VPN-Einrichten

[Klops]

Hallo,

habe die Zertifikate bekommen und wie angewiesen nach etc/openvpn entpackt.
Woran sehe ich jetzt, dass ein Tunnel aufgebaut ist?
Muss ich auf meinem Internet-Gateway noch einen Port freischalten für openvpn?
(Die Route geht vom WAN-Port des FF-Routers durch mein LAN)

Grüße

K.

[zuw2]

habe die Zertifikate bekommen und wie angewiesen nach etc/openvpn entpackt.
Woran sehe ich jetzt, dass ein Tunnel aufgebaut ist?

Damit das funktioniert musst du Openvpn installiert haben. Nachdem du die Zertifikate und die Konfigurationsdatei nach /etc/openvpn/ entpackt hast, startest du den Router neu. Wenn die VPN-Verbindung richtig aufgebaut wird, findest du auf dem Router ein neues Netzwerkdevice. Das kannst du überprüfen indem du dich per SSH auf dem Router einloggst und

Code: Alles auswählen

ifconfig tap0

eingibst. Eventuell auch tap1 oder tap2. Das hängt davon ab, ob du vorher schon einen anderen Tunnel (zum Beispiel zu einem anderen Router) konfiguriert hattest.

Als Ausgabe solltest du auf jeden Fall keine Fehlermeldung bekommen sondern sowas in der Art:

Code: Alles auswählen

tap0      Link encap:Ethernet  HWaddr 00:FF:97:48:BA:4E  
          inet addr:104.62.1.141  Bcast:104.62.1.159  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:1213801 errors:0 dropped:0 overruns:0 frame:0
          TX packets:788673 errors:0 dropped:117 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:1183618599 (1.1 GiB)  TX bytes:521630368 (497.4 MiB)

Hinter "inet addr:" sollte bei dir eine andere IP stehen, aber auf jeden Fall eine aus dem Freifunknetz. Höchstwahrscheinlich fängt die mit 104.62.1 oder 104.62.4 an. Zumindest tun das meine beiden Tunnel-IPs.

Wenn das funktioniert, kannst du noch überprüfen, ob OLSR funktionert. Das kannst du zum Beispiel machen indem du auf dem Router

Code: Alles auswählen

netstat -rn

eingibst. Die Antwort sollte eine lange Liste sein, vorne in den Zeilen Freifunk-IPs und ganz hinten tap0. Die müsstest du aber auch in der Konfigurationsoberfläche unter "routen" finden.

Muss ich auf meinem Internet-Gateway noch einen Port freischalten für openvpn?
(Die Route geht vom WAN-Port des FF-Routers durch mein LAN)

Wenn dein Internet-Gateway normalerweise allen Traffic vom Lan ins Internet durchlässt, brauchst du keinen Port freischalten. Falls das nicht so ist, musst du dafür sorgen, dass der /die Freifunk-VPN-Server, die du nutzen willst erreichbar sind. Die findest du in deiner Openvpn-conf-Datei. Darin gibt es eine Zeile, die mit "remote" anfängt. Dahinter stehen die IP und der zugehörige Port, die vom Freifunkrouter aus erreichbar sein müssen.

Extra einen Port öffnen für Verbindungen die von außen initiiert werden, brauchst du nicht.

[Klops]

Hallo,

ich habe die Firmware für HNA genommen (für'n WHR54GL), nämlich die hier:
http://www.freifunk-halle.net/firmware/ ... table/hna/

Da sollte doch eigentlich openvpn drin sein?
Scheint aber nicht so, jedenfalls bekomme ich bei Deinen Abfragen Fehlermeldungen.

[3dfxatwork]

Wenn du die Anleitung benutzt hast, könnte noch das fehlen:

Code: Alles auswählen

ln -s /etc/init.d/openvpn /etc/init.d/S99openvpn

Das kann man mit

Code: Alles auswählen

ls /etc/init.d/S99openvpn

prüfen.

Wie ist die Zeit auf dem Gerät?

Code: Alles auswählen

date

[Klops]

Ich bin ja bei der Anleitung noch ganz am Anfang:

Diese Beschreibung geht davon aus, das auf Deinem Linksys WRT54GL Router OpenWrt White Russian in der verlinkten Version installiert ist.

Sowie die VPN-Tunnel zu den beiden VPN-Servern bestehen.

VPN-1-Server 104.62.1.129 | freifunk-halle.net

VPN-2-Server 104.62.4.129 | freifunk-kanal13.de

Die Tunnel sollten also erstmal da sein.
Zeit ist aktuell auf dem Gerät.
Hätte ich beim Einrichten der Firmware nicht die Neustartoption mit der Formatierung wählen dürfen?
Ich in der Meinung das irgendwo gelesen zu haben.

[3dfxatwork]

Teile der Anleitung sind nötig damit die Tunnel aufgebaut werden, wollte das nicht doppelt schreiben.

[kwm]

Oh, da habe ich wohl etwas in der Anleitung vergessen. Autostart für openvpn und Dateien werde ich später noch ergänzen.

[Klops]

Teile der Anleitung sind nötig damit die Tunnel aufgebaut werden, wollte das nicht doppelt schreiben.

Ok, machen wir mal die TippelTappelTour.

Was genau, in welcher Reihenfolge, muss ich mit einer jungfräulichen Firmware (HNA wo vermutlich OpenVPN schon drauf ist) machen, damit diese dusseligen Tunnel zustande kommen?

Also die Hausfrauenbeschreibung bitte.

[3dfxatwork]

Aus der Anleitung sind folgende Punkte relevant:
Punkt 1: kann komplett so übernommen werden.
Punkt 4:

Code: Alles auswählen

iptables -I INPUT -i tap+ -j ACCEPT
iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT

muss in der Unterkategorie "start)" eingefügt sein, so wie in der Anleitung. Die 5. iptables-Regel ist dann erst für die Umleitung wichtig und erst anzuwenden, wenn Punkt 2 und 3 umgesetzt sind.
Punkt 5: muss umgesetzt werden. Der Bereich zwischen den vielen Rauten ist der interessante.
Punkt 6: ist nur nötig, wenn Punkt2 und 3 schon umgesetzt sind.

und das von mir schon beschriebene:

Code: Alles auswählen

ln -s /etc/init.d/openvpn /etc/init.d/S99openvpn

Andere Maßnahmen sind nicht nötig, es ist auch egal ob der Router vorher resettet wurde (Nur die OLSR Konfiguration muss wieder gemacht sein).
Falls die Tunnel aufgebaut sind, siehst du das auch so:

Code: Alles auswählen

ip a s

Dort sollten dann 2 Netzwerkinterfaces mit tap0 und tap1 und den ips: 104.62.1.129 und 104.62.4.129 auftauchen.

Wenn diese Interfaces vorhanden sind, kannst du überprüfen, ob auch OLSR richtig funktioniert. Dazu muss dein Router Verbindungen zu beiden VPN Servern in der Topologie haben.

[Klops]

Also für mich mal übersetzt:

Nach

Entpacken der Zertifikate nach etc/openvpn
Punkt1
Punkt4
ln -s /etc/init.d/openvpn /etc/init.d/S99openvpn

müsste das Teil Verbindung mit dem Server haben und in der Karte erscheinen.

Nach

Punkt 2
Punkt 3
Punkt 5
Punkt 6

wird über den Tunnel nach "nirgendwo" geroutet.

[3dfxatwork]

Ich sag mal der einfachheit halber ja

Zu Punkt 5 es kann sein, dass in der alten konfiguration kein gültiger DNS-Server drin steht und deshalb muss man das eventuell auch schon vorher ändern.

[kwm]

Wollte mich gerade dem Thema zuwenden. 3dfx war schneller. Werde dann mal später aus den Beitägen hier noch eine Anleitung für openvpn schreiben. Oder vielleicht setze ich nur einen Link zu diesem Thema im Bord.

[Klops]

So, ich scheitere schon an Punkt 1, da die Datei local.olsrd.conf nicht da ist.

Auch nicht local.fw

[kwm]

Falsches System auf dem Router?

Sieht nach dd-wrt aus. Du brauchst dieses http://www.freifunk-halle.net/firmware/ ... table/hna/,
dann gibt es auch die fehlenden local.olsrd.conf und local.fw

Am besten wird sein, Du kommst morgen mit Deinem Router zum Stammtisch.
Colonne Morris (Viktor-Scheffel-Straße 8, Paulusviertel, 06114 Halle) ich bin ca. 18:30 Uhr da.

Gruß kwm

[Klops]

Nein, ich habe ganau die von Dir benannte FW drauf.

Habe morgen leider keine Zeit. Muss ja auch so gehen.

Ich bügel' mal die GW-Firmware drauf. Soll ja auch VPN drin sein.

[kwm]

Also die GW geht auch. Ich habe das mit hna firmware bei einem Linksys genau so gemacht, wie es im Wiki beschrieben ist. Wieso bei Dir kein local.olsrd.conf und local.fw da sind, ist mir unklar.

