VPN-Server / Live-Topo
So, hab jetzt mal nen OpenVPN-server aufgesetzt, damit wir die Inselnetze uebers Internet vernetzen koennen. Hab mir gedacht, wir machen das einfach wie die Leipziger mit ihren VPN-Servern.
Sieht dann so aus, dass auf Nodes, die Internetzugang haben und die sich mit dem VPN-Server verbinden wollen, ungefaehr diese Prozedur hier durchgefuehrt werden muss: http://wiki.leipzig.freifunk.net/Haupt_VPN Aber Achtung es ist nicht genau das selbe, daher schreibe ich mal noch eine angepasste Anleitung. Zertifikate fuer den Server kann man kostenlos (! ) auf Anfrage bei mir erhalten (evtl. kann man das spaeter automatisieren).
Zusaetzliches Feature: Auf dem VPN-Server laeuft auch ein OLSRd, d.h. der VPN-Server kann zwischen ueber das Internet angebundenen Nodes routen und somit Inselnetze (Nord/Neustadt/Ost) verbinden. Gleichzeitig ist der Topologiegraph nun live: Aber es kann nur die Topologie aus der Sicht des Servers dargestellt werden. Also wenn keine VPN-Verbindungen bestehen, kann der Server auch nicht die komplette Topologie zeichnen.
Die Topologie ist auf der Hauptseite in der Mitte verlinkt: http://halle.freifunk.net/
Sieht dann so aus, dass auf Nodes, die Internetzugang haben und die sich mit dem VPN-Server verbinden wollen, ungefaehr diese Prozedur hier durchgefuehrt werden muss: http://wiki.leipzig.freifunk.net/Haupt_VPN Aber Achtung es ist nicht genau das selbe, daher schreibe ich mal noch eine angepasste Anleitung. Zertifikate fuer den Server kann man kostenlos (! ) auf Anfrage bei mir erhalten (evtl. kann man das spaeter automatisieren).
Zusaetzliches Feature: Auf dem VPN-Server laeuft auch ein OLSRd, d.h. der VPN-Server kann zwischen ueber das Internet angebundenen Nodes routen und somit Inselnetze (Nord/Neustadt/Ost) verbinden. Gleichzeitig ist der Topologiegraph nun live: Aber es kann nur die Topologie aus der Sicht des Servers dargestellt werden. Also wenn keine VPN-Verbindungen bestehen, kann der Server auch nicht die komplette Topologie zeichnen.
Die Topologie ist auf der Hauptseite in der Mitte verlinkt: http://halle.freifunk.net/
Aha, ok
Auf der Homepage ist dann deine Node über VPN.
Culo sollte die 250.4 anmelden, dann sehen wir das gesamte Netz?
Auf der Homepage ist dann deine Node über VPN.
Culo sollte die 250.4 anmelden, dann sehen wir das gesamte Netz?
Zuletzt geändert von Melchior am 18.01.2007 14:49, insgesamt 2-mal geändert.
Ich habe vor kurzem den Status des DAU verlassen und mir eine Norton
Personal Firewall zugelegt.
[Fredl Haimer in de.comp.security.firewall]
Personal Firewall zugelegt.
[Fredl Haimer in de.comp.security.firewall]
- wonko the sane
- Beiträge: 241
- Registriert: 08.11.2005 17:29
- Wohnort: halle, baalberge und bennstedt
- Kontaktdaten:
die topographen werden jetzt taeglich gespeichert, sodass man hinterher den wachstum des netzes, tag fuer tag, nachvollziehen kann, z.b. mit netten animationen oder so.. zu finden hier: http://h-go.de/~se/olsrtopo/
Wenn ich mir die topo mal angucke, sehe ich da viele eintraege ala 250-xx.olsr oder so.. ich faende es irgendwie cooler, wenn ihr euren APs richtige namen gaebt (z.b. statt 250-3 und 250-5 wonko1 und wonko2 oder sowas). dann muss man sich keine nummern merken und kann schon am namen des nodes erkennen, wer das ist. das ist nur ein bisschen der gedanke, dass nummern fuer maschinen sind, und namen fuer menschen. wir haben ein funktionierendes dezentrales dns, warum nicht benutzen?
