Potsdam-VPN: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen

Potsdam-VPN (Quelltext anzeigen)

Version vom 13. April 2020, 11:41 Uhr

1.169 Bytes hinzugefügt ,  13. April 2020
Openvpn im PdmVPN wird noch unterstützt, ist aber veraltet
(Openvpn im PdmVPN wird noch unterstützt, ist aber veraltet)
 
(23 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 3: Zeile 3:
__TOC__
__TOC__


== Client einrichten ==
==Client einrichten (OpenVPN) (alt)==
=== Zertifikat beantragen ===
===Zertifikat beantragen===
Um ein Zertifikat zum Potsdam-VPN für deinen Freifunkrouter zu erhalten, schicke bitte eine Email mit folgenden Angaben an ''users@lists.freifunk-potsdam.de''.
Um ein Zertifikat zum Potsdam-VPN für deinen Freifunkrouter zu erhalten, schicke bitte eine Email mit folgenden Angaben an ''[https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users users@lists.freifunk-potsdam.de]''.


'''Betreff:'''PdmVPN für ''Routername''
[mailto:users@lists.freifunk-potsdam.de?subject=PdmVPN%20f%C3%BCr%20Routername&body=Hallo%20Zertifikatsgeber%2C%0D%0A%0D%0Asende%20mir%20bitte%20ein%20Potsdam-VPN-Zertifikat%5B0%5D%20f%C3%BCr%20meinen%20Knoten%20Routername%20an%20Emailadresse.%0D%0A%0D%0AViele%20Gr%C3%BC%C3%9Fe%2C%0D%0A%0D%0A%0D%0A%5B0%5D%3A%20https%3A%2F%2Fwiki.freifunk-potsdam.de%2FPotsdam-VPN Für die E-Mail hier klicken]
 
'''Betreff:'''PdmVPN für ''Routername''<br>
'''Inhalt''':
'''Inhalt''':
Hallo Zertifikatsgeber,
Hallo Zertifikatsgeber,


sende mir bitte ein Zertifikat für meinen Knoten ''Routername'' an ''Emailadresse'.
sende mir bitte ein Zertifikat für meinen Knoten ''Routername'' an ''Emailadresse''.
 
===Potsdam-VPN auf Router einrichten===
 
Nachdem die E-Mail mit einem Zertifikat beantwortet wurde, kann der Router mit dem VPN bespielt werden.
 
====OpenVPN einrichten====
 
Zuerst richten wir das OpenVPN ein, damit der Router sich verbinden kann. Falls der Menüpunkt Services/OpenVPN nicht vorhanden ist, folgende Pakete über die Paketverwaltung nachinstallieren und den Router neu starten: luci-app-openvpn, luci-i18n-openvpn-en und openvpn-openssl
 
Auf der Kommandozeile:
 
opkg update && opkg install luci-app-openvpn luci-i18n-openvpn-en openvpn-openssl && exec reboot
 
*Unter Services/OpenVPN eine neue "Client configuration for an ethernet bridge VPN" namens "pdmvpn" anlegen.


=== Potsdam-VPN auf Router einrichten ===
==== OpenVPN einrichten ====
* Unter Services/OpenVPN eine neue "Client configuration for an ethernet bridge VPN" namens "pdmvpn" anlegen.
[[Datei:1-vpn_anlegen.png|VPN anlegen]]
[[Datei:1-vpn_anlegen.png|VPN anlegen]]
* auf "Switch to advanced configuration" klicken
* unter Networking folgende Einstellungen vornehmen. Einige Felder müssen zuerst hinzugefügt werden.
** '''port''': 1195
** '''dev''': pdmvpn
** '''dev_type''': tap
** '''tun_mtu''': 1300
** '''comp_lzo''': no
* unter VPN folgende Einstellungen vornehmen.
** '''remote''': vpn.freifunk-potsdam.de
* unter Cryptography folgende Einstellungen vornehmen. Einige Felder müssen zuerst hinzugefügt werden.
** '''cipher''': none
** '''ca''': ca.crt hochladen
** '''cert''': <span style="color:red">$client$</span>.crt hochladen
** '''key''': <span style="color:red">$client$</span>.key hochladen
* Speichern & Anwenden
* unter Services/OpenVPN das pdmvpn aktivieren und starten.


==== Interface konfigurieren ====
*auf "Switch to advanced configuration" klicken
* Unter Networking/Interfaces ein neues Interface names PDMVPN anlegen.
*unter Networking folgende Einstellungen vornehmen. Einige Felder müssen zuerst hinzugefügt werden.
** Protocoll ist Unmanaged oder Ignoriert
**'''port''': 1195
** als Device das soeben eingerichtete device "pdmvpn" auswählen.
**'''dev''': pdmvpn
* das neue Interface der Firewallgruppe Freifunk hinzufügen
**'''dev_type''': tap
==== OLSR konfigurieren ====
**'''tun_mtu''': 1300
* unter Services/OLSR IPv4 das PDMVPN Interface hinzufügen
**'''comp_lzo''': no
** '''Modus''': mesh
*Speichern
*unter VPN folgende Einstellungen vornehmen.
**'''remote''': vpn.freifunk-potsdam.de
*Speichern
*unter Cryptography folgende Einstellungen vornehmen. Einige Felder müssen zuerst hinzugefügt werden.
**'''cipher''': none
**'''ca''': ca.crt hochladen
**'''cert''': <span style="color:red">$client$</span>.crt hochladen
**'''key''': <span style="color:red">$client$</span>.key hochladen
*Speichern & Anwenden
 
====Interface konfigurieren====
 
Hier richten wir die Schnittstelle ein, an der der Verkehr über das VPN vom Router entgegen genommen wird.
 
*Unter Network/Interfaces ein neues Interface names PDMVPN anlegen.
**Protocoll ist Unmanaged oder Ignoriert
**als Device das soeben eingerichtete Device "pdmvpn" auswählen. Beim ersten Einrichten existiert das Device vielleicht nicht. Wenn es nicht existiert, kann der Name unten eingegeben werden.
*Submit
*Das neue Interface der Firewallgruppe "Freifunk" hinzufügen.
*Speichern und Anwenden (Save & Apply)
*unter Services/OpenVPN das pdmvpn aktivieren und starten. Es müsste jetzt laufen. "Started" "Yes"
 
====OLSR konfigurieren====
 
Nachdem wir nun Verkehr über das VPN schicken, wird es Zeit, sich automatisch über OLSR auszutauschen, welche Router wir über das VPN erreichen können.
 
*unter Services/OLSR IPv4 das PDMVPN Interface hinzufügen:
**Add
**PDMVPN auswählen
**'''Modus''': mesh
**Linkqualitäteinstellungen: LQ-Algorithmus: etx_ffeth
**Speichern & Anwenden
 
====Bilder====
 
<br />
<br />
<gallery mode="packed">
<gallery mode="packed">
Zeile 52: Zeile 84:
</gallery>
</gallery>


== Keys generieren ==
====Überprüfen====
=== Easy-RSA config ===
 
* vim vars
Wenn das Meshing über das VPN läuft, dann kann man bei ''Status'' -> ''OLSR'' -> ''Nachbarn'' folgendes sehen:
export EASY_RSA="`pwd`"
 
export OPENSSL="openssl"
  Neighbour IP Hostname Interface
export PKCS11TOOL="pkcs11-tool"
  172.22.251.1 pdmvpn-a.olsr undefined
export GREP="grep"
 
Wenn nicht, nochmal die VPN-Einstellungen und OLSR überprüfen, ein Reboot des Routers kann auch helfen. Die ETX sollte sich bei etwa 2,5 stabilisieren.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
 
 
export KEY_DIR="$EASY_RSA/keys"
====Diskussionen====
 
# Issue rm -rf warning
Auf der Potsdamer Mailingliste gibt es folgende Diskussionen:
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
 
*[https://lists.freifunk-potsdam.de/pipermail/users/2018-March/018515.html Welches OpenVPN?] - Eine Diskussion zur Installation von Paketen unter der Firmware-Version Hedy.
  export PKCS11_MODULE_PATH="dummy"
  export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=10950
export KEY_EXPIRE=3660
export KEY_COUNTRY="DE"
export KEY_PROVINCE="BRB"
export KEY_CITY="Potsdam"
export KEY_ORG="Freifunk Potsdam e.V."
export KEY_EMAIL="info@freifunk-potsdam.de"
export KEY_CN=
export KEY_NAME=
=== CA Zertifikat, CA Key und DH Parameter erzeugen ===
. vars
./build-ca
./build-dh
=== Server Zertifikat und Server Key erzeugen ===
. vars
./build-key-server <span style="color:red">$server name$</span>
=== client Zertifikat und Client Key erzeugen ===
. vars
./build-key <span style="color:red">$client name$</span>


== Server aufsetzen ==


[[Kategorie:Technik]]
[[Kategorie:Technik]]
[[Kategorie:Netz]]
[[Kategorie:Netz]]
Seth0r
Orga, Bürokraten, Administratoren
770

Bearbeitungen

Abgerufen von „https://wiki.freifunk-potsdam.de/Spezial:Mobiler_Unterschied/8957...9506

Navigationsmenü