VPN Intranet Kopplung

Aus Freifunk Leipzig
Version vom 27. Oktober 2006, 18:47 Uhr von Poelzi (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Wie koppel ich verschiedene LAN Netze

Achtung: Rohfassung

Es gibt verschiedene Arten mit hilfe von Freifunk seine privaten Netze zu koppeln. Hier werden verschiedene, unterschiedlich komplexe Lösungen vorgestellt, mit hilfe von sicherer, verschlüsselter VPN Tunnel mehrere private Netzte sicher durch das Freifunk zu tunneln.

Der Tunnelart

Bridge

Wenn ihr nur wenige Netzte zusammenschließen wollt, und wenige Computer in einem Netz sein werdet, könnt ihr ein einfachen bridge Tunnel bauen.

- Vorteile von Bridge Tunnel

  • Alle Diense laufen und verhalten sich, als währe es ein einziges großes LAN
  • Ihr könnt das 192.168.1.x/24 Segment weiter Nutzen. Auch größere Netze sind möglich.

- Nachteile

  • Da alle Broadcast Packete durch den Tunnel fließen, herrscht ein etwas größerer Datenverkehr als bei einem Tunnel. Dies stört aber erst bei sehr großen Netzten, mit vielen Rechnern, oder bei sowieso schlechten Funkverbindungen zwischen den Segmenten.
  • Gezielte Filterung von Packeten ist deutlisch schwieriger.

Tunnel

Ein Tunnel ist schlanker, aber schwieriger zu warten und konfigurieren. Bei einem Tunnel werden immer nur Subnetze geroutet, daß heißt: Der Tunnel muß immer wissen, in welchem LAN sich welche IP befindet. Jedes LAN, muß also ein eindeutiges Subnetz besitzen.


Subnetzwahl

Es sind alle Subnetze des 192.168.0.0/16 Block für private LANs vorgesehen, das heißt, wir werden nicht mit anderen Städten in diesem Bereich eine Kopplung eingehen um Probleme zu vermeiden.

Beispiel:

Eine WG möchte einen Freund, gleich um die Ecke mit ins private LAN holen und dieser soll über ihren DSL Anschluss surfen können.


+-------+-- [Linksys A] - + - + - + Freifunk + - + - + [Linksys B]--+--------+
| Lan A |               \-------------VPN-------------/             | Lan B  |
|       |                                                           +--------+
+-------+


Empfohlen: Ethernet Bridging.

Die WG benutzt 192.168.2.0/24 im Bereich 192.168.2.1 (DSL Router) bis 192.168.2.100 (zum Beispiel). Der Freund benutzt 192.168.2.101 bis 192.168.2.131. Da dies im gleichen Subnetz liegt: 192.168.2.0/24, sehen sich alle Rechner dieses Netzes auf dem LAN. Beide Freifunk Knoten benötigen ebenfalls statische IP's in diesem Netz.

zum Beispiel: Linksys A: 192.168.2.100 Linksys B: 192.168.2.101


Mit Openvpn

OpenVPN ist einfach für den wrt zu beziehen, am besten openvpn-ssl-nolzo installieren. FIXME: generellle Installanleitung schreiben.

Im Beispiel wird das VPN Netz intra genannt.

Linksys A:

ipkg install openvpn-ssl-nolzo
mkdir /etc/openvpn/
cd /etc/openvpn
openvpn --genkey --secret intra.key

intra.conf anlegen:

   port 1194
   proto udp
   dev tap0
   secret intra.key
   ifconfig 192.168.2.100 255.255.255.0
   # Am schnellsten auf dem Linksys, jedoch nicht das sicherste.
   cipher BF-CBC        # Blowfish (default)
   auth md5
   up intra.up
   verb 1

Fixme: komm grad nicht an die richtige

/etc/openvpn/intra.up anlegen

brctrl addif br0 tap0

Und ausführbar setzen:

chmod +x intra.up


in /etc/local.fw eintragen:

iptables -I INPUT -i tap0 -j ACCEPT
iptables -I INPUT -i br0 -j ACCEPT
iptables -I FORWARD -i br0 -j ACCEPT
iptables -I OUTPUT -i tap0 -j ACCEPT

FIXME: sind noch nicht die richtigen

cd /etc/init.d
ln -s openvpn S99openvpn

Nun openvpn zum testen starten:

openvpn --config intra.conf --verb 3


Mit einer neuen ssh Konsole auf Linksys B:

ipkg install openvpn-ssl-nolzo
mkdir /etc/openvpn/
cd /etc/openvpn
scp -rp [FreifunkIPvonLinksysA]:/etc/openvpn/intra.* .

intra.conf anpassen:

   port 1194
   remote IPvonLinksysA
   proto udp
   dev tap0
   secret intra.key
   ifconfig 192.168.2.100 255.255.255.0
   # Am schnellsten auf dem Linksys, jedoch nicht das sicherste.
   cipher BF-CBC        # Blowfish (default)
   auth md5
   verb 1

und starten:

 openvpn --conf intra.conf --verb 3

Nach Verbindungsaufbau testen ob das andere LAN erreichbar ist.

Clients im Freund LAN müssen als default gateway nurnoch die IP des WG Lans eintragen.