[Berlin-wireless] per Tinc zum Berliner VPN-Knoten mit dynamischer IP?

Freifunk@animatedpictures.de freifunk
Mi Mär 19 22:37:28 CET 2008


Daniel Paufler schrieb:
> Hallo Andreas
>
>   
>> die WAN-IP meines AP ist die 10.0.200.2, internes Netz, damit er sich
>> mit der Firewall unterhalten kann.
>> Die IP des Tunnel-Interface ist die 104.19.0.20. Im Wiki-Artikel stand
>> ja, man soll sich eine weitere reservieren.
>>     
> Das ist alles korrekt. Dein Portforwarding (keine FFF nehme ich an) muss
> auch die WAN-IP deines FF-AP. Dort läuft tinc und der erstellt das
> BBB-Interface. Hier verwendest du die 104.x Adresse - zusätzlich zu
> einer 104.x auf dem WLAN.
>   
Ist mittlerweile komplett so eingerichtet.
>>> Connection closed by foreign host.
>>> #: telnet blackhole-ap1.animatedpictures.de 656
>>> Trying 87.162.106.106...
>>>
>>> Hier sollte dein AP sich melden. Am besten von deinem Webserver aus
>>> testen. D
>>>   
>>>       
>> Es ging heute sogar mal kurz. Und zwar hatte ich auf meiner Firewall
>> OLSR eingeschaltet, dummerweise kommt sich das manchmal mit den
>> Gateway-Einstellungen auf dem WAN-Interface in die Quere, neulich hatte
>> ich eine Kreisroute -.-
>>     
> Wie OLSR auf der Firewall !? Das ist nicht notwendig wenn du das PF auf
> die 10.x machst. Dieses Netz sollte die Firewall und der FF-AP teilen
> und auf diesen Adressen miteinander sprechen können.
>   
Das war anfangs am einfachsten, den AP mit der FW zu verbinden. Ich weiß 
nicht, was ich vorher falsch gemacht habe, mittlerweile geht's ohne olsr :)

Ich habe heute mit Fridhjof (Hammer) ein wenig nachgeforscht. 
Anscheinend fehlte das IPV6-Modul. Der tincd meinte, address-family not 
supported, laut tinc-faq könne man diese meldung ignorieren, wenn man in 
der tinc.conf AddressFamily = ipv4 setzt. Gesagt getan, von wegen. Es 
wollte nicht. Also IPV6 nachgeladen und siehe da, es läuft Verkehr über 
das Tunnelinterface. Es werden auch jede Menge Routen über OLSR 
angelegt, jedoch wechseln die routen extrem häufig. Mal erreiche ich von 
meinem Router andere Router per traceroute, mal fängt traceroute bei 
meinen eigenen Router an O.o
Kann das damit zusammenhängen, dass ich eine Defaultroute für's Internet 
habe? Oft ist der erste Hop die 104.87.0.15.

Ich habe die Firewall auf dem AP deaktiviert, vorher wollte OLSR nicht 
wirklich. Sowas stand zuhauf auf der Statusseite des AP unter Systemlog

Mar 19 21:14:29 (none) kern.warn kernel: IN:IN=bbb OUT= MAC=ff:ff:ff:ff:ff:ff:00:ff:0f:96:93:13:08:00 SRC=104.130.77.177 DST=255.255.255.255 LEN=1468 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=698 DPT=698 LEN=1448 
Mar 19 21:14:29 (none) kern.warn kernel: IN:IN=bbb OUT= MAC=ff:ff:ff:ff:ff:ff:52:54:00:12:34:56:08:00 SRC=104.87.0.15 DST=255.255.255.255 LEN=1452 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=698 DPT=698 LEN=1432 
Mar 19 21:14:29 (none) kern.warn kernel: IN:IN=bbb OUT= MAC=00:ff:41:7f:92:42:d2:de:44:7d:97:d3:08:00 SRC=104.0.200.56 DST=104.19.0.20 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=14383 SEQ=370 
Mar 19 21:14:29 (none) kern.warn kernel: IN:IN=bbb OUT= MAC=ff:ff:ff:ff:ff:ff:c2:ab:01:78:87:f7:08:00 SRC=104.0.200.56 DST=255.255.255.255 LEN=584 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=698 DPT=698 LEN=564 

Allerdings funktioniert dann nicht mehr viel anderes, denn:

Traceroute vom Router
root at blackhole-ap1:~# traceroute 104.87.0.15
traceroute to 104.87.0.15 (104.87.0.15), 30 hops max beginning with hop 1, 40 byte packets
 1  alxfokus.olsr (104.87.0.15)  26.793 ms  25.895 ms  27.257 ms

Traceroute von meinem PC aus:
C:\Dokumente und Einstellungen\kocha>tracert 104.87.0.15
Routenverfolgung zu 104.87.0.15 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  onyx.animatedpictures.home [192.168.0.1]  <- die Firewall
  2     1 ms    <1 ms    <1 ms  10.0.200.2				  <- WAN-IP des Routers
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4  ^C

Du meintest ja, meine /etc/local.fw sähe richtig aus. Noch ne andere Idee?

> Grüße
>
> Daniel
Ebenfalls
Gruß und Dank und vorsichtshalber schonmal frohe Ostern.

Ein gutes Stück weiter bin ich ja schon ^^




Mehr Informationen über die Mailingliste Berlin