Differences

This shows you the differences between two versions of the page.

--- funkinsel [2008/05/26 00:15] – ChristianPointner
+++ funkinsel [2020/12/26 07:51] (current) – aj
@@ Line 1: / Line 1: @@
+<<[[:TableOfContents|TableOfContents]]>>
-====== FunkInsel ======
-Es gibt zurzeit 2 Möglichkeiten eine Funkinsel einzurichten. Da es deswegen in der Vergangenheit immer wieder zu Missverständnissen gekommen ist hier eine kleine Aufklärung. Grundsätzlich ist aber zu erwähnen das ein Tunnelsetup nicht ganz einfach einzurichten und zu warten ist. Es ist also generell eher für den erfahrenen User geignet. Auf alle Fälle bitten wir um Rücksparche auf der Tech Mailingliste bevor mit Experimenten rund um ein Tunnelsetup begonnen wird.
+====== Funkinsel ======
+Grundsätzlich ist zu erwähnen das ein Tunnelsetup nicht ganz einfach einzurichten und zu warten ist. Es ist also generell eher für den erfahrenen User geeignet. Auf alle Fälle bitten wir um Rücksprache auf der Tech Mailingliste bevor mit dem Experimenten rund um ein Tunnelsetup begonnen wird.
-===== Funkinsel Alt =====
-Früher wurde für Funkinseln auschließlich OpenVPN eingesetzt welches sich für unsere Zwecke zwar leicht verwenden lässt aber eigentlich keine gute Lösung des Ganzen darstellt. Es gibt dieses Tunnelnetz teilweise noch immer weil wir das neue Netz noch weiter testen müssen. Prinzipiell können nur ganz bestimmte Standorte mit der neuen Methode vernetzt werden. Für alle anderen gibt es weiterhin die alte Methode die unter [[:FunkInselAlt|FunkInselAlt]] beschrieben wird.
+===== Grundlegendes =====
-===== Funkinsel Neu =====
+==== Wozu ein Tunnel? ====
-Unser neues Tunnelnetz baut auf Tinc auf das durch die Möglichkeit damit Mesh VPN Netze aufzubauen eine besser Möglichkeit bietet um unsere Tunnelknoten zu vernetzen. Der Testbetrieb dieses Tunnelsetups ist leider immer noch nicht ganz abgeschlossen. Teilnehmen können nur Standorte die über eine Internetleitung verfügen über die eine Kommunikation mit unseren Tunnel Endpunkt im Kunsthaus möglich ist. Dies kann man ganz einfach austesten in dem man probiert die Addresse [[http://tinc-mkl.ffgraz.net|http://tinc-mkl.ffgraz.net]] zu erreichen. In diesem Fall kann nach dem Howto unter [[:FunkInselNeu|FunkInselNeu]] ein Tunnel eingerichtet werden.
+Primär, um anders nicht erreichbare Teile des Netzes, über das Internet anzubinden, z.B. funkmäßig nicht erreichbare Inseln.  Aber auch, um redundante Verbindungen zu schaffen.
+==== Was wird eingesetzt? ====
+OpenVPN ([[http://www.openvpn.net/|http://www.openvpn.net/]]) ist die Implementierung der Wahl. Es kann alles, was man brauchen kann, ist leidlich einfach aufgesetzt und es existieren Implementierungen für alle relevanten Betriebssysteme. Als Routing-Deamon wird OLRSd ([[http://www.olsr.org/|http://www.olsr.org/]]) eingesetzt. Das hat mit OpenVPN ([[http://www.openvpn.net/|http://www.openvpn.net/]]) nur insoweit etwas zu tun, als dass wir //tap// Interfaces verwenden (müssen), damit OLSRd ([[http://www.olsr.org/|http://www.olsr.org/]]) darüber Broadcasts versenden kann.
+==== Wie funktioniert das? ====
+Ein Tunnelendpunkt ist am //tun.graz.funkfeuer.at// (192.36.39.2), der andere auf einem beliebigen lokalen Host. Die einzige Voraussetzung ist eine "normale" Internet-Verbindung vom Host //tun.graz.funkfeuer.at//. Dabei sind ppp, Masquerading/NAT und ähnliche Besonderheiten kein Problem oder besondere Einschränkung.
+==== Was ist zu beachten? ====
+Ist der Tunnel einmal aufgebaut und OLSR aktiviert am Tunnel Interface routet OLSR nach einigen Sekunden den gesamten Traffic über den Tunnelserver. Inklusive der OpenVPN Packete - das ist fatal da der Tunnel somit abreißen muss. Bei den früheren Tunnels wurde um das zu Umgehen eine Hostroute zu //tun.graz.funkfeuer.at// eingetragen was aber zu unnötigen Nebenwirkungen führte. Ausserdem gibt es unter Linux/BSD eine viel schönere Lösung: Policy Routing. Wie dieses einzurichten ist hängt von dem Betreibssystem bzw der Firmware des Routers ab und wird in den diversen Howtos näher beschrieben.
+==== Sonstiges ====
+Der Tunnel ist ein unverschlüsselter IP-Tunnel, d.h. man kann darüber alles mitlesen. Das liegt daran, dass auf einem typischen Linksys/Buffalo Router nicht genug Rechenpower für einen verschlüsselten Tunnel zur Verfügung steht (wenn man auf nennenswerte Bandbreite nicht verzichten will) und  ein verschlüsselter Tunnel ein falsches Gefühl der Sicherheit erzeugen könnte: Der Tunnel terminiert am anderen Tunnelendpunkt und nicht erst am Zielserver, zu dem man eigentlich will. D.h. man muss sowieso zusätzlich sichere/verschlüsselte Protokolle verwenden oder einen sicheren IP-Tunnel vom eigenen Desktop bis zum Zielserver legen. Für beides bringt ein weiterer "teilweiser" Tunnel drunter nur mehr Latenz (jedes Paket will einmal zusätzlich verschlüsselt und entschlüsselt werden) und verbraucht CPU-Leistung, aber ansonsten (insbesondere Security-mäßig) gar nichts.
+===== Konfiguration =====
+Die folgenden Howtos können verwendet werden um eine Funkinsel mit Debian, OpenWRT Kamikaze und der Freifunk Firmware einzurichten. Für alle Konfigurationen gleich ist das für den Verbindungsaufbau ein von uns generiertes Zertifikat nötig ist. Wenn jemand einen Tunnel aufbauen will bitte auf der Mailingliste danach fragen.
+  * [[:FunkInselFreifunk|FunkInselFreifunk]]
+  * [[:FunkInselKamikaze|FunkInselKamikaze]] (OpenWRT Kamikaze)
+  * [[FunkInselOpenWRT]] (OpenWRT 19.07 und aktuellere)
+  * [[:FunkInselDebian|FunkInselDebian]]
+Die Konfiguration des Funkinsel Servers ist unter [[:FunkInselServer|FunkInselServer]] zu finden.
+===== Funkinsel Tinc Testbetrieb =====
+Eine Zeit lang haben wir [[[http://www.tinc-vpn.org/|Tinc|http://www.tinc-vpn.org/|Tinc]]] als Ersatz für OpenVPN getestet. Der Mesh Modus von Tinc war zwar sehr vielversprechend aber in der Praxis macht der OSPF-ähnliche Algorithmus um Knoten zu verbinden die keine direkte Kommunikation aufbauen können in Kombination mit OLSR einige Probleme die mit vertretbaren Aufwand nicht verhindert werden konnten. Für diesen Testbetrieb gab es dieses Howto: [[:FunkInselTinc|FunkInselTinc]].