VPN Offloader

Aus Thomas Wiki
Zur Navigation springen Zur Suche springen

Hier folgt eine kurze Beschreibung über die Installation eiens VPN Offloader für Freifunk.

So eine richtig gute Beschreibung habe ich noch nicht gefunden; diese ist es auch nicht, soll es aber mal werden und kommt dann ins Freifunk wiki Rheinbach.

Im ersten Ansatz hangele ich mich an der Beschreibung von ffmuc entlang.


Was ist ein VPN-Offloader?

Ein VPN-Offloader ist ein möglichst leistungsstarker Rechner, der im Freifunknetz eine VPN-Verbindung zu den Supernodes aufbaut und die einfachen Nodes von der Verschlüsselung entlastet. In der Regel erreichen einfache Router nur eine Geschwindigkeit von etwa 10 MBit/s, weil die CPU die Daten nicht schneller verschlüsseln kann. Hier hilft ein VPN-Offloader, der je nach Leistung 80 Mit/s und mehr erreichen kann.

Was brauchen wir?

Einen schnellen Rechner oder Router. Hier habe ich mich für einen ganzen Rechner entschieden. Als Betriebssystem nehme ich Debian 8.5 Jessy. Es geht sicher auch unter OpenSuSE, aber da ist das besorgen der aktuellen Software etwas aufwändiger, da es keine geeigneten Paketquellen als RPM gibt.

Als Software brauchen wir zusätzlich

Nehmen Sie am besten die zu Ihrem Freifunknetz passenden Versionen. Wie sich neuere Versionen mit den älteren Versionen vertragen, kann ich nicht sagen. Wie sie die passende Version finden, steht weiter unten. Die anderen Voraussetzungen wie wget, make, g++, tar etc. führe ich hier nicht auf.

Installation

fastd

Für fastd gibt es eine Paketquelle, die wir unseren Quellen in /etc/apt/sources.list mit der folgende Zeile hinzufügen:

deb http://repo.universe-factory.net/debian/ sid main

Die folgende Befehle fügen anschließend die GnuPG-Schlüssel der Quelle in die Paketverwaltung ein:

gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
gpg -a --export 16EF3F64CB201D9C | apt-key add -

Mit folgenden Befehl werden die für fastd benötigten Pakete installiert:

apt install apt-transport-http
apt update
apt install build-essential pkg-config libnl-3-dev linux-headers-amd64 fastd

Bei mir war ein apt-get install apt-transport-https erforderlich. Pakete die schon früher installiert wurden, müssen natürlich nicht erneut installiert werden.

batctl

Siehe Open-Mesh Wiki

batctl ist ein Konsolenwerkzeug um das Modul batman-adv zu steuern.

Um die für das Freifunknetz passende Version zu finden, melden Sie sich auf einem Freifunk-Router und geben batctl -v ein.

root@su-rhb-zingsheim-31-eg:~# batctl -v
batctl 2015.1 [batman-adv: 2015.1]

Anschließend installieren Sie batctl mit folgenden Befehlen, in denen Sie 2015.1 durch die Version Ihres Freifunk-Routers / Netzes ersetzen.

Achtung: Bis zur Version 2014.4.0 enthielt der Dateiname noch den Modification Level, der meist '0' war. Ab 2015.0 ist dieser Modification Level entfallen.

cd /usr/src/
wget http://downloads.open-mesh.org/batman/stable/sources/batctl/batctl-2015.1.tar.gz
tar xzf batctl-2015.1.tar.gz
cd batctl-2015.1
make
make install

Das heruntergeladene Archiv batctl-2015.1.tar.gz können Sie nach der Installation wieder löschen.

batman-adv

Siehe Open-Mesh Wiki

batman-adv sollte in der gleichen Version, wie batctl installiert werden.

Achtung: Bis zur Version 2014.4.0 enthielt der Dateiname noch den Modification Level, der meist '0' war. Ab 2015.0 ist dieser Modification Level entfallen.

batman-adv wird mit den folgenden Befehlen installiert und anschließend mit modprobe gestartet.

cd /usr/src/
wget http://downloads.open-mesh.org/batman/stable/sources/batman-adv/batman-adv-2015.1.tar.gz
tar xzf batman-adv-2015.1.tar.gz
cd batman-adv-2015.1
make
make install
modprobe batman-adv

Um batman-adv beim Start des Betriebssystems zu laden muss folgende Zeile in /etc/modules eingefügt werden:

batman-adv

Das heruntergeladene Archiv batman-adv-2015.1.tar.gz können Sie nach der Installation wieder löschen.

Konfiguration

Zuerst konfigurieren wir fastd für den Aufbau eines VPN-Tunnel zu den Supernodes im Internet.

fastd

fastd wird über die Datei fastd.conf und mehrere Dateien für die Gegenstellen (peers) konfiguriert. Es können beliebig viele Tunnel und Gegenstellen definiert werden.

Für den Freifunk Rheinbach, Rhein-Sieg-Kreis bzw der Domäne Wupper des Freifunk Rheinland habe ich einen Ordner ffrhb unter /etc/fastd angelegt, ihdem sich wiederum der Ordner peers Gegenstellen befindet. Diese Ordner werden mit folgendem Befehl angelegt.

mkdir -p /etc/fastd/ffrhb/peers

Tipp: Versuchen Sie den Verzeichnisnamen nicht durch ein '-' zwischen 'ff' und 'rhb' zu verschönern. systemctl mag dies nicht und macht aus dem '-' ein '/'.

Für die Verschlüsselung des Tunnels brauchen wir ein Schlüsselpaar, dass wir mit fastd und dem Befehl generate-key erzeugen:

root@x1:~# fastd --generate-key
2016-09-11 21:48:42 +0200 --- Info: Reading 32 bytes from /dev/random...
Secret: 60c62533b05274a4bb22d9688b72d942fc4c9d118432c261151a4ae815be4046
Public: 4b5d20139bfa98041842f3e146f7299793d0273367cd810b1a79f95e912cdd0d

Nun legen wir die Datei fastd.conf im Verzeichnis /etc/fastd/ffrhb mit folgendem Inhalt an (Werte gelten zur Zeit für FF-RHB).

# Log warnings and errors to stderr
log level warn;

# Log everything to syslog
log to syslog level warn;

# Set the interface name
interface "mesh-vpn";

# Support salsa2012+umac and null methods, prefer salsa2012+umac
method "salsa2012+umac";
method "null";

mode tap;

# Bind to a fixed port, IPv4 only
bind 0.0.0.0:53757;

# Secret key generated by `fastd --generate-key`
# 2016-09-11 21:48:42 +0200 --- Info: Reading 32 bytes from /dev/random...
# Secret: 60c62533b05274a4bb22d9688b72d942fc4c9d118432c261151a4ae815be4046
# Public: 4b5d20139bfa98041842f3e146f7299793d0273367cd810b1a79f95e912cdd0d

secret "60c62533b05274a4bb22d9688b72d942fc4c9d118432c261151a4ae815be4046";

secure handshakes yes;

# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
# Nehmen Sie hier die MTU aus der site.conf der Gluon Site Definitionen. 

mtu 1364; 

# Auch wenn Sie mehrere Tunnel definieren können, es reicht ein Peer.

peer limit 1;

# Include peers from the directory 'peers'

include peers from "/etc/fastd/ffrhb/peers";
 
on up "
   ip link set up dev $INTERFACE
   batctl if add $INTERFACE
   ip link set up dev bat0
";

Ihren erzeugten Schlüssel müssen Sie an die Stelle des hier als Beispiel erzeugten Schlüssels eintragen. Zur Dokumentation kopiere ich das Ergebnis der Schlüsselerzeugung als Kommentar in die Datei. Der öffentlichen (public) Teil wird nicht gebraucht, da die Peers keine Authentisierung vornehmen, sondern alle Verbindungen akzeptieren.


Peers

Nun müssen wir noch die Peers in /etc/fastd/ffrhb/peers konfigurieren. Dazu bekommt jeder Peer seine eigene Konfigurationsdatei.

Hier die Datei mesh_vpn_backbone_peer_wupper0

key "e52daa654abcf5c20c5b7a74b5145f70a7491435c6ef334ae352e4f19c00e8f5";
remote "0.wupper.ffrl.de" port 53757;

Jede Datei besteht aus dem Schlüssel des Peers und seinem Namen mit der Angabe des Ports auf dem er auf eien Verbindung wartet.

Die Dateien befinden sich unter /tmp/fastd/fastd.mesh_vpn/peers%mesh_vpn_backbone/ auf dem Freifunkrouter, von dem Sie sie mit einfach kopieren können.

Starten des fastd

Mit folgendem Befehl kann nun der Dienst fastd gestartet werden.

systemctl start fastd@ffrhb.service

Mit enable richten sie den Dienst dauerhaft ein.

systemctl enable fastd@ffrhb.service

Jetzt muss nur noch das Netzwerk richtig konfiguriert werden.

Test der Installation