[Berlin-wireless] Ein paar Fragen zum VPN-Setup

[Bastian]

Hallo Yanosz

On 03/13/2016 09:11 PM, yanosz wrote:
> Hallo folks,
> 
> grüße nach Berlin. Ich spiele aktuell mit verschieden Setups und tüftle
> ein wenig [*].
> 
> Jemand von Euch war so nett, mir ein Zertifikat für vpn03 auszustellen -
> danke dafür. Dazu habe ich ein paar Fragen. Da Berlin aber doch etwas
> weiter weg, wollte ich sie einfach mal per E-Mail stellen. Ggf. können
> wir die einzelnen Punkte auch im IRC diskutieren - oder direkt per E-Mail.
> 
> Hier einfach mal meine Fragen
> 1) Gibt's schon IPv6 Dinge, die ich testen könnte? Ich fänd's
> interessant eine IPv6 prefix Delegation über VPN zu bekommen.

Nope. Kein IPv6 bei vpn03. Evtl. gibt es das mal mit NPTv6 aber bisher
hat sich diesbzgl. nichts getan.

> 2) An wen richtet sich sich der VPN-Service genau? Nach meinem
> Verständnis geht es darum, Internet für Nodes abzuwickeln, aber es gibt
> auch Setups für Android. Wozu gibt es das VPN genau?

Einsatzgebiet ist nur Anti-Stoererhaftung für Betreiber von Freifunk-Router.
Das Android-Zeug ist legacy und hat heutzutage wahrscheinlich keine
Relevanz mehr.
(FYI, es gab mal OLSR-on-Android Experimente)

> 3) Auf [1] steht:
> "* Kein NAT auf den Tunneln, sonst Zwangsproxy für alle Router-Nutzer
> zusammen.
> * NAT passiert grundsätzlich auf dem VPN-Gateway. Outgoing IP aus einem
> Pool.
> - Rückroute über Tunnel gibt es automatisch wenn eine Incoming-IP
> entdeckt wird."
> 
> Hierzu:
> * Was meint "entdeckt"? Läuft über den Tunnel OSPF, babel, o.ä.? Welche
> Konsequenzen hat das zuweisen der IP für das IGP (d.h. OSPF-, babel-,
> you-name-it-Netz)


Nein, kein Mesh-Protokoll über den Tunnel. Sven-Ola hatte damals das
OpenVPN-interne Routing-Protokoll (iroute) soweit gehackt, das sich der
OpenVPN-Prozess merkt hinter welchem OpenVPN-Client ein bestimmtes Netz
bzw. Endgerät liegt. Dazu muss das Device sich aber einmal bemerkbar
gemacht haben.
Das erspart uns zudem ein zusätzliches NAT auf den Plastik-Routern.

Mit Zwangsproxy ist das sog. Zapp-Script gemeint. Damit lassen sich
typische Filesharing-User für eine gewisse Zeit blocken. Gleichzeitig
wird http Traffic auf eine Website umgelenkt um dem User zu erklären wie
doof es ist wertvolle Bandbreite fuer Filesharing zu verschwenden.
Bei doppel-NAT trifft es alle User hinter einem Router.

Das Zapp-Script ist meines Wissens auf allen vpn03-VMs deaktiviert.

> * Wie passen die genutzten IPv4-Bereiche mit dem ICVPN Repository zusammen?

Gar nicht. Das ICVPN-Repository ist uns an dieser Stelle ziemlich egal.

> * Welches Problem entsteht, wenn auf den Tunnel genatted wird?

Doppel-NAT sucks... Es gibt keinen Grund es einzusetzen wenn es auch
ohne funktioniert.

Wir haben AFAIR 16 public IPs je vpn03 VM nur fuer NAT. Damit lassen
sich auch große Netze ohne Probleme ins Internet NATen.

> 4) Welche rolle spielt map66? - Vgl. [2]

Map66 spielt heute keine Rolle mehr. Es war damals(tm) ein 6to4 (oder
6in4?) Experiment.

> So, das war's. Es wäre cool, wenn ihr mir hier weiterhelfen könntet.
> Gruß, yanosz
> 
> 
> [*] https://github.com/yanosz/node-config
> [1] https://wiki.freifunk.net/Vpn03
> [2] https://wiki.freifunk.net/Vpn03_Admin_Howto

Cheers, Bastian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160313/a91994d7/attachment.sig>