBWFhzmVJvrADKR/D1mjdV3AgMBAAE= -----END RSA PUBLIC KEY----- |
||
kifuse02 | 77.87.48.47 | admin kiezfunk.net | Address = kifuse02.ath.cx Port = 657 -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAKY6ZQg9UUtZEYWByVXBLaBpHxqHlnFaEqT29W+P/FXjgwu1wZv6Fqst SsfN6YV0Z/6h/DBo5TFvg8LcT1PiGE3me3rUTj9SDrsS/mq0OTi8EaWbRlPJ4xd/ M/kaYGIAGkxpt1UQ/K1WQavFy3ZKSrFY96M5a9cMbSyT2rbv9Zn5AgMBAAE= -----END RSA PUBLIC KEY----- |
||
xalina | 77.87.48.48 | x minus alina bei gmx punkt net | -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAMXgv34C6VPsjPN8wcwCyZWzcwpP38+JVELsR6iZkdvYvjIoRwi9eRm2 8485K1S2jJbkOcleNFumesFmO6ubvF/2Lpe8CMuAa2WYnnFSsthUm9B06a30NAlh U5hWC8rEgeGv7unNR5AAdwfxpg2xb4ca4lXnefD1Zn0Ru/cIeziJAgMBAAE= -----END RSA PUBLIC KEY----- |
Layer 8 Ersatz | |
kiezbit | 77.87.48.49 | mercurix at wlankarow de | vorübergehend inaktiv |
Testsystem in Moabit | |
karow | 77.87.48.50 | mercurix at wlankarow de | -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAJ9Ss1Uv99M/sGSRTicmdsj4batMLIV1get4GKCg6GyA5kxjNdlt8eKR ajiOR6D9jYQDJpERNC5uK3k28osGCE2cVk/D0Rjq/yIBAf/EphiniyC7te8uXjqj O9ulXK5aC/ebMzyyNqN0yzp+g4qMACmaX8Y580bxypN31Er6rw99AgMBAAE= -----END RSA PUBLIC KEY----- |
Testsystem in Karow | |
<VPN_node_name> | 77.87.48.X | <email_address> | <put public key here> |
<some stuff> |