[kwm]

Stop Du bist im falschen Verzeichnis! Du bist in /tmp/etc/ Du musst aber in /etc/

[kwm]

auch openvpn muss in /etc/ und nicht in /tmp/etc/

[Klops]

Hast recht.
Dateien gefunden. Anleitung verfolgt wie geschrieben:

Entpacken der Zertifikate nach etc/openvpn
Punkt1
Punkt4
ln -s /etc/init.d/openvpn /etc/init.d/S99openvpn

Tunnel bauen sich nicht auf.

Das wird wohl nichts.

[kwm]

router neu gestartet?

[Klops]

router neu gestartet?

jawollja.

by the way, welche WAN-Adresse soll man eigentlich bei Punkt 2 eintragen?

[kwm]

... welche WAN-Adresse soll man eigentlich bei Punkt 2 eintragen?

Dein DSL-Router hat auf der Lan-Seite ein Netz. Aus diesem vergibt er IP-Adressen an Computer welche eine solche über DHCP anfordern. Das Netz auf der Lan-Seite ist meistens größer als der Bereich aus dem IP-Adressen vergeben werden. Du trägst eine freie IP-Adresse aus Deinem Lan ein, welche nicht per DHCP zugewiesen wird.

Beispiel: Ein DSL-Router hat auf der Lan-Seite folgedes Netz. 192.168.10.0/24 (oder so ähnlich) er vergibt Adressen von 50 bis 100. Der Bereich kleiner 50 und größer 100 kann für statische IP-Adressen benutz werden.

DSL-Router: 192.168.10.1 Subnet: 255.255.255.0
DHCP: 192.168.10.50 bis 192.168.10.100

FF-Router: 192.168.10.2 Subnet: 255.255.255.0
oder
FF-Router 192.168.10.155 Subnet: 255.255.255.0

[Klops]

Die Erklärung nenn ich jetzt mal hausfrauengerecht.
Jetzt must Du bloß noch den Rest der Einrichtung so beschreiben.

Alternativ wäre es sinnvoll, das Ganze in eine neue Firmwarevariante zu pressen, wo man dann VPN einschalten, Adressen eintragen, Zertifikate laden und loslegen kann.

[kwm]

Die Erklärung nenn ich jetzt mal hausfrauengerecht.
Jetzt must Du bloß noch den Rest der Einrichtung so beschreiben.

Geht es jetzt? Wenn nicht, PM mit Handynummer. Alternativ nächster Stammtisch oder Sommerfest.

Alternativ wäre es sinnvoll, das Ganze in eine neue Firmwarevariante zu pressen, wo man dann VPN einschalten, Adressen eintragen, Zertifikate laden und loslegen kann.

Geht leider nicht, da uns das Ausgangsmaterial für die Firmware fehlt, sonst hätten wir das so gemacht.

[Klops]

Nein, es geht jetzt nicht.
Ich arbeite jetzt einfach mal die punkte der reihe nach ab.

Punkt1 - erledigt
Punkt2 - erledigt

Punkt3 - wo genau ist der "Bereich LAN"? Und was ist Route 1 und Route 2 in diesem gestrichelt umrandeteten Kästchen in der Anleitung? Und was ist jetzt die aktuelle IP-Adresse, die eingetragen werden soll?

[kwm]

Morgen (am Donnerstag) habe ich zwischen 17 und 19 Uhr Zeit. Da könnten wir das mal Schritt für Schritt durch gehen.

[Klops]

Danke für Dein Engagement, aber ich habe leider andere Termine.
Ich werde mal das nächste Treffen einplanen.
Grundsätzlich sollten aber nach meiner Ansicht die Anleitungen im Wiki eindeutig sein, so dass eben auch ein einfacher Mensch wie ich das nachvollziehen kann.
Ich kann das Ding sicher irgendwem auf den Tisch packen und sagen - "Mach mal".
Das macht aber keinen Spaß.

Grüße

K.

[kwm]

... Grundsätzlich sollten aber nach meiner Ansicht die Anleitungen im Wiki eindeutig sein, so dass eben auch ein einfacher Mensch wie ich das nachvollziehen kann. ...

Sieh es mal so, Du hast die Anleitung als Erster getestet und die Schwachstellen in der Anleitung aufgezeigt. Die Anleitung werde ich nächste Woche überarbeiten.

Gruß kwm

[kwm]

Hallo Klops,

die Anleitung habe ich jetzt nochmal überarbeitet. Schaumal ob diese jetzt Hausfrauentauglich ist.
Anleitung für Linksys WRT54GL

Gruß kwm

[Klops]

Hallo,

das sieht schon gut aus, kann ich aber erst am Wochenemde durchexerzieren.
Punkt 7 ist m.E. jedoch überarbeitungsbedürftig. Da suchte ich bisher vergeblich eine Änderungsmöglichkeit.

Grüße

K.