wie HNA und VPN-Tunnel einrichten

[HotShot]

nu hammer das ja doch noch vergessen zu klären. Kann mir jemand erklären wie ich nen VPN-Tunnel einrichte?

[3dfxatwork]

Hast du ein Zertifikat ?
Falls nicht schicke ich dir eins. Die Zertifikate müssen dann nach /etc/openvpn kopiert werden (der ordner muss noch nicht existieren)

Dann brauchst du Openvpn, man kann es installieren, es ist jedoch empfehlenswert, eine Firmware aufzuspielen, wo es mit drin ist. Wenn du es nachinstallieren willst, benötigst du "openvpn-ssl-nolzo". Auf den DIR-300 reicht der platz nicht zum nachinstallieren, da musst du auf jeden Fall die Firmware mit openvpn nutzen.

In /etc/local.fw nach start eintragen:

Code: Alles auswählen

iptables -I INPUT -i tap+ -j ACCEPT
iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT

In /etc/local.olsrd.conf eintragen:

Code: Alles auswählen

Interface "tap0" "tap1"
{
HelloInterval           5.0
HelloValidityTime       90.0
TcInterval              2.0
TcValidityTime          270.0
MidInterval             15.0
MidValidityTime         90.0
HnaInterval             15.0
HnaValidityTime         90.0
}

Am Ende noch

Code: Alles auswählen

ln -s /etc/init.d/openvpn /etc/init.d/S99openvpn

ausführen.

Auf den DIR-300 geht das alles im Webinterface, da muss man sich mal bissel durchklicken.

[HotShot]

Ne hab keine Zertifikate. An dem Rest probier ich mich mal. Ich hab nen Buffalo und werd mal versuchen es zu installieren.

Firmware ist 1.6.10-core-1-halle-3

Aber irgendwie funktioniert das mit dem HNA bei mir noch nicht. Ich hab jetzt unter LAN die IP meines Routers mit dem ich ins Inet gehe als LAN-Default-Route eingetragen. Der kommt aber nicht online.

[3dfxatwork]

das muss bei wan rein die default route, zertifikate schicke ich dir.

[HotShot]

ich geh aber nicht über wan sondern über lan auf den ff-router, da ich den router auch ausm lan steuern will

[3dfxatwork]

achso, hmm da hab ich keine ahnung, ich glaube aber nicht, das das geht, hab das glaube auch schonmal versucht.

Du kannst ja trotzdem mal versuchen die default route im wan einzutragen aber bei dem rest nichts, vllt klappt das ja auch, diese firewall ist recht undurchsichtig auf dem router

[HotShot]

Wie komm ich denn auf meinen Router per LAN noch drauf wenn ich den am WAN anschließe?

[3dfxatwork]

Nein so lassen wie es ist, also am lan, und nur die default route bei wan eintragen

[HotShot]

hab ich gemacht - bringt aber nix

[3dfxatwork]

OK, ich da hab ich auch erstmal keine Idee weiter, vllt weiß noch jemand was. Ich kann gerade leider nicht gucken, ich hab überall nur die Kamikaze Firmware drauf

[HotShot]

Na dann schließ ichs halt doch über WAN an. Aber wie muss ich dann konfigurieren um von meinem LAN auf den FF-Router zugreifen zu können?

[3dfxatwork]

Das ist eher nicht zu empfehlen, denn dann können rechner im ff auf dein privates lan zugreifen, das ist auch wieder nen ganzes stück arbeit, dass das verhindert wird. Ich installiere mal bei mir die alte und schau mir das mal an, wahrscheinlich aber erst morgen.

[HotShot]

Ich kann doch einfach auf meinen Router den Zugriff vom FF-Router blocken.

[tox]

Wenn der das kann und wenn du nicht vergisst, dass du nichts anderes an den FF-Router anschließen darfst (und vor allem warum. Meiner Erfahrung nach ignorieren viele Leute Richtlinien, die sie sich aufgestellt haben, wenn sie nicht mehr erinnern, warum sie sie aufgestellt haben, um sich dann hinterher zu wundern, warum etwas, was sie nie beabsichtigt hatten, doch eingetreten ist.)

Warum genau hängt der FF-Router jetzt eigentlich per LAN-Buchse an deinem anderen Router? Draufkommen tust du auch, wenn er mit der WAN-Buchse an deinem anderen Router hängt...

[HotShot]

ka - weil mit gesagt wurde, dass ich ihn an der WAN-Buchse nicht per LAN erreiche

was sich nach einem Test auch bestätigt hat

[tox]

Dann musst du auf der WAN-Seite noch die Dienste einschalten, die du auf dem Port ansprechen möchtest.