- wonko the sane
- Beiträge: 241
- Registriert: 08.11.2005 17:29
- Wohnort: halle, baalberge und bennstedt
- Kontaktdaten:
Das Forum zieht in ein paar Tagen auf einen neuen Server mit Gigabit-Anbindung.martin hat geschrieben:an der topology sieht man, was passieren würde, wenn culo einen totalausfall hat.
ps: warum ist das forum so sau langsam?
The World Wide Web is the only thing I know of whose shortened form — www — takes three times longer to say than what it's short for.
- wonko the sane
- Beiträge: 241
- Registriert: 08.11.2005 17:29
- Wohnort: halle, baalberge und bennstedt
- Kontaktdaten:
- wonko the sane
- Beiträge: 241
- Registriert: 08.11.2005 17:29
- Wohnort: halle, baalberge und bennstedt
- Kontaktdaten:
Die Karte funktioniert, Culo ist nur nicht rangetunnelt. Die Karte wird im übrigen (als einziges) schon vom neuen Server erzeugt.Melchior hat geschrieben:Funktioniert beim neuen Server auch die Netzkarte wieder?
The World Wide Web is the only thing I know of whose shortened form — www — takes three times longer to say than what it's short for.
boote mal dein router neu dann schau obs dann klappt, falls nicht:
öffne eine ssh-verbindung und gib auf der konsole ps ein uns schau ob dort irgendwo
/usr/sbin/openvpn oder nur openvpn mit ein paar parametern steht.
dann gib
date
ein und schau wie das datum deines routers gesetzt ist hatte das problem das mein datum auf 2005 stand und dort das zertifikat noch nicht gültug war).
schau nach ob in der /etc/local.fw die richtigen firewall-regeln stehen
mehr fällt mir grad nicht ein
öffne eine ssh-verbindung und gib auf der konsole ps ein uns schau ob dort irgendwo
/usr/sbin/openvpn oder nur openvpn mit ein paar parametern steht.
dann gib
date
ein und schau wie das datum deines routers gesetzt ist hatte das problem das mein datum auf 2005 stand und dort das zertifikat noch nicht gültug war).
schau nach ob in der /etc/local.fw die richtigen firewall-regeln stehen
mehr fällt mir grad nicht ein
in der vpn.conf, die ich euch zuvor geschickt hatte waren ein parameter gesetzt, die bewirkt haben, dass es seitdem es nicht mehr funktionierte, nicht mehr funktionierte. hat wohl auch mit dem netz im rechenzentrum des servers zu tun, scheinbar werden da bestimmte udp-pakete gedroppt usw.. jedenfalls lief es ja mit diesen einstellungen, jetzt geht es nicht mehr mit den einstellungen...
jedenfalls wenn man:
replay-window 128 60
tun-mtu 1500
mssfix 1300
fragment 1300
aus der /etc/openvpn/vpn.conf rausnimmt, geht es wieder.
jedenfalls wenn man:
replay-window 128 60
tun-mtu 1500
mssfix 1300
fragment 1300
aus der /etc/openvpn/vpn.conf rausnimmt, geht es wieder.
nochmal zur bezeichnung der router:
was ihr da als namen eintragt, das ist der hostname, unter der euer router im netz per DNS erreichbar sein kann, bzw. sollte.
wenn ihr da "max" eingebt, dann koennen andere euren router direkt erreichen, indem sie z.b. im browser einfach "max.olsr" in die adressleiste eingeben. daher sollte diese bezeichnung meiner meinung nach moeglichst einfach zu merken sein. wenn die ip adresse leichter zu merken ist, als der hostname, dann erfuellt das den zweck von DNS nicht, naemlich dass man sich nicht viel merken braucht.
mitunter sind eingestellte namen sogar als DNS hostnamen ungueltig, z.b. wenn leerzeichen, sonderzeichen, umlaute, usw. drin vorkommen.
was ihr da als namen eintragt, das ist der hostname, unter der euer router im netz per DNS erreichbar sein kann, bzw. sollte.
wenn ihr da "max" eingebt, dann koennen andere euren router direkt erreichen, indem sie z.b. im browser einfach "max.olsr" in die adressleiste eingeben. daher sollte diese bezeichnung meiner meinung nach moeglichst einfach zu merken sein. wenn die ip adresse leichter zu merken ist, als der hostname, dann erfuellt das den zweck von DNS nicht, naemlich dass man sich nicht viel merken braucht.
mitunter sind eingestellte namen sogar als DNS hostnamen ungueltig, z.b. wenn leerzeichen, sonderzeichen, umlaute, usw. drin vorkommen.