Surfing VPN

Aus Freifunk Leipzig
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Zertifikate

Zertifikate sind natürlich ein Thema f+ür sich. das braucht ihr auf dem Computer von Euch dann auch noch.


Config Server

das laeuft direkt auf dem Freifunk-Node, der auch als Internetgateway auftritt

hier die config-datei. alles andere siehe Haupt VPN, was auch gleich mitlaufen kann.

root@67-4:/etc/openvpn# cat server67.conf
port 5067
proto udp
dev tun
ca server67/ca.crt
cert server67/server.crt
key server67/server.key
dh server67/dh1024.pem
server 10.203.67.0 255.255.255.0

#client-config-dir ccd
#route 10.203.99.0 255.255.255.0
client-to-client
#duplicate-cn
keepalive 20 240
cipher AES-128-CBC   # AES
max-clients 40
#user nobody
#group nobody
#persist-key
#persist-tun
status /tmp/openvpn-status.log
verb 3


#route 10.11.0.0 255.255.0.0
push "redirect-gateway"
#push "dhcp-option DNS 10.139.12.145"
;push "dhcp-option WINS 10.8.0.1"
#push "route 192.168.104.0 255.255.255.0"
#keepalive 60 600

;cipher BF-CBC        # Blowfish (default)
;cipher DES-EDE3-CBC  # Triple-DES

;comp-lzo
;log         openvpn.log
;log-append  openvpn.log

;mute 20

Firewall/NAT

ein

iptables -F
iptables -t nat -I POSTROUTING -s 10.203.99.0/24 -j MASQUERADE

am Ende der "start"-section der /etc/local.fw macht sich auch nicht schlecht, da gibts auch keinen Ärger mehr mit der Firewall. Zusätzliche Firewall ausm Internet wäre dann hier optional.

Client-Config Windows

geht per WLAN und auch per LAN (am Freifunk-Node irgendwo)

config-datei fuer windows

remote 104.61.2.1
dev tun
tun-mtu 1500
mssfix 1300
client
ca ca.crt
cert karlheinz.crt
key karlheinz.key
cipher AES-128-CBC
ping 10
verb 4
mute 10

Client-Config Linux

geht per WLAN und auch per LAN (am Freifunk-Node irgendwo)

config-datei fuer linux

remote 192.168.1.16

client
dev tun
proto udp
port 5000
nobind
ca ca.crt
cert 71-gates.crt
key 71-gates.key
cipher AES-128-CBC
ns-cert-type server
tun-mtu 1500
mssfix 1397
verb 2

user nobody
group nogroup



Clients aus dem Internet

je nachdem, was fuer eine IP/Port-Kombination angegeben wird, kann auch aus dem Internet ein Zugriff ins Freifunk-Netz erfolgen. Je nachdem, wie es gewünscht ist, werden nur Subnetze ueber VPN geroutet (also z.b. nur 104.0.0.0/8) oder der gesamte Vrerkehr ins Internet