[Berlin-wireless] VPN03 key request
Sven-Ola Tuecke
sven-ola
Mi Dez 4 17:17:33 CET 2013
Hey Miklas,
alles in Butter. Ich hab mal wieder nicht *Nachgedacht*. Im Prinzip ganz
einfach: auf deiner Kiste ist nicht die VPN-Version sondern die
Full-Version der Pberg-Firmware. Die "Stable-Attitude" von
download.berlin.freifunk.net. Mit der Info konnte ich die Situation bei
dir mit meinem 1043er exakt nachstellen.
Ich hab' auch nicht damit gerechnet, aber die "Full" unterscheidet sich
in einem wichtigen Punkt von "Mini", "Normal", "Piraten" und "Vpn": da
ist *kein* Policy-Routing dabei. Zudem löscht ein Neu-Ausfüllen des
FF-Assistenten das "vpn03" aus der Freifunk-Firewall-Zone, welches beim
Installieren von vpn03-install-to-ramdisk hinzugefügt wurde. Und darum
gab's dann kein Netz für DHCP-Benutzer mit der RAM-Disk-Methode.
Habe also mein vpn03-install-to-ramdisk entsprechend angepasst. Jetzt
*muss* es einfach laufen, sonst bin ich persönlich beleidigt ;-)
Das mit dem Fritz-Portforwarding via DynDns ist auch ganz einfach. Der
FF-Router bekommt von der Fritz ein SSH-Paket herein. Wenn der Tunnel
aufgebaut ist, geht das SSH-Paket über den Tunnel wieder 'raus. Kein
Connect - mit Ausnahme wenn ich SSH vom VPN03-Server aus auf die DynDns
mache, denn für die Verbindung zum VPN03 hat der FF-Router eine Ausnahme
"nicht über Tunnel". Ich hab' wahrscheinlich nicht richtig hingeguckt,
von wo aus ich welches SSH probiere.
Ich hab' dann noch getestet, warum das mit der Web-UI-VPN-Einrichtung
nicht läuft. Da ist im Prinzip das Policy-Routing-taugliche OpenVPN
drauf, Policy+OpenVPN ist eh buggy in dieser Version, aber mit der
"Full" gehts dann gar nicht mehr. Dafür ist da "zuviel"
OpenVPN-Config-Zeugs-für-Policy drin. Etwa so geht die Reparatur, aber
das ist noch nicht alles auch wenn sich damit der Tunnel endlich aufbaut.
uci delete openvpn.ffvpn.persist_tun=1
uci delete openvpn.ffvpn.route_nopull=1
uci delete openvpn.ffvpn.up
uci commit
Nach Ausfüllen des VPN-Assistenten fehlt auch noch die
"ffvpn"-Schnittstelle in der Freifunk-Firewall-Zone. Es geht aber
trotzdem (nur mit "Full"!). Dazu muesstest du folgende Schritte machen
(ich trau mich nicht über Remote und würde zunächst wissen wollen ob's
jetzt vor Ort klappt).
0) ipkg remove vpn03-install-to-ramdisk
1) in der Web-UI den VPN-Assistenten ausfüllen
2) obigen Löschungen vornehmen
3) nochmal den Freifunk-Assistenten durchlaufen lassen (ohne Änderungen,
für Firewall).
4) optional "uci show freifunk-watchdog" angucken und ggf. die
angesammelten "openvpn" Prozesse (je FF-Assistenten-Durchlauf ein neuer
Eintrag) bis auf einen Eintrag kürzen. Macht das
vpn03-install-to-ramdisk jetzt auch automatisch.
Hoffentlich läufts jetzt // Sven-Ola
Am 04.12.2013 14:28, schrieb miklas at alice.de:
> Hmm, das lief eigentlich immer ganz in Ordnung, ab und zu für den NAS
> gebraucht.
> Läuft ne Freetz-Version drauf, also Original-Firmware mit ein paar
> Modifizierungen.
> Vielleicht schmeiß ich das mal runter...
> Grüße
>
> Miklas
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 263 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20131204/dc3e2d85/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin