FunkFeuer Wiki - Benutzerbeiträge [de]

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:29:26Z

Spanguel: /* Anmerkungen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir den wan input auf reject gesetzt haben, müssen wir einige Ports freigeben. Da wir nun (extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Eigenes Beispiel: (auch hier wird wieder nur mit IPv4 gearbeitet!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
Um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:27:46Z

Spanguel: /* Zonen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir den wan input auf reject gesetzt haben, müssen wir einige Ports freigeben. Da wir nun (extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Eigenes Beispiel: (auch hier wird wieder nur mit IPv4 gearbeitet!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:27:03Z

Spanguel: /* Zonen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir den wan input auf reject gesetzt haben, müssen wir einige Ports freigeben. Da wir nun (extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Eigenes Beispiel: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:26:42Z

Spanguel: /* Zonen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir den wan input auf reject gesetzt haben, müssen wir einige Ports freigeben. Da wir nun (extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
eigenes Beispiel: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:24:53Z

Spanguel: /* Zonen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir den wan input auf reject gesetzt haben, müssen wir einige Ports freigeben. Da wir nun (extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T08:22:04Z

Spanguel: /* OLSR */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich kaum Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir bei wan input auf reject gesetzt haben, müssen wir einige Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T07:54:45Z

Spanguel:

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP für weitere Verbindungen eingestellt ist. 
Daher muss eine Bridge erstellt werden, die diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bis keine Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir bei wan input auf reject gesetzt haben, müssen wir einige Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-24T07:44:46Z

Spanguel:

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT-Basis mit einem Raspberry Pi 3 dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk
luci-app-olsr
luci-ssl
ebtables
acme
luci-app-acme
openvpn-openssl

== OpenVPN einrichten ==
Siehe [https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“]. Interface-Namen unterscheiden sich mit denen in dieser Anleitung.

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe OpenVPN config). 

OLSR soll über die Interfaces tap0 und eth0 laufen.
*tap0 ist über OpenVPN verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Policy der Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bis keine Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir bei wan input auf reject gesetzt haben, müssen wir einige Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit OLSRd kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPv4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Let's Encrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner Hinweis, da ich diese Möglichkeiten noch nicht kannte, als ich mit OpenWRT begonnen habe: 
um über SSH einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-18T08:24:38Z

Spanguel: /* Firewall */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT mit einem Raspberry, dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk 
luci-app-olsr 
luci-ssl 
ebtables 
acme 
luci-app-acme 
openvpn-openssl 

== OpenVPN einrichten ==
Note: Hier verweise ich nur auf die bereits bestehende Anleitung. Damit diese nur an einer Stelle aktuell gehalten werden muss: 
[https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“] 
(Die Interface Namen in dieser Anleitung können daher etwas abweichen) 

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe openvpn config). 

OLSR soll über den Interfaces tap0 und eth0 laufen.
*tap0 ist über openvpn verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bit keine Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==

=== Interfaces/Zonen ===

{| class="wikitable"
|Zone
|Interfaces
|-
|WAN
|br0,eth0,tap0
|-
|LAN
|wlan0
|-
|mgmnt
|eth0.1100
|}

=== Zonen ===

{| class="wikitable"
|Name
|Zone => Forwardings
|Input
|Output
|Forward
|Masquerading
|MSS clamping
|-
|lan
|lan => wan,mgmnt
|accept
|accept
|accept
|no
|no
|-
|wan
|wan => accept
|reject
|accept
|accept
|yes
|yes
|-
|mgmnt
|mgmnt => wan
|accept
|accept
|reject
|no
|no
|}

Da wir bei wan den input auf reject gesetzt haben, müssen wir ein paar Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit olsr kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPV4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Letsencrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner hinweis, da ich diese Möglichkeiten noch nicht kannte, wie ich mit OpenWRT begonnen habe: 
um über ssh einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-18T08:12:30Z

Spanguel: /* olsr */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT mit einem Raspberry, dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk 
luci-app-olsr 
luci-ssl 
ebtables 
acme 
luci-app-acme 
openvpn-openssl 

== OpenVPN einrichten ==
Note: Hier verweise ich nur auf die bereits bestehende Anleitung. Damit diese nur an einer Stelle aktuell gehalten werden muss: 
[https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“] 
(Die Interface Namen in dieser Anleitung können daher etwas abweichen) 

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe openvpn config). 

OLSR soll über den Interfaces tap0 und eth0 laufen.
*tap0 ist über openvpn verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== OLSR ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bit keine Erfahrung mit IPV6 habe. 

"Services" --> "OLSR IPv4":
*Öffentliche IP unter "Main IP" eintragen.
*Sicherstellen, dass nur br0 in den Interfaces eingetragen und aktiv ist:
[[Datei:Openwrt_olsr_interfaces.PNG|800px|frameless|none]]
*Plugins wie gewünscht anpassen
*HNA wie gewünscht anpassen

== Firewall ==
WAN br0{eth0,tap0} (Public IP via OLSR)
LAN wlan0 (Local Network / Falls überhaupt vorhanden)
MGMNT eth0.1100 (Management VLAN)

Netzwork --> Firewall:
INPUT OUTPUT FORWARD Masquerading MSS clamping
lan => wan,mgmnt accept accept accept no no Damit LAN über Funkfeuer ins Internet darf und auf das NanoBeam Management Interface zugreifen darf.
wan => accept reject accept accept yes yes Forward muss accept sein (Pico-Peering). Input auf Reject, da wir nicht alle Ports auf dem Router offen haben wollen.
mgmnt => wan accept accept reject no no Dies ist notwendig, wen die Nanobeam über den Router ins Internet gehen soll (zwecks Updates).

Da wir bei wan den input auf reject gesetzt haben, müssen wir ein paar Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit olsr kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPV4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Letsencrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner hinweis, da ich diese Möglichkeiten noch nicht kannte, wie ich mit OpenWRT begonