[Berlin-wireless] tester gesucht: Hedy mit modularem Uplink

[Marcel]

moin sven,

wie beim hackaton mit dir besprochen möchte ich meinen knoten direkt
ausleiten. ich habe dafür die firmware vom branch "SAm0815_uplink" in
form des builds 377 vom 2017-08-25 03:48:23 genutzt. ich konnte den
assistenten erfolgreich durchlaufen lassen. die
installation/einrichtung erfolgte auf einem blanken knoten. nachdem
der assistent und der darauffolgende reboot durch waren, wurde der
traffic direkt ausgeleitet. problem dabei war jedoch, dass über diesen
knoten nun auch ein zugriff auf das privatnetzwerk zwischen dem knoten
und dem dsl-router möglich ist. dies habe ich durch die folgenden 3
zusätzlichen firewall-regeln unterbunden, bei mir funzt es so
zumindest ;-)

name: no 10.0.0.0/8
filter: beliebig traffic
Von beliebiger Rechner in freifunk
Zu IP range 10.0.0.0/8 in ffuplink
aktion: Discard forward


name: no 172.16.0.0/12
filter: beliebig traffic
Von beliebiger Rechner in freifunk
Zu IP range 172.16.0.0/12 in ffuplink
aktion: Discard forward


name: no 192.168.0.0/16
filter: beliebig traffic
Von beliebiger Rechner in freifunk
Zu IP range 192.168.0.0/16 in ffuplink
aktion: Discard forward

eckdaten zu dem aktiven knoten:
Firmware-Datei:
http://buildbot.berlin.freifunk.net/buildbot/unstable/ramips-mt7620/377/default/freifunk-berlin-1.0.0-sam0815-ffuplink-11a1bc0-wt3020-8M-sysupgrade.bin
Modell: Nexx WT3020 F (8M)
Firmware Version: Freifunk Berlin Hedy 1.0.0-SAm0815-ffuplink 11a1bc0
r2993+503-b9a408c / LuCI lede-17.01 branch (git-17.219.28675-9ee26ac)

schau dir bitte einmal die sachen an ob ich das so richtig angepasst habe.

grüße
marcel


Am 17. Juli 2017 um 10:03 schrieb Sven Roederer
<freifunk at it-solutions.geroedel.de>:
> Hallo Gemeinde,
>
> im zuge der anstehenden Änderungen beim VPN und dem immer wieder
> bemängeltem strikten verankern des VPN03 in der Firmware, habe ich mal
> etwas Zeit investiert.
> Mit folgendem Ergebnis:
> - verschiedene Wege einen Uplink zu konfigurieren sind in separate
> installierbare Pakete ausgelagert
>  - verfügbare FFUplink-typen:
>   - VPN03 (VPN03, wie gehabt)
>   - NoTunnel (direktes ausleiten via WAN-interface)
> - dadurch kann zur Laufzeit einer der Uplink-typen im Assistenten gewählt
> werden (noch nicht implementiert)
>   - entsprechende Konfig-parameter abgefragt werden (to be done, aktuell
> wird auch bei "noTunnel" nach den VPN-Zertifikaten gefragt - hier kann
> aber * benutzt werden)
> - das Netzwerk habe ich dazu entsprechend "einheitliche Netzwerk-konfig
> für uplinks mit / ohne Tunnel"[1] umgebaut
>
> Der Buildbot wird in kürze die entsprechenden Pakete fertig haben. Die
> sind dann zu finden auf der Firmwareseite im Wiki[2] unter "Auch alte
> Releases und Development-Branches anzeigen" im Branch "SAm0815_uplink" zu
> finden.
>
> Beide versionen "default" (VPN03) und "notunnel" (direktes Ausleiten)
> funktionieren bei mir. Es wäre aber git, wenn dass noch mehr Leute testen.
> Dazu folgende Hinweise:
> - backup der aktuellen Konfig erstellen (so kann man wieder die aktuellen
> Firmware installieren, sein Backup ruafpacken und der Router ist wieder
> der alte)
> - bisher ist ein upgrade ungetestet; also am besten "install from scratch"
> - wie o.g. einfach Dummydaten in der "noTunnel"-Version bei den
> VPN03-zertifikaten angeben
>
>
> Ich bin auf Rückmeldungen gespannt ...
>
> Sven
> -
>
> [1] - https://github.com/freifunk-berlin/firmware/issues/472
> [2] - https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router