OpenVPN-CA

Aus Freifunk Köln, Bonn und Umgebung
Zur Navigation springen Zur Suche springen

Achtung: Work-in-progress --Yanosz 20:33, 17. Jun. 2011 (UTC)

Zum Betrieb des Freifunk-Netzes werden zentrale OpenVPN-Instanzen benötigt, die den Netzwerkverkehr abwickeln (vgl. Netzwerk-Konfiguration). Obwohl der Verkehr nicht verschlüsselt wird, werden auf den Accesspoints Zertifikate benötigt, damit sich die APs am Server anmelden können. Da OpenVPN typischer Weise mit gewöhnlichen SSL-Zertifikaten arbeitet, wird auf Paul eine SSL-CA betrieben, die die Zertifikate für die Accesspoints ausstellt. Dabei gilt:

  1. Jeder AP kann Zeritifikat, Key und CA-Zertifikat über http(s) herunterladen -- Die CA hat eine Webservice-Schnittstelle
  2. Die CA speichert alle erstellten Zertifikate in einer relationalen Datenbank (derzeit MySQL)
  3. Jeder AP wird mit der MAC-Adresse seines 1. Wireless-Lan Interfaces identifiziert. Sie wird als Common-Name (CN) im Zertifikat verwendet. Dies ermöglicht eine (hoffentlich) eindeutige Identifizierung aller Nodes
  4. Über die MAC-Adresse können bei Störungen betroffene Nodes (hoffentlich) identifiziert werden. Im Extremfall wäre es sogar denkbar, einzelne Node-Verbände vom Netz zu trennen, wenn durch sie die Gesamtintegrität des Netzes gefährdet wird
  5. Denkbar ist auch Teilnehmer-Zertifikate zu sperren, die das Freifunk-KBU-VPN als günstiges Anonmysiser-VPN missbrauchen. (Wollen wir das wirklich machen? Problem hierbei: Erkennen, richtig bewerten)