Aufsetzen eines Gateway

Moexe moexe at freifunk-franken-hassfurt.de
Fr Sep 4 16:06:15 CEST 2015 

Hi

> Am 04.09.2015 um 14:59 schrieb Tom Green <koe_fue at gmx.de>:
> 
> Hallo Zusammen,
> 
> ich hab mich mal an dem Aufsetzen eines Gateways versucht. Vorlage war "https://wiki.freifunk-franken.de/w/Freifunk-Gateway_aufsetzen", was wohl eher als unverbindliche Stichwortsammlung zu sehen ist.
Da kannst du ja jetzt auch noch etwas verbessern und hinzufügen.
> Irgendwie überfordert und frustriert mich das leicht.
Lass dich nicht unterkriegen. Ich war fast 4 Wochen dran gesessen bis es endlich alles geklappt hat.
> Der Server ist auch erst mal nur für einen Monat gemietet, insofern kann ich meine fruchtlosen Versuche auch wieder schmerzfrei einstampfen.
> 
> Evtl. findet sich hier jemand, der mir helfen kann :)
> 
> (0) Basisdaten
> Debian Linux Jessie 64 bit
> fastd v17 Tunnel an die Fürther Hood
> kein OpenVPN Tunnel (bis jetzt)
> batman-adv: 2013.4.0-21-ga854277-dirty
> dhcpd:  (range 10.50.38.2 ... 10.50.39.254)
> (1) Netwerkkonfig
> (1.1) Batman
> Nach langen Versuchen scheint es bat0 und ffffuerthVPN zu geben:
> ffffuerthVPN Link encap:Ethernet  HWaddr a2:3c:1f:f2:c3:45  
>           inet6 addr: fe80::a03c:1fff:fef2:c345/64 Scope:Link
>           UP BROADCAST RUNNING MULTICAST  MTU:1426  Metric:1
>           RX packets:61453 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:22430 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:500 
>           RX bytes:6105850 (5.8 MiB)  TX bytes:2499797 (2.3 MiB)
> 
> bat0      Link encap:Ethernet  HWaddr aa:43:88:75:57:a5  
>           inet addr:10.50.38.1  Bcast:0.0.0.0  Mask:255.255.252.0
>           inet6 addr: fe80::a843:88ff:fe75:57a5/64 Scope:Link
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:10435 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:0 
>           RX bytes:939965 (917.9 KiB)  TX bytes:16668 (16.2 KiB)
> 
> 
> 
Ist doch schon mal gut. Hast du die Interfaces manuell hochgebracht, oder hat das dass Fastdstart.sh gemacht?
> (1.2) DHCP
> Tatsächlich scheint der DHCP-Server für die Fürther Hood IP's zu vergeben.
> 
Das ist gut, dann funktioniert der DHCP schon mal. Würde den aber wieder abschalten, sonst werden zwar IPs vergeben, die aber nicht bis ins www kommen.
> Nicht Fürther anfragen werden verweigert.
> 
> Ist das OK?
> 
Klar, die sollen ja von dem Server der für Ihre Hood zuständig ist die IPs bekommen.
> Kriegen die trotzdem irgendwo ne IP her? Will nix kaputt machen.
> 
> Auszug Syslog:
>     Sep  4 14:34:33 176-123-28-115 dhcpd: DHCPREQUEST for 10.50.23.139 from 10:30:47:04:6e:4f via bat0: wrong network.
>     Sep  4 14:34:33 176-123-28-115 dhcpd: DHCPNAK on 10.50.23.139 to 10:30:47:04:6e:4f via bat0
>     Sep  4 14:34:46 176-123-28-115 dhcpd: DHCPDISCOVER from 34:fc:ef:e3:ff:bd via bat0
>     Sep  4 14:34:47 176-123-28-115 dhcpd: DHCPOFFER on 10.50.38.15 to 34:fc:ef:e3:ff:bd (android-6b8787348c85ac63) via bat0
> Btw: Da haben wir sie ja, unsere Vorratsdatenspeicherung
> 
Logrotate hilft da die ganze Sache wieder zu bereinigen.
> 
> (1.3) OpenVPN
> Das größte Sorgenkind. Klappt mal, klappt mal nicht.
> Ich verstehe nicht, was in der Anleitung mit 
>     Nun bearbeiten wir noch Mullvad folgendermaßen:
> 
>     sudo /etc/openvpn/mullvad-up
> 
>     und ändern die Zeilen in:
> 
>  	/sbin/ip route replace 0.0.0.0/1 via $5 table fff
> 	/sbin/ip route replace 128.0.0.0/1 via $5 table fff
>     speichern
> 
> gemeint ist. Die Datei hab ich von Mullvad erst gar nicht, ich versteh auch nicht was bezweckt wird.
> 
Das ist für das Routing, damit nicht der gesamte Traffic über mullvad geht, sonder nur der aus dem FF-Netz. Sonst sperrst du dich wie du schon beschrieben hast selber aus. 
Also im mullvad Ordner mit touch die Datei neu anlegen und dann folgendes einfügen:
#!/bin/bash 
> /sbin/ip route replace 0.0.0.0/1 via $4 table fff /sbin/ip route replace 128.0.0.0/1 via $4 table fff

