Portal:Freifunk/Marketing und Portal:Freifunk/Router/Fastd - Schlüssel sichern: Unterschied zwischen den Seiten
MikO (Diskussion | Beiträge) K (MikO verschob die Seite Freifunk/Marketing nach Portal:Freifunk/Marketing, ohne dabei eine Weiterleitung anzulegen) |
MikO (Diskussion | Beiträge) K (MikO verschob die Seite Freifunk/Router/Fastd - Schlüssel sichern nach Portal:Freifunk/Router/Fastd - Schlüssel sichern, ohne dabei eine Weiterleitung anzulegen) |
||
| Zeile 1: | Zeile 1: | ||
= | = Einleitung = | ||
fastd (Fast and Secure Tunneling Daemon) ist ein [https://wiki.freifunk.net/Glossar#VPN VPN-Tunnel] ohne integriertes Routing, setzt also auf Layer2 an. Im Verbund mit [https://wiki.freifunk.net/Glossar#B.A.T.M.A.N. B.A.T.M.A.N.] (BATMAN) wird fastd meist (z.B. bei der Firmware [[Freifunk/Einstieg/Gluon| Gluon]]) dazu verwendet, Nodes mit einzelnen Gateway-Servern zu verbinden. Fastd verbraucht, im Gegensatz zu [https://wiki.freifunk.net/Glossar#OpenVPN OpenVPN], wenig Speicherplatz auf Routern, da es nicht auf OpenSSL aufsetzt. | |||
[[ | |||
= Router | == Schlüssel == | ||
== Freifunk | |||
[[ | Um eine Verbindung zwischen dem Client (bspw. Node (Router)) und dem Server (Gateway) über den Fastd-VPN-Tunnel herzustellen, werden auf jeder Seite der Verbindung zwei Schlüssel (public und secret) benötigt. | ||
[ | |||
=== Public - Key=== | |||
Der Public-Key (öffentliche Schlüssel) der Gateways ist in der Firmware der Knoten bereits hinterlegt. Der Secret-Key des Knoten wird während der Installation der Gluon-Software auf deinem Router erzeugt. | |||
Aus diesem lokalen Secret-Key erzeugt ein Skript dynamisch den Public-Key bei Bedarf. Der Public-Key selbst wird daher nicht auf dem Knoten gespeichert. | |||
Damit nun ein Mesh-VPN per fastd aufgebaut werden kann, musst du uns deinen Public-Key noch mitteilen, damit dieser auch auf unseren Gateways bekannt ist. | |||
Wird Mesh-VPN bspw. in Gluon über die Weboberfläche aktiviert, wird der Public-Key nach dem speichern erzeugt und angezeigt. Dieser muss dann per E-Mail versendet werden, so dass er auf dem Gateway-Server von dem Administrator hinterlegt werden kann. | |||
Die neue Gluon-Version zeigt dee Key leider nicht mehr im Klartext an, er verbirgt sich aber in dem Hyperlink der Mailadresse. Also einfach auf die Mailadresse klicken und eine fertige Mail mit Public-Key und Namen wird in deinem Mailprogramm vorbereitet. | |||
Per Terminal (Konsole) kann der Public-Key erzeugt und angezeigt werden: | |||
echo "secret \"$(uci get fastd.mesh_vpn.secret)\";" | fastd --config - --show-key | |||
=== Secret - Key === | |||
Der Secret-Key (private, geheime Schlüssel) bleibt auf den Geräten selbst und wird nicht veröffentlicht. | |||
Der Secret-Key deines Routers kann mit der Konsole (Terminal) angezeigt werden | |||
uci show fastd.mesh_vpn.secret | |||
Den angezeigten Code kann man dann aus dem Terminal kopieren und eine separaten Datei für ein Backup lokal abspeichern. | |||
=== Einspielen des Schlüssels === | |||
Wechselt man das Gerät (Node), oder spielt zwischenzeitlich eine andere Software auf dem Gerät auf, ändert sich der secret Key nach erneutem aufspielen der Freifunk Firmware, da dieser jedesmal neu generiert wird. Da der public Key vom secret Key abhängt, ändert sich auch dieser. Um eine Verbindung zum Server aufbauen zu können, müsste der neue public Key wieder an den Administrator übermittelt werden. Möchte man dem Administrator Arbeit ersparen und sofort eine Verbindung zum Server erhalten, kann man seinen alten secret Key auf dem neueen Gerät oder der neuen Installation wieder einspielen. | |||
uci set fastd.mesh_vpn.secret=DEIN_GESPEICHERTER_KEY_HIER_HIN | |||
uci commit | |||
reboot | |||
Hiernach startet das Gerät neu. | |||
Falls Mesh-VPN noch nicht eingeschaltet wurde, kann es mit den folgenden Befehlen aktiviert werden | |||
uci set fastd.mesh_vpn.enabled=1 | |||
uci commit fastd | |||
reboot | |||
= Quelle = | |||
* [https://wiki.freifunk.net/Fastd Förderverein Freie Netzwerke e. V.] | |||
* [https://nilsschneider.net/2013/02/17/fastd-tutorial.html Nils Schneider] | |||
* [http://lists.freifunk.net/mailman/listinfo/trier-freifunk.net Mailingliste Freifunk Trier], Beitrag von Heinz Schmitz vom 03.12.2015 | |||
Aktuelle Version vom 19. März 2023, 04:02 Uhr
Einleitung[Bearbeiten | Quelltext bearbeiten]
fastd (Fast and Secure Tunneling Daemon) ist ein VPN-Tunnel ohne integriertes Routing, setzt also auf Layer2 an. Im Verbund mit B.A.T.M.A.N. (BATMAN) wird fastd meist (z.B. bei der Firmware Gluon) dazu verwendet, Nodes mit einzelnen Gateway-Servern zu verbinden. Fastd verbraucht, im Gegensatz zu OpenVPN, wenig Speicherplatz auf Routern, da es nicht auf OpenSSL aufsetzt.
Schlüssel[Bearbeiten | Quelltext bearbeiten]
Um eine Verbindung zwischen dem Client (bspw. Node (Router)) und dem Server (Gateway) über den Fastd-VPN-Tunnel herzustellen, werden auf jeder Seite der Verbindung zwei Schlüssel (public und secret) benötigt.
Public - Key[Bearbeiten | Quelltext bearbeiten]
Der Public-Key (öffentliche Schlüssel) der Gateways ist in der Firmware der Knoten bereits hinterlegt. Der Secret-Key des Knoten wird während der Installation der Gluon-Software auf deinem Router erzeugt. Aus diesem lokalen Secret-Key erzeugt ein Skript dynamisch den Public-Key bei Bedarf. Der Public-Key selbst wird daher nicht auf dem Knoten gespeichert. Damit nun ein Mesh-VPN per fastd aufgebaut werden kann, musst du uns deinen Public-Key noch mitteilen, damit dieser auch auf unseren Gateways bekannt ist. Wird Mesh-VPN bspw. in Gluon über die Weboberfläche aktiviert, wird der Public-Key nach dem speichern erzeugt und angezeigt. Dieser muss dann per E-Mail versendet werden, so dass er auf dem Gateway-Server von dem Administrator hinterlegt werden kann. Die neue Gluon-Version zeigt dee Key leider nicht mehr im Klartext an, er verbirgt sich aber in dem Hyperlink der Mailadresse. Also einfach auf die Mailadresse klicken und eine fertige Mail mit Public-Key und Namen wird in deinem Mailprogramm vorbereitet.
Per Terminal (Konsole) kann der Public-Key erzeugt und angezeigt werden:
echo "secret \"$(uci get fastd.mesh_vpn.secret)\";" | fastd --config - --show-key
Secret - Key[Bearbeiten | Quelltext bearbeiten]
Der Secret-Key (private, geheime Schlüssel) bleibt auf den Geräten selbst und wird nicht veröffentlicht.
Der Secret-Key deines Routers kann mit der Konsole (Terminal) angezeigt werden
uci show fastd.mesh_vpn.secret
Den angezeigten Code kann man dann aus dem Terminal kopieren und eine separaten Datei für ein Backup lokal abspeichern.
Einspielen des Schlüssels[Bearbeiten | Quelltext bearbeiten]
Wechselt man das Gerät (Node), oder spielt zwischenzeitlich eine andere Software auf dem Gerät auf, ändert sich der secret Key nach erneutem aufspielen der Freifunk Firmware, da dieser jedesmal neu generiert wird. Da der public Key vom secret Key abhängt, ändert sich auch dieser. Um eine Verbindung zum Server aufbauen zu können, müsste der neue public Key wieder an den Administrator übermittelt werden. Möchte man dem Administrator Arbeit ersparen und sofort eine Verbindung zum Server erhalten, kann man seinen alten secret Key auf dem neueen Gerät oder der neuen Installation wieder einspielen.
uci set fastd.mesh_vpn.secret=DEIN_GESPEICHERTER_KEY_HIER_HIN uci commit reboot
Hiernach startet das Gerät neu.
Falls Mesh-VPN noch nicht eingeschaltet wurde, kann es mit den folgenden Befehlen aktiviert werden
uci set fastd.mesh_vpn.enabled=1 uci commit fastd reboot
Quelle[Bearbeiten | Quelltext bearbeiten]
- Förderverein Freie Netzwerke e. V.
- Nils Schneider
- Mailingliste Freifunk Trier, Beitrag von Heinz Schmitz vom 03.12.2015