Opennet Firmware Konfiguration: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Konfiguration von VPN)
(Konfiguration von VPN)
Zeile 26: Zeile 26:
 
Zur Nutzung eines Internet-Zugangs über Opennet ist ein laufender [[OpenVPN|VPN]]-Tunnel nötig. Dafür wird ein entsprechendes Zertifikat (crt) und ein geheimer Schlüssel (key) benötigt. Der Schlüssel und eine Anfrage für ein Zertifikat (csr) kann im Basis-Bereich unter "VPN Tunnel" konfiguriert werden. Der Zertifikatsname wird anhand der Opennet-ID konfiguriert. Es ist daher notwendig, diese vorher im Netzwerk-Bereich einzustellen.
 
Zur Nutzung eines Internet-Zugangs über Opennet ist ein laufender [[OpenVPN|VPN]]-Tunnel nötig. Dafür wird ein entsprechendes Zertifikat (crt) und ein geheimer Schlüssel (key) benötigt. Der Schlüssel und eine Anfrage für ein Zertifikat (csr) kann im Basis-Bereich unter "VPN Tunnel" konfiguriert werden. Der Zertifikatsname wird anhand der Opennet-ID konfiguriert. Es ist daher notwendig, diese vorher im Netzwerk-Bereich einzustellen.
  
Bitte gebe deinen Namen und deine E-Mail Adresse an und erzeuge einen Schlüssel. Lade die Zertifikat-Anfrage (.csr - und nur diese Datei) auf der Seite http://ca.opennet-initiative.de/ hoch. Per E-Mail erhällst du dann zeitnah dein Zertifikat. Lade dieses über das Webinterface auf den Router.
+
Bitte gebe deinen Namen und deine E-Mail Adresse an und erzeuge einen Schlüssel. Lade die Zertifikat-Anfrage (.csr - und nur diese Datei) auf der Seite http://ca.opennet-initiative.de/ hoch.  
 +
 
 +
Per E-Mail erhälst du dann zeitnah dein Zertifikat. Lade dieses über das Webinterface auf den Router. Nun kann die VPN-Verbindung (gesicherter Internetzugang) verwendet werden.
  
 
= Erweiterte Konfiguration =
 
= Erweiterte Konfiguration =

Version vom 5. April 2014, 10:15 Uhr

Inhaltsverzeichnis

Opennet Firmware Standard Konfiguration

Opennet Firmware Interface

Das Firmware-Interface teilt sich in drei unterschiedliche Bereiche. Der Wechsel zwischen diesen Bereichen erfolgt im oberen rechten Bereich des Webinterfaces. Die Seite "OLSR-Status" gibt Informationen zum OLSR-Routing. Über die "Opennet"-Seite können Opennet-Spezifische Konfigurationen vorgenommen werden - beispielsweise wird hier der VPN-Tunnel konfiguriert. Über die "Administration"s-Seite werden Einstellungen, die allgemein zur Funktion des Router gehören, konfiguriert. Hier findet sich zum Beispiel die Konfiguration der Router-Schnittstellen.

Bei der Konfiguration eines neuen Routers ist folgende grundlegende Reihenfolge einzuhalten!

Konfiguration der Schnittstellen

Nach der ersten Installation der Opennet-Firmware werden alle Wireless-Schnittstellen für Opennet konfiguriert und erhalten Adressen nach dem Opennet-Schema, beginnend mit 192.168.33.127. Eine (die erste) kabelgebundene Schnittstelle ist für das lokale Netzwerk konfiguriert und per 172.16.0.1 zu erreichen. Auf diesem lokalen Interface ist die Addressvergabe per DHCP aktiviert.

Wenn diese Konfiguration nicht den Anforderungen entspricht bzw. einfach noch nicht funktioniert, sollte mit der erweiterten Schnittstellen-Konfiguration fortgefahren werden.

Gründe, warum die Standardkonfiguration nicht sofort funktioniert, könnten beispielsweise sein:

Konfiguration für den Opennet-Betrieb

Opennet-Menü->Basis->Netzwerk

Alle wichtigen Konfigurationen für den Standard-Opennet-Betrieb sind im Bereich "Basis" zusammengefasst. Am wichtigsten ist die Eingabe der Opennet-ID. Diese ist im Format 1.X oder 2.X und verändert danach die IP-Adressen der Opennet-Netzwerk-Schnittstellen nach dem Adressierungsschema. War der Router bisher unter der Übergangs-Adresse 192.168.33.127 erreichbar, so wird diese Verbindung nun unterbrochen. Der Router ist nach erfolgter Konfiguration unter 192.168.1.X bzw. 192.168.2.X erreichbar. Alle von der Opennet-ID abhängigen Adressen sind auf der Netzwerk-Seite aufgeführt und sollten nicht separat über das Administrations-Interface geändert werden.

Ergänzend ist eine Veränderung des Standard-Passwortes ('admin') wichtig, dies ist ebenfalls im Basis-Bereich möglich. Sind alle Konfigurationen erledigt, ist ebenfalls ein Neustart des Routers zu empfehlen.


Konfiguration von VPN

Opennet-Menü->Basis->VPN Tunnel

Zur Nutzung eines Internet-Zugangs über Opennet ist ein laufender VPN-Tunnel nötig. Dafür wird ein entsprechendes Zertifikat (crt) und ein geheimer Schlüssel (key) benötigt. Der Schlüssel und eine Anfrage für ein Zertifikat (csr) kann im Basis-Bereich unter "VPN Tunnel" konfiguriert werden. Der Zertifikatsname wird anhand der Opennet-ID konfiguriert. Es ist daher notwendig, diese vorher im Netzwerk-Bereich einzustellen.

Bitte gebe deinen Namen und deine E-Mail Adresse an und erzeuge einen Schlüssel. Lade die Zertifikat-Anfrage (.csr - und nur diese Datei) auf der Seite http://ca.opennet-initiative.de/ hoch.

Per E-Mail erhälst du dann zeitnah dein Zertifikat. Lade dieses über das Webinterface auf den Router. Nun kann die VPN-Verbindung (gesicherter Internetzugang) verwendet werden.

Erweiterte Konfiguration

Administrations-Menü -> Netzwerk-Schnittstellen

Schnittstellen-Konfiguration

Die Konfiguration der Schnittstellen erfolgt über das Administrations-Menü. Hier muss folgende Grundregel beachtet werden: alle benötigten Interface-Kategorien sind bereits vorhanden, diese müssen je nach Verwendungszweck den unterschiedlichen physikalischen Schnittstellen der Hardware zugeordnet werden. Folgende Kategorien (Netzwerke) sind vorkonfiguriert:

  • LAN - lokales Netzwerk, kabelgebunden. Dieses Netzwerk hat Zugriff über den Opennnet-VPN-Tunnel auf das Internet und ist vor Zugriffen aus dem Opennet geschützt.
  • WIFI - lokales Netzwerk, drahtlos. Parallel zum LAN hat das Netzwerk Zugriff auf den VPN-Tunnel.
  • ON_WIFI_0, ON_WIFI_1, ON_WIFI_X - Opennet-Interface, drahtlos. Auf diesen Interfaces läuft OLSR, das Opennet-Routing-Protokoll.
  • ON_ETH_0, ON_ETH_1, ON_ETH_X - Opennet-Interface, kabelgebunden. Auf diesen Interfaces läuft OLSR, das Opennet-Routing-Protokoll.
  • WAN - Interface zur Verbindung des Routers mit einem direkten Internet-Zugang, bspw. DSL. Dieser Zugang wird bevorzugt bei Verbindungen aus dem lokalen Netzwerk (LAN, WIFI) genutzt und kann im Opennet für andere Nutzer freigegeben werden.
  • FREE - Interface für Wifidog. Achtung: Dieses ist ein Bridge-Interface, Schnittstellen müssen der Brücke hinzugefügt werden. Dies ist auch bei nur einem Interface notwendig!
Schnittstelle Physikalische Einstellungen

Die Konfiguration der Schnittstellen erfolgt durch Zuordnung dieser vorkonfigurierten Netzwerk-Schnittstellen zu physikalischen Interfaces. Wird ein Interface nicht benötigt, wird dies dem Ethernet-Adapter "none" zugewiesen. Die IP-Address-Konfiguration von Opennet-Schnittstellen (ON_WIFI*, ON_ETH*) sowie der Wifidog-Schnittstelle (FREE) kann hier entfallen und später über das Opennet-Interface bei Eingabe der Opennet-ID erfolgen.


Schnittstelle Firewall Konfiguration

Falls die bestehenden vorkonfigurierten Interfaces nicht ausreichen, können neue hinzugefügt werden. Diese sollten dem bestehenden Namensschema folgen und müssen einer dazugehörigen Firewall-Zone zugeordnet werden. Auch hier wird nicht empfohlen, die bestehenen Firewall-Zonen zu verändern oder neue hinzuzufügen - dies könnte die Funktion der restlichen Opennet-Anpassungen beeinträchtigen.

Spezielle Netzwerkkennung (SSID)

Inzwischen heißen die Netzwerke oft nicht mehr olsr.opennet-initiative.de sondern beispielsweise WolkenkratzerRundstrahler.on-i.de. Vielleicht ist auch der Name der Gegenseite noch gar nicht bekannt. In diesem Fall ist folgender Weg hilfreich:

  • Administration > Netzwerk > Drahtlos
  • Mit "Scan" alle sichtbaren Netze anzeigen lassen
  • nicht "Netzwerk beitreten" wählen
  • wechseln zu Drahtlos > "Drahtlosadapter XYZ" > bearbeiten und folgendes einstellen:
    • Kanal: auto
    • ESSID: WolkenkratzerRundstrahler.on-i.de
    • Modus: Client
    • BSSID: <Löschen!>
    • Netzwerk: on_wifi_0

Internet-Verteilung / Usergateway-Betrieb

Schnittstelle Konfiguration Usergateway

Zur Freigabe des Internets (Usergateway) muss zuerst die WAN-Schnittstelle einem physikalischen Interface zugewiesen und konfiguriert werden. Zur Freigabe wird ähnlich der Nutzung des Opennet-VPN ein weiteres Zertifikat benötigt, dass kann ebenso über das Webinterface erstellt werden. Eine Nutzung des gleichen oder eines anderen Nutzerzertifikates ist an dieser Stelle nicht möglich.

Bei vorhandenem Schlüssel und Zertifikat prüft ein Programm alle 5 Minuten die Erreichbarkeit der Usergateway-Server. Jede Stunde wird geprüft, ob die MTU (größtmögliche Übertragungseinheit) des Anschlusses für eine Freigabe des Netzes geeignet ist. Beide Prüfungen können auch über das Webinterface ausgelöst werden.

Sind alle Tests erfolgreich, kann das Internet mitgenutzt werden. Die Internet-Verteilung ist aktiv, wenn zentrale Gateways eingebunden sind. Die gleichen Konfigurationen können auch per Terminal / SSH mit dem Befehl "ugw_status" durchgeführt werden.

Wifidog-Konfiguration

Konfiguration Wireless für Wifidog

Wifidog wird im Opennet zur öffentlichen Freigabe von Internet genutzt. Vorraussetzung der Nutzung von Wifidog ist ein VPN-Zertifikat, da die Nutzung durch den VPN-Tunnel erfolgt. Dieses muss also erstellt und auf dem Router installiert werden.

Für die Nutzung von Wifidog muss zuerst die Schnittstelle "FREE" einem oder mehreren WLAN-Schnittstellen zugewiesen werden. Wichtig ist dabei, dass "FREE" auch bei Nutzung einer einzigen physischen Schnittstelle als 'bridge' konfiguriert bleibt. Eine examplarische Vorgehensweise wäre, die physikalische Schnittstelle von ON_WIFI_1 von "wifi1" auf "none" zu ändern. Danach sollte der Schnittstelle "FREE" das wifi-Interface "wifi1" zugewiesen werden.

Weiterhin sollten die Wireless-Schnittstellen, die zur Nutzung von Wifidog verwendet werden sollen (im Beispiel wifi1), entsprechend umkonfiguriert werden. Der Modus sollte auf "Access Point" geändert werden, die ssid sollte passend gewählt werden.

Die IP-Adresse der FREE-Schnittstelle wird automatisch über die Opennet-ID gesetzt. DHCP muss (und darf) ebenso auf der FREE-Schnittstelle nicht aktiviert werden


Terminal-Konfiguration

Konfiguration Usergateway per Terminal

Die notwendigen Tools zur Konfiguration des Routers oder zur Statusabfrage stehen nun auch für das Terminal zur Verfügung. "vpn_status" ermöglicht die Konfiguration der VPN-Gateways, "ugw_status" ermöglicht die Konfiguration der Usergateway-Funktion / Internet-Freigabe. Dieses Tools sind identisch zu denen, die in der AirOS-Opennet-Firmware enthalten sind.

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge