Firmware:MeshVPN-Client: Unterschied zwischen den Versionen
Lcb01 (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Lcb01 (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Normalerweise melden sich Clients selber beim Mesh-VPN an wenn diese das erste mal booten bzw wenn diese das erste mal mit dem WAN-Port zum Internet verbunden sind. | |||
Diese Anleitung ist nur für die manuelle Einrichtung falls das Registrierungs-Script nicht sauber durchläuft. | |||
Die Nodes brauchen beim ersten booten etwa 5-6 Minuten bis die Verbindung zum Mesh-VPN aufgebaut wird. | |||
'''Fastd Client auf Node einrichten''' | '''Fastd Client auf Node einrichten''' | ||
Zeile 13: | Zeile 18: | ||
*Node anmelden | *Node anmelden | ||
Im Browser die Register-Seite für die Community öffnen z.b. http://register. | Im Browser die Register-Seite für die Community öffnen z.b. http://register.rheinufer.freifunk-rheinland.net<br> | ||
Beide Felder müssen ausgefüllt werden, der Knoten Name muss eindeutig sein.<br> | Beide Felder müssen ausgefüllt werden, der Knoten Name muss eindeutig sein.<br> | ||
In das Feld VPN-Schlüssel wird der Public-key der vorher generiert wurde eingefügt.<br> | In das Feld VPN-Schlüssel wird der Public-key der vorher generiert wurde eingefügt.<br> | ||
Zeile 26: | Zeile 31: | ||
/etc/init.d/fastd start | /etc/init.d/fastd start | ||
Nun sollte die Node zum VPN verbinden, falls gewünscht | Nun sollte die Node zum VPN verbinden, falls gewünscht können vorhandene Gateways im VPN verwendet werden. z.b. einen großen Exit-Gateway. | ||
Um diese Gateways zu nutzen gibt es zwei Queen Mode Settings: | Um diese Gateways zu nutzen gibt es zwei Queen Mode Settings: | ||
Zeile 40: | Zeile 45: | ||
uci set fsm.meshfsm.net_queenmode=vpn-bridge | uci set fsm.meshfsm.net_queenmode=vpn-bridge | ||
uci commit fsm | uci commit fsm | ||
== Rouge router filter == | |||
Damit Router Advertisements anderer IPv6-Router als die der [[Super-Node|Super-Nodes]] nicht über das Mesh-Netzwerk weitergeleitet werden, müssen sie an den Übergängen verworfen werden. | |||
Auf den Super-Nodes verwendene wir die folgende Zeile: | |||
ebtables -A FORWARD -p IPv6 -s ! 04:be:ef:ca:fe:00/ff:ff:ff:ff:ff:00 --ip6-proto ipv6-icmp --ip6-icmp-type router-advertisement -j DROP | |||
So werden nur die Router mit den Mac-Adressen 04:be:ef:ca:fe:00 bis 04:be:ef:ca:fe:ff zugelassen. | |||
Auf den regulären Nodes befindet sich folgender Filter im Betrieb: | |||
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp --ip6-icmp-type router-advertisement -j IN_ONLY | |||
ebtables -A IN_ONLY -i ! bat0 --logical-in br-mesh -j DROP | |||
So werden Advertisements von Clients geblockt. |
Aktuelle Version vom 27. März 2014, 09:36 Uhr
Normalerweise melden sich Clients selber beim Mesh-VPN an wenn diese das erste mal booten bzw wenn diese das erste mal mit dem WAN-Port zum Internet verbunden sind. Diese Anleitung ist nur für die manuelle Einrichtung falls das Registrierungs-Script nicht sauber durchläuft. Die Nodes brauchen beim ersten booten etwa 5-6 Minuten bis die Verbindung zum Mesh-VPN aufgebaut wird.
Fastd Client auf Node einrichten
- Secret & Public key generieren
root@Meine-Node:~# fastd --generate-key 2013-11-05 12:07:15 +0100 --- Info: Reading 32 bytes from /dev/random... Secret: 684242a7fa256afdefb69e75e8250fdf011fa00022f1eee9035badcd77d84e6a Public: 2a950089c43a1adc51a5286b5ffb784d57c325ddab5f1c6bdabbb5e5aeb8cd0e
- Secret in config schreiben mittels vim:
vim /etc/fastd/mesh-vpn/secret.conf
secret "684242a7fa256afdefb69e75e8250fdf011fa00022f1eee9035badcd77d84e6a";
- Node anmelden
Im Browser die Register-Seite für die Community öffnen z.b. http://register.rheinufer.freifunk-rheinland.net
Beide Felder müssen ausgefüllt werden, der Knoten Name muss eindeutig sein.
In das Feld VPN-Schlüssel wird der Public-key der vorher generiert wurde eingefügt.
Wenn die Registrierung abgeschlossen ist dauert es in etwa 5 Minuten bis die Verbindung aufgebaut werden kann.
- Fastd service beim booten starten:
/etc/init.d/fastd enable
- Fastd starten
/etc/init.d/fastd start
Nun sollte die Node zum VPN verbinden, falls gewünscht können vorhandene Gateways im VPN verwendet werden. z.b. einen großen Exit-Gateway. Um diese Gateways zu nutzen gibt es zwei Queen Mode Settings:
- VPN-Hybrid
Die Node verteilt selbst IP-Adressen an Clients aber nutzt als Gateway sowie DNS-Server ein Exit-Gateway.
Um den VPN-Hybrid Mode zu nutzen muss das folgende eingegeben werden:
uci set fsm.meshfsm.net_queenmode=vpn-hybrid uci commit fsm
- VPN-Bridge
Die Node verteilt keine IP-Adressen sondern nutzt die DHCP-Funktionalität des Exit-Gateway.
Um den VPN-Bridge Mode zu nutzen muss das folgende eingegeben werden:
uci set fsm.meshfsm.net_queenmode=vpn-bridge uci commit fsm
Rouge router filter
Damit Router Advertisements anderer IPv6-Router als die der Super-Nodes nicht über das Mesh-Netzwerk weitergeleitet werden, müssen sie an den Übergängen verworfen werden.
Auf den Super-Nodes verwendene wir die folgende Zeile:
ebtables -A FORWARD -p IPv6 -s ! 04:be:ef:ca:fe:00/ff:ff:ff:ff:ff:00 --ip6-proto ipv6-icmp --ip6-icmp-type router-advertisement -j DROP
So werden nur die Router mit den Mac-Adressen 04:be:ef:ca:fe:00 bis 04:be:ef:ca:fe:ff zugelassen.
Auf den regulären Nodes befindet sich folgender Filter im Betrieb:
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp --ip6-icmp-type router-advertisement -j IN_ONLY ebtables -A IN_ONLY -i ! bat0 --logical-in br-mesh -j DROP
So werden Advertisements von Clients geblockt.