OpenVPN-CA
Version vom 17. Juni 2011, 21:42 Uhr von Yanosz (Diskussion | Beiträge)
Achtung: Work-in-progress --Yanosz 20:33, 17. Jun. 2011 (UTC)
Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. Netzwerk-Konfiguration). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Dabei gilt:
- Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle
- Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL)
- Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes
- Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird
- Denkbar ist auch Teilnehmer-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten)