[ffda] VPN-Client-Verbindung zum Freifunk-WLAN-Router als VPN-Server

Felix Breidenstein mail at felixbreidenstein.de
Mo Jan 19 10:15:30 CET 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256



On 01/19/2015 09:18 AM, Dieter H. Herold wrote:
> Hallo zusammen,

Hallo Dieter,

> wenn man sich über WLAN in einen offenen Hotspot, wie z.B. meinen 
> Freifunk-WLAN-Router einwählt, dann sollte man wegen der
> unverschlüsselten WLAN-Verbindung zum Freifunk-Router stets nur
> Webseiten aufrufen, die mittels TLS/SSL (= https:// ) verschlüsselt
> sind. Ähnlich verhält es sich bei FTP-Client-Verbindungen, wo man
> dann eine SFTP-Client-Verbindung aufbauen sollte, sofern der
> FTP-Server das unterstützt.

Das stimmt, alles was nicht verschlüsselt ist, kann im Prinzip
mitgelesen werden.

> Wenn aber der FTP-Server kein SFTP unterstützt, man einen Webserver
> am Freifunk-WLAN-Hotspot oder ein WLAN-Netzlaufwerk betreibt, dann
> können alle per WLAN-Client zugeschalteten Teilnehmer auf die
> unverschlüsselten Dienste zugreifen und mit den entsprechenden
> Tools mitlesen. Um das zu vermeiden, müsste man diese
> ausschließlich über eine VPN-Verbindung zugänglich machen. Da der 
> Freifunk-WLAN-Router als VPN-Server arbeitet und man sich per
> VPN-Client mit dem öffentlichen Schlüssel mit diesem verbinden
> kann, müsste auch die Einwahl zum Freifunk-WLAN-Hotspot nebst
> Verbindungsaufbau mittels eines VPN-Clients möglich sein.

Das stimmt leider nicht. Dein Freifunk-Router ist kein VPN-Server! Der
Router ist nur ein VPN Client und verbindet sich mit den Servern von
uns (gw01 -gw04). Daher kannst du dich auch nicht einfach so mit
deinem Router verbinden.
Den "öffentlichen Schlüssel" den du vermutlich meinst, benutzt der
Router nur um sich mit unseren Servern zu verbinden.

> Bei der VPN-Verschlüsselung gibt es hauptsächlich zwei Verfahren:
> IPSecure und OpenVPN. Diesbezüglich vermute ich, dass bei den
> VPN-Verschlüsselungen OpenVPN zum Einsatz kommt, da die
> IPSecure-Zertifkate kostenpflichtig sind.

Das stimmt leider auch nicht. Zwar ist OpenVPN kostenlos und weit
verbreitet, aber es benötigt viel Speicherplatz und Rechenleistung und
würde daher nicht auf einem Router laufen. Wir benutzen deswegen tinc
um eine verbindug zwischen den Routern und unseren Clients herzustellen.

> Auf meinem Android-Smartphone gibt es nachfolgende VPN-Protokolle: 
> PPTP - Point-to-Point-Tunneling-Protokoll L2TP -
> Layer-2-Tunneling-Protokoll L2TP/IPSec PSK-VPN - L2TP/IPSec mit
> vorinstalliertem Schlüssel L2TP/IPSec CRT-VPN - Zertifikat mit
> vorinstalliertem Schlüssel Soweit ich das nebenbei bereits
> mitbekommen habe, verwenden die Darmstädter Freifunker das L2TP -
> Layer-2-Tunneling-Protokoll. Zwischenzeitlich habe ich mal
> versucht, eine VPN-Verbindung zu meinem Freifunk-WLAN-Router
> herzustellen:
> 
> 1. Einwahl mittels WLAN auf meinen Freifunk-WLAN-Router 2.
> Hinzufügen einer VPN-Verbindung auf meinem Android-Smartphone 3.
> VPN-Name für die VPN-Verbindung festgelegt, um die
> VPN-Konfiguration später abspeichern zu können 4. VPN-Server
> festgelegt: 64285-freilig.node.ffda funktioniert nicht, stattdessen
> 10.223.0.3 (mein Gateway) 5. L2TP-Schlüssel aktiviert 6.
> L2TP-Schlüssel festgelegt: öffentlicher Schlüssel vom
> 64285-freilig Freifunk-WLAN-Router 7. DNS-Suchdomain: 10.233.0.1 8.
> Speichern der Konfigurationseinstellungen 9. Mit VPN-Netzwerk
> verbinden 10. Abfrage des Namens: Welcher Name? Ich vermute den
> Benutzernamen "root" oder "admin" des VPN-Servers bzw. des
> Freifunk-WLAN-Routers. 11. Passwort: Passwort, der für den
> Remote-Zugriff auf meinen Freifunk-WLAN-Router?
> 
> Bei 10.) und 11.) weiß ich nicht, was mit dem Namen und dem
> Passwort gemeint ist. Wer von Euch hat sich bereits per VPN-Client
> mit einem Freifunk-WLAN-Router als VPN-Server verbunden, verfügt
> über diesbezügliches Know How und könnte beim nächsten
> Freifunker-Treffen am kommenden Mittwoch diesbezüglich behilflich
> sein, um eine VPN-Verbindung vom Android-Smartphone aus
> einzurichten? Hilfreich wäre es vorab, wenn Ihr mir ein paar Links
> zum Thema VPN der Freifunker zukommen lassen könntet. Aber _nicht_
> darüber, wie sich einer der Gateways "gw01" bis "gw04" per VPN mit
> einem Freifunk-WLAN-Router als VPN-Server verbindet, sondern wie
> man sich als VPN-Client mit dem Freifunk-WLAN-Router verbindet.

Genau genommen liegt das nicht in unserem Aufgabenbereich. Wir kümmern
uns um die Server und die Router. Und um alles dazwischen.
Der VPN-Client auf den Clientgeräten(PC,Laptop,Handy) um die
Verbindung abzusichern ist eher eine private Sache und den sollte man
ja eigentlich eh immer haben wenn man in einem offenen Hotspot ist.

Wenn du demnächst mal bei einem unserer Treffen bist, können wir aber
trotzdem gerne mal drüber reden und eventuell offen gebliebene Fragen
klären :)

> Als (Windows-) Software verwende ich derzeit OpenVPN-Client sowie
> SoftEther VPN-Client Manager. Für Eure Bemühungen bedanke ich mich
> im Voraus vielmals und verbleibe mit freundlichen Grüßen Dieter

Viele Grüße
	Felix / fleaz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQEcBAEBCAAGBQJUvMsuAAoJEEzJQ8p+iSQX2UEH+wb5r3Z4yU+blE4z5oJ8BKnh
9xxihYmt+fFDhPTjFaK62X/2yFB8ZslE/1OShLKMVYHpS46P9xiCp6Tx2DCYk+md
k3JaMbyWFygjKPPybGoTNJSxEdu7cfP42IdynmumHjume/m5YJbwK2quxJMwvI30
3Ma9hhzqdcDqCx13rKnzvFdpyK0UDK4kYFfYfNF1OYTm4K8LcqZ9Y3fBThg9nGq+
37A3j0viKdAijbxxswnrsniNq+j20s9GtnOGbKdtP/tdXqbtexFTLxXm6CHnrCmt
6GzcTge0VYdQWqPuoqkfyqoqrUSrd492JpzufABNZCqiYemt8Vql4dMX7rV8sjo=
=oXuj
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste darmstadt