Yanosz am 28. August 2019 um 10:15 Uhr

2019-08-28T10:15:58Z

← Nächstältere Version		Version vom 28. August 2019, 12:15 Uhr
Zeile 1:		Zeile 1:
			[[Kategorie:Infrastruktur]]
			{{:Archiv-Hinweis}}
	[[Kategorie:Infrastruktur]]		[[Kategorie:Infrastruktur]]
	[[Kategorie:Dienste]]		[[Kategorie:Dienste]]

Kerel am 19. März 2015 um 21:35 Uhr

2015-03-19T21:35:14Z

← Nächstältere Version		Version vom 19. März 2015, 23:35 Uhr
Zeile 1:		Zeile 1:
	[[Kategorie:Infrastruktur]]		[[Kategorie:Infrastruktur]]
			[[Kategorie:Dienste]]
	<span style="color:#F00"> '''Veraltet - nicht mehr verwenden'''</span>		<span style="color:#F00"> '''Veraltet - nicht mehr verwenden'''</span>
	== Einleitung ==		== Einleitung ==

Kerel: Die Seite wurde neu angelegt: „Kategorie:Infrastruktur '''Veraltet - nicht mehr verwenden''' == Einleitung == Ein Tinc-VPN http://www.tinc-vpn.org/ verbi…“

2015-03-05T23:48:13Z

Die Seite wurde neu angelegt: „Kategorie:Infrastruktur <span style="color:#F00"> '''Veraltet - nicht mehr verwenden'''</span> == Einleitung == Ein Tinc-VPN http://www.tinc-vpn.org/ verbi…“

Neue Seite

[[Kategorie:Infrastruktur]]
<span style="color:#F00"> '''Veraltet - nicht mehr verwenden'''</span>
== Einleitung ==
Ein Tinc-VPN http://www.tinc-vpn.org/ verbindet alle Nodes mit Internet-Uplink. Das ''Intracity-VPN'' arbeitet im Switched-Mode: alle Nodes werden zu einer gemeinsamen OSI-2 Broadcast-Domäne zusammengefasst. Über die Tinc-Verbindungen werden ausschließlich batman-adv Pakete versendet.

In der Node-Fimrware sind die Tinc-Server vpn1, vpn2, vpn3, vpn4 (.kbu.freifunk.net) konfiguriert. Im DNS zeigt ein CName-Alias auf den entsprechenden Host. (vpn2.kbu.freifunk.net -> felicitas.kbu.freifunk.net). Aktuell sind lediglich vpn2 und vpn3 in Betrieb.

Per Konvention ist der Tinc-Name jedes Nodes identisch mit der Hardware-Adresse (siehe Aufkleber Rückseite). Trennzeichen ( : bzw. - ) werden jedoch entfernt. Die folgende Abbildung zeigt die aktuelle Tinc-Topologie.

https://register.kbu.freifunk.net/cgi-bin/node-graph.png

== Tinc auf Felicitas ==
Felicitas steht allen Nodes als VPN-Server zur Verfügung. VPN-, DNS- und Masquerding Dienste werden ebenfalls auf Felicitas betrieben. Der folgende Abschnitt beschreibt die Tinc und Netzkonfiguration auf Felictas.

=== Tinc-Config ===
Felicitas verwendet zum Betrieb des ''intracity''-VPN die folgende Konfiguration
#/etc/tinc/intracity/tinc.conf
name = vpn2
Mode = switch
ClampMSS = no
Compression = 10
Cipher = none
GraphDumpFile = /var/log/tinc/intracity-graph.dot
ConnectTo vpn1
Address 195.54.164.203
DirectOnly = yes

Beim Start erstellt tinc ein gleichnamiges tap-Interface über das der Traffic abgewickelt wird.
# ifconfig intracity
intracity Link encap:Ethernet HWaddr 1e:41:fc:07:df:4d
inet6 addr: fe80::1c41:fcff:fe07:df4d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:142556 errors:0 dropped:0 overruns:0 frame:0
TX packets:39991 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:15853487 (15.1 MiB) TX bytes:15886286 (15.1 MiB)

Gleichzeitig wird batman-adv gestartet, das tinc-Interface batman-adv hinzugefügt und bat0 in die Bridge der Mesh-Cloud aufgenommen. Siehe: ''/etc/tinc/intracity/tinc-up''
#!/bin/sh
/sbin/insmod /usr/local/lib/batman-adv.ko
/usr/sbin/batctl if add intracity
/sbin/ifconfig intracity up
ip link set up dev bat0
/usr/sbin/brctl addif br-ff bat0

Beim beenden werden die Änderungen rückgängig gemacht: ''/etc/tinc/intracity/tinc-down ''
#!/bin/sh
/sbin/rmmod /usr/local/lib/batman-adv.ko
/usr/sbin/batctl if del intracity
/usr/sbin/brctl delif br-ff intracity

=== Interfaces ===

Die Bridge br-ff fasst alle zur Mesh-Cloud gehörenden Interfaces zusammen. Zur Zeit ist einzig bat0 eingebunden.
#/etc/network/interface
auto br-ff
iface br-ff inet static
address 172.26.0.2
netmask 255.255.252.0
pre-up brctl addbr br-ff
post-down brctl delbr br-ff
# brctl show
bridge name bridge id STP enabled interfaces
br-ff 8000.7a28c6508f0d no bat0

bat0 ist das einzige batman-adv Interface auf Felicitas. Lediglich das TAP-Interface des Intracity-VPNs in darin eingebunden.
# batctl if
intracity: active

== Tinc auf den Nodes ==
Der folgende Abschnitt erläutert die Tinc-Konfiguration der Nodes. Sie ist in der Firmware hinterlegt und muss nicht händisch angepasst werden.
=== UCI-Settings ===
Tinc ist in OpenWRT integriert und kann über uci konfiguriert werden. Alle Nodes sind dabei so konfiguriert, dass sie sich initial mit den Hosts vpn1, vpn2, vpn3 und vpn4 verbinden (vgl. https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/config/tinc). Der Name des Nodes (hier ''NONAME'') wird beim Boot initial durch den tatsächlichen Noden-Namen ersetzt (siehe unten).

config tinc-net intracity
option enable 1
option generate_keys 1
option Name NONAME
option Mode switch
list ConnectTo vpn1
list ConnectTo vpn2
list ConnectTo vpn3
list ConnectTo vpn4
option Compression 10
option Cipher none
option DirectOnly yes
option GraphDumpFile /tmp/log/tinc.intracity.dot
config tinc-host NONAME
option net intracity
option Port 1194
config tinc-host vpn1
option net intracity
list Address vpn1.kbu.freifunk.net
config tinc-host vpn2
option net intracity
list Address vpn2.kbu.freifunk.net
config tinc-host vpn3
option net intracity
list Address vpn3.kbu.freifunk.net
config tinc-host vpn4
option net intracity
list Address vpn4.kbu.freifunk.net

=== Settings im Dateisystem ===

Keys der Hosts vpn1-4 sind nicht via uci konfiguriert sondern werden direkt im Dateisystem abgelegt. Siehe:
* https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/intracity/hosts/vpn1
* https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/intracity/hosts/vpn2
* https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/intracity/hosts/vpn3
* https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/intracity/hosts/vpn4

Beim Start führt jeder Node ebenfalls ein script aus, dass das Tinc-Interface batman-adv hinzufügt (https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/intracity/tinc-up).
#!/bin/sh
ip link set up mtu 1280 dev $INTERFACE
batctl if add $INTERFACE

Hinweis: Aus legacy-Gründen ist noch ein Key für "Freifunk" (alter VPN-Name von Felix) und ein privates Tinc-VPN in der Firmware hinterlegt. Diese werden jedoch im Rahmen der nächsten Releases entfernt werden.

=== Key- und Config-Generierung ===
Beim Start eines jeden Nodes wird die MAC-Adresse des Nodes ausgewertet.
Da Mac-Adresse und Tinc-Name identisch sind, wird - falls nich nicht geschehen - die Tinc-Konfiguration angepasst so, dass der Node-Name der MAC-Adresse entspricht (https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/uci-defaults/tinc-name).

#!/bin/sh
NAME="`ip link show eth0 | grep "link/ether" | sed "s/^[ ]*//" | cut -d' ' -f2 | sed "s/://g"`"

[ -f /etc/config/tinc ] && sed -i "s/NONAME/$NAME/g" /etc/config/tinc

Wird Tinc mit der angepassten Konfiguration erstmalig gestartet, so werden passende Keys automatisch erstellt.

== Key-Management ==
Tinc sieht vor, dass die Public-Keys aller Hosts, die sich initial zu einem Server verbinden (ConnectTo) auf dem Server vorhanden sind. Vor diesem Hintergrund lädt jeder Node seinen Key via http hoch, so bald das WAN-Interface gestartet ist.
* Hotplug-Script: https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/hotplug.d/iface/90-cert-upload
* Upload-Script: https://github.com/ff-kbu/lffenv/blob/wr1043nd/files/etc/tinc/upload_cert.sh
Die Keys werden per Restful-Webservice entgegeben genommen und (nach Genehmingung) per cron-job alle fünf Minuten ins Tinc-Verzeichnis kopiert. Die benötigte Funktionalität ist in ff-serv (https://github.com/ff-kbu/ff-serv) implementiert.

== Known-Issues / Ausblick ==

Die Lübecker haben in einem vergleichbaren Setup beobachtet, dass der batman-adv / tinc-Management-Traffic bei 15 Nodes im Rahmen bei ca 1 MBit/s liegt und damit die Kapazität eines ADSL-Upstreams übersteigt. Wir versuchen hier entgegen zu wirken, indem wir indirekte tinc-Verbindungen deaktivieren (Tinc-Option: ''DirectOnly Yes'').

Langfristig werden wir voraussichtlich entweder auf fastd (https://projects.universe-factory.net/projects/fastd) umzusteigen oder die Broadcast-Domäne unterteilen.

Dienst:Tinc - Versionsgeschichte

Yanosz am 28. August 2019 um 10:15 Uhr

Kerel am 19. März 2015 um 21:35 Uhr

Kerel: Die Seite wurde neu angelegt: „Kategorie:Infrastruktur '''Veraltet - nicht mehr verwenden''' == Einleitung == Ein Tinc-VPN http://www.tinc-vpn.org/ verbi…“