Benutzer:Lars/Blog:2015 March 06 03:21:40 CET

Aus Opennet
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Techniktreffen (05.03.2015)

Server-Installation: ryoko

  • Philipp hat den Opennet-Server in der Frieda in Betrieb genommen
  • die Abschaltung des Hardware-RAID war gar nicht so leicht
  • Debian Jessie läuft, Anbindung an den Frieda-Hausanschluss und unsere Mesh-Wolke ist gegeben

Ondataservice

  • ondataservice auf dem Webserver/mediawiki lief nicht, da die Datenbank (/tmp/database) zwischenzeitlich kaputtging (leere Datei)
  • Löschen der Datei löste den Deadlock (anschließend wurde vom olsrd-ondataservice-Plugin das "create"-Skript selbständig ausgeführt)
  • nach einer Weile funktioniert das mediawiki-Plugin (z.B. Firmware_Status) auch wieder

Firmware

  • Austausch über ein paar Details und den aktuellen Stand
  • kleine Korrekturen und Commits
  • Relevanz der MTU-Tests:
    • in der neuen Firmware werden die beiden UGW-Funktionen "Mesh-Verbindung" und "Gateway-Weiterleitung" separat umgesetzt
    • es ist unklar, für welche dieser Funktionen der MTU-Test relevant ist
    • Martin wird prüfen, ob er MTU-Probleme bei erzwungener Verbindung mit subaru beobachten kann
    • daraufhin können wir die Logik der UGW-Funktionen anpassen, auf dass die MTU-Tests sich nur auf die betroffenen Funktionen auswirken

Ermittlung der APs mit altem CA-Zertifikat

  • für den bevorstehenden CA-Wechsel müssen wir erkennen, welche APs lediglich alte und keine neuen CA-Zertifikate enthalten
  • am Zertifikat des Clients lässt sich dies nicht erkennen
  • daher wollen wir die von jedem AP akzeptierten Zertifikate anhand der von ihm erfolgreich aufgebauten Verbindung mit einem OpenVPN-Server mit einem neuen Zertifikat ermitteln:
    • Lars konfiguriert einen Server (z.B. auf ryoko) so, dass er vorgibt, den Gateway-Dienst anzubieten (0er-Adresse, olsr-nameservice-Announcement)
    • der Server bricht die VPN-Verbindung in jedem Fall final ab (nach dem tls-Handshake), damit der Client ihn nicht versehentlich für nutzbar hält
    • alle Clients, die regelmäßig die verfügbaren Server auf VPN-Tauglichkeit prüfen, können somit von dem Server erfasst werden
    • lediglich Clients, die keine automatischen VPN-Tests durchführen, bleiben unklar
    • Martin erstellt eine Liste der mit den Gateway-Servern verbundenen Clients - diese können wir mit den Ergebnissen des honeypot-OpenVPN-Servers vergleichen, um die verbliebenen Clients individuell zu prüfen

Zeitplan für den CA-Wechsel auf den UGW-Servern

  • 8. März: Firmware-Release v0.5.1
  • 22. März: Entscheidung über weiteres Vorgehen
    • wir entscheiden, ob wir die AP-Aktualisierung auf alle Nutzenden ausweiten oder ob wir die Zertifikate per Hand verteilen wollen
    • AP-Aktualisierung wäre natürlich vorzuziehen - das hängt aber von der Qualitätseinschätzung des Release nach zwei Wochen Nutzung ab
  • 5. April: Umstellung ist abgeschlossen
    • nun sollten alle APs ein neues Zertifikat haben
  • 12. April: alte CA ist abgelaufen / Zertifikate auf den Servern sind ausgetauscht
Von „http://wiki.opennet-initiative.de/w/index.php?title=Benutzer:Lars/Blog:2015_March_06_03:21:40_CET&oldid=26848
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge