IC-VPN

Version vom 7. Februar 2021, 23:18 Uhr von Otto (Diskussion | Beiträge) (ungepflegt)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Achtung, diese Seite ist als „ungepflegt“ markiert. Das heißt, dass die Inhalte dieser Seite nicht mehr vollständig aktuell erscheinen und daher mit Vorsicht behandelt werden sollten

Es tut uns leid, dass nicht immer alles aktuell ist, prinzipiell wissen wir ja um den Mehrwert guter Dokumentation. Bitte hilf mit, die Seite aktuell zu halten, indem du sie bearbeitest oder uns per Mail oder auf einem Treffen darauf hinweist.

Dieser Artikel ist nun > 10 Jahre alt und vermutlich nicht mehr aktuell.


Wenn Dein Router keine Funkverbindung zur großen Wolke hat, kannst Du ihn via VPN an die Wolke anbinden.

Vorbereitungen

  • Der abgesetzte Router hat natuerlich Internet (per DSL)
  • Optional, aber sehr hilfreich:
    • besorg Dir einen dyndns-Account und richte das auf Deinem Router ein.
    • sorge dafür, dass von außen Dein Freifunk-Router auf den Ports 22 und 80 erreichbar ist, z.B. durch Portweiterleitung von Deinem DSL-Router und Freischaltung des Zugriffs über WAN (Verwaltung -> WAN -> HTTP erlauben, SSH erlauben).
    • Schick uns eine E-Mail mit folgenden Daten:
      • IP-Adresse des Routers (10.22.xx.yy)
      • dyndns-Nanme, z.B. "blurbs.dyndns.com",
    • Wir generieren Dir einen DNS-Alias apXX-YY.freifunk-potsdam.de
  • Erzeuge Dir auf dem Berliner BBB-VPN-Server ein Schlüsselpaar. Wichtig: verwende nach Möglichkeit den von uns vergenen DNS-Alias apXX-YY.freifunk-potsdam.de (wobei 10.22.XX.YY Deine Router-IP ist).
  • Du bekommst ein VPN-Schlüsselpaar und eine OpenVPN-Konfig-Datei per e-Mail.

IC-VPN einrichten

Falls noch nicht geschehen, update Deinen Router auf Firmware 1.7.4 oder neuer.

Installiere entweder das Paket freifunk-openvpn-de (ipkg install freifunk-openvpn-de, oder installiere gleich das Firmware-Image openwrt-freifunk-1.7.4-de-full.trx - dort ist openvpn bereits enthalten.

Falls Du schon ein Gateway-VPN eingerichtet hast, kannst Du eine zweite OpenVPN-Konfiguration anlegen.

Unter Admin->OpenVPN. folgendes einstellen:

  • Verbindungsart: Punkt-zu-Mehrpunkt
  • Betriebs-Rolle: Client
  • Gerät: Brücke (tap)
  • 2*nicht uber tunnel
  • Gegenstation: bbb-vpn.berlin.freifunk.net
  • Protokoll: UDP
  • LZO Kompression: LZO aus
  • CA-Zertifikat (ca.crt): den Inhalt der Datei "bbb-vpn-ca.crt":
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
  • In das Feld "Zertifikat (*.crt) & Schlüssel (*.key)": den Inhalt der Dateien *.crt und *.key hintereinander reinkopieren. Das sieht dann etwa so aus:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

 

Unter Admin -> OLSR

  • Schnittstellen: tap0

Dann den Router rebooten.

 

IC-VPN testen

Wenn alles geklappt hat, siehst Du nach dem Reboot auf der Statusseite den Nachbarn 104.0.6.1 mit ETX ~4. Du kannst auch auf der BBB-VPN Statusseite nachsehen, ob Dein Router unter den IPv4-Nachbarn auftaucht.