[HotShot]

und das macht man wie? z.b. für webinterface und telnet

[tox]

Wir nennen es lieber SSH xD.

Naja du musst dich erst mal irgendwie mit dem Teil verbinden, WLAN oder halt mal kurzzeitig an eine LAN-Buchse anstecken, dann gehst du in die Einstellungen und änderst es dort, speichern, neustarten, fertig

[HotShot]

was, wie, wo einstellen?

[tox]

Weboberfläche des FF-Routers aufrufen -> Verwalten -> WAN -> SSH erlauben, HTTP erlauben, HTTPS erlauben, Ping erlauben anhaken

[HotShot]

ist aktiviert. Ich kommt trotzdem nit mit der eingestellten IP übers LAN auf den Router wenn der am WAN hängt.

[tox]

Muss gehn, bei mir gehts doch auch Ich überleg morgen noch mal...

[kwm]

ist aktiviert. Ich kommt trotzdem nit mit der eingestellten IP übers LAN auf den Router wenn der am WAN hängt.

Um die Begriffe auseinander zu halten, bezeichnen wir jetzt mal den einen Router als "Frei Funk-Router" (FF-Router). Dieser hat auf der LAN und WLAN Seite eine IP aus dem "Freifunknetz" (FF-Netz)vom Typ 104.62.X.X
Auf der WAN Seite hat er eine IP aus "Deinem Netz" (D-Netz) die sieht wahrscheinlich so aus 192.168.1.X

FF-Router
Freifunknetz -> IP-Adresse am LAN-Port und WLAN-Port 104.62.X.X
Dein Netz -> IP-Adresse am WAN-Port 192.168.1.X

Den anderen Router bezeichnen wir mal als "Deinen Router" (D-Router). Dieser ist auf der WAN Seite mit dem Internet verbunden und hat auf der WAN Seite eine öffentliche IP von Deinem Provider zugewiesen bekommen. Auf der LAN und WLAN Seite ist es eine private IP wahrscheinlich sieht die so aus 192.168.1.X

D-Router
Internet -> öffentliche IP-Adresse am WAN-Port
Dein Netz -> IP-Adresse am LAN-Port und WLAN-Port 192.168.1.X

Um jetzt von Deinem Netz auf den FF-Router zugreifen zu können, musst Du ihn über die IP-Adresse welche er am WAN-Port hat ansprechen. Also 192.168.1.X

Um den FF-Router auch aus Deinem Netz über seine FF-IP 104.62.X.X ansprechen zu können, musst Du in Deinem Router einstellen, das das FF-Netz über die IP 192.168.1.X welche die IP am WAN-Port vom FF-Router ist erreicht wird.

Zu den IP-Adressen in Deinem Netz sei noch zu sagen, die können natürlich auch ganz andere aus dem Bereich der privaten IP-Adressen sein.

[kwm]

Wer einen HNA betreibt, sollte auch über VPN mit dem FF-Netz verbunden sein. Das FF-Netz ist manchmal so zerrissen in einzelne Bereiche, die keine Verbindung zueinander haben, wegen fehlender VPN-Tunnel.

Bitte VPN auf den HNA´s einrichten.

KWM

[unobruno]

Wer einen HNA betreibt, sollte auch über VPN mit dem FF-Netz verbunden sein. Das FF-Netz ist manchmal so zerrissen in einzelne Bereiche, die keine Verbindung zueinander haben, wegen fehlender VPN-Tunnel.

dann bräuchte ich bitte mal n Zertifikat oder so....

[3dfxatwork]

ich hab dir eins geschickt, weißt du wie du es einrichten musst ?

[unobruno]

ch hab dir eins geschickt, weißt du wie du es einrichten musst ?

Ne. Dachte es geht irgendwie übers interface beim dir-300 und dass ichs dann schon hinkriege... Finde aber nichts wie bzw. wo ichs machen könnte....

[3dfxatwork]

beim dir 300 kann man fast alles über das webinterface einstellen, was genau, das schreib ich morgen ^^

[kwm]

Wäre es möglich im Wiki unter Netzverwaltung die Tabellarische Übersicht der einzelnen Projekte um zwei zusätzliche Spalten zu erweitern, aus denen hervorgeht ob der Node HNA ist und VPN eingerichtet ist?

aktuell HNA mit VPN-Tunnel:

8.38 | 15.10 | 16.1 | 16.37 | 28.1 | 28.35 | 34.1

aktuell HNA ohne VPN-Tunnel:

2.54 | 14.2 | 14.14 | 15.39 | 22.4 | 28.2 | 34.4

KWM

[tox]

Eine Internet-Spalte gibt es bereits im Wiki. Die VPN-Spalte notier ich mir für das nächste Update.