>Mathk |
>Mathk |
| Zeile 1: |
Zeile 1: |
| = Einleitung =
| | Möchte man Wartungsarbeiten auf einen Freifunk-Knoten (Router) durchführen, kann man dies lokal durch booten in den Configmode, oder per Remotezugriff (Fernwartung) durchführen. |
| | Der Remotezugriff hat den Vorteil, dass der Router an schwer zugänglichen Stellen verbleibt und man bequem vom Rechner eine Wartung durchführen kann. |
|
| |
|
| fastd (Fast and Secure Tunneling Daemon) ist ein [https://wiki.freifunk.net/Glossar#VPN VPN-Tunnel] ohne integriertes Routing, setzt also auf Layer2 an. Im Verbund mit [https://wiki.freifunk.net/Glossar#B.A.T.M.A.N. B.A.T.M.A.N.] (BATMAN) wird fastd meist (z.B. bei der Firmware [[Freifunk/Einstieg/Gluon| Gluon]]) dazu verwendet, Nodes mit einzelnen Gateway-Servern zu verbinden. Fastd verbraucht, im Gegensatz zu [https://wiki.freifunk.net/Glossar#OpenVPN OpenVPN], wenig Speicherplatz auf Routern, da es nicht auf OpenSSL aufsetzt.
| | = direkte Knoten = |
|
| |
|
| == Schlüssel ==
| | Der direkte Knoten ist der Knoten, an dem der Rechner gerade angemeldet ist. Dieser ist unter der '''IPv4 Adresse 10.172.0.1''' zu erreichen. Hat der Knoten keine Mesh-Verbindung, wird dem Rechner keine IPv4 von dem Knoten zugewiesen. Daher muss man sich selbst eine IP-Adresse aus dem Bereich 10.172.0.0/16 zuweisen um auf den Knoten zugreifen zu können. Eine andere Möglichkeit ist der Zugriff per IPv6. Dabei hat der direkte Knoten immer die '''IPv6 Adresse 2001:bf7:fc0f::1'''. Der Knoten kann dem Rechner per DHVP auch eine IP zuweisen, wenn er keine Mesh-Verbindung hat. |
| | |
| Um eine Verbindung zwischen dem Client (bspw. Node (Router)) und dem Server (bspw. Gateway-Server) über den VPN-Tunnel herzustellen, werden zwei Schlüssel (public und secret) benötigt.
| |
| | |
| === Public ===
| |
| | |
| Der public Key (öffentliche Schlüssel) wird auf den Geräten hinterlegt. Das heißt, der public Key vom Server wird auf der Node (in Firmware schon eingebaut) und der public key der Node wird auf dem Server hinterlegt. | |
| Wird Mesh-VPN bspw. in Gluon über die Weboberfläche aktiviert, wird der Public Key nach dem speichern angezeigt. Dieser muss dann per E-Mail versendet werden, so dass er auf dem Gateway-Server von dem Administrator hinterlegt werden kann.
| |
| | |
| [[File:96_fertigmeldung.jpg|600px]]
| |
| | |
| Per Terminal (Konsole) kann der Key auch angezeigt werden:
| |
| | |
| uci show | sed -ne 's/fastd.mesh_vpn.secret=//p' | sed -ne 's/[0-9a-f]*/secret "&";/p' > /tmp/fastd.tmp
| |
| fastd --show-key --config /tmp/fastd.tmp
| |
| | |
| | |
| Den angezeigten Code kann man dann aus dem Terminal kopieren und eine separaten Datei für ein Backup lokal abspeichern.
| |
| | |
| Der public key wird aus dem secret key generiert, so dass man nur den secret key aus dem Backup einspielen muss.
| |
| | |
| === Secret ===
| |
| | |
| Der secret Key (private, geheime Schlüssel) bleibt auf dem Gerät selbst und wird nicht veröffentlicht.
| |
| | |
| Der Secret Key kann mit der Konsole (Terminal) sich angezeigt werden
| |
| | |
| | |
| uci show fastd.mesh_vpn.secret
| |
| | |
| | |
| Den angezeigten Code kann man dann aus dem Terminal kopieren und eine separaten Datei für ein Backup lokal abspeichern.
| |
| | |
| === Einspielen des Schlüssels ===
| |
| | |
| Wechselt man das Gerät (Node), oder spielt zwischenzeitlich eine andere Software auf dem Gerät auf, ändert sich der secret Key nach erneutem aufspielen der Freifunk Firmware, da dieser jedesmal neu generiert wird. Da der public Key vom secret Key abhängt, ändert sich auch dieser. Um eine Verbindung zum Server aufbauen zu können, müsste der neue public Key wieder an den Administrator übermittelt werden. Möchte man dem Administrator Arbeit ersparen und sofort eine Verbindung zum Server erhalten, kann man seinen alten secret Key auf dem neueen Gerät oder der neuen Installation wieder einspielen.
| |
| | |
| | |
| uci set fastd.mesh_vpn.secret=DEIN_GESPEICHERTER_KEY_HIER_HIN
| |
| uci commit
| |
| reboot
| |
| | |
| Hiernach startet das Gerät neu.
| |
| | |
| Falls Mesh-VPN noch nicht eingeschaltet wurde, kann es mit den folgenden Befehlen aktiviert werden
| |
| | |
| uci set fastd.mesh_vpn.enabled=1
| |
| uci commit fastd
| |
| reboot
| |
| | |
| = Quelle =
| |
| * [https://wiki.freifunk.net/Fastd|Förderverein Freie Netzwerke e. V.]
| |
| * [https://nilsschneider.net/2013/02/17/fastd-tutorial.html Nils Schneider]
| |
| * [http://lists.freifunk.net/mailman/listinfo/trier-freifunk.net Mailingliste Freifunk Trier], Beitrag von Heinz Schmitz vom 03.12.2015
| |
Möchte man Wartungsarbeiten auf einen Freifunk-Knoten (Router) durchführen, kann man dies lokal durch booten in den Configmode, oder per Remotezugriff (Fernwartung) durchführen.
Der Remotezugriff hat den Vorteil, dass der Router an schwer zugänglichen Stellen verbleibt und man bequem vom Rechner eine Wartung durchführen kann.
direkte Knoten
Der direkte Knoten ist der Knoten, an dem der Rechner gerade angemeldet ist. Dieser ist unter der IPv4 Adresse 10.172.0.1 zu erreichen. Hat der Knoten keine Mesh-Verbindung, wird dem Rechner keine IPv4 von dem Knoten zugewiesen. Daher muss man sich selbst eine IP-Adresse aus dem Bereich 10.172.0.0/16 zuweisen um auf den Knoten zugreifen zu können. Eine andere Möglichkeit ist der Zugriff per IPv6. Dabei hat der direkte Knoten immer die IPv6 Adresse 2001:bf7:fc0f::1. Der Knoten kann dem Rechner per DHVP auch eine IP zuweisen, wenn er keine Mesh-Verbindung hat.