Dann noch beim openvpn folgendes eingeben:

vi /etc/default/openvpn 

AUTOSTART="mullvad"

Dann service openvpn restart

> Wenn es mal klappt, baut er einen openvpn Tunnel nach Schweden auf. Der Nachteil ist, ich komm dann von hier nicht mehr ans Gateway dran, weder per ssh noch per ping. OpenVPN scheint auch nicht zuverlässig zu starten, und wenn es das tut, komm ich nur noch über die Konsole rein, nicht mehr übers Netz.
> (1.4) Fastd
> Verbindet mich nach meinem Verständnis mit der Fürther Hood. Ich kann trotzdem in Fürth nix anpingen, weder vom Gateway nach Fü, noch von Fü zum GW.
> 
Der Server muss im Keyexchange eingetragen werden, das kann Tim übernehmen. 
> Auch hätte ich irgendwie erwartet, auf den lokalen FF-Routern unter "/tmp/fastd_fff_peers" einen Eintrag zu bekommen. Hab ich aber nicht, sind die üblichen 3 Verdächtigen: fff-nue1.fuerth    fff-uk1.fuerth     romauplink.fuerth
> 
> 
Dann bekommst du auch die Peers auf den Server und die Peers deinen Server.
> (2) Fragen über Fragen
> Grundsätzlich scheint DHCP zu funktionieren. D.h. Clients beziehen IP's vom GW oder werden abgewiesen. Irgendweine Kommunikation über BATMAN wird funktionieren.
> Wieso mag mich das OpenVPN nicht und wieso sperrt es mich ssh-technisch aus, wenn es mal funktioniert?
> 
> Woher bezieht der einzelne FF-Router die Liste der GW's? Über einen irgendeinen "Mastersworld"-Server?
> 
Ja, über den Keyexchange 
> Wieso hab ich auf lokalen Routern keinen Eintrag in /tmp/fastd_fff_peers? 
> Wie route ich Traffic aus dem FF-Netz ins Internet (am besten über VPN)? Wie kann ich das ausprobieren / testen?
> 
IPv4 Pakete sollten auch durchgelassen werden.

Also in der /etc/sysctl.conf

Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

> Sorgt meine DHCP Konfiguration dafür, dass Clients keine IP bekommen? Störe ich das FF-Netz?
> 
> Wieso klappt Ping nicht, aber DHCP?
> 
Den Rest muss ich nachschauen, kann ich erst heute Abend. Bin noch auf der Arbeit.
> -- 
> franken-dev mailing list
> franken-dev at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-dev-freifunk.net
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20150904/c18e2874/attachment-0002.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2565 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20150904/c18e2874/attachment-0002.bin>

Mehr Informationen über die Mailingliste franken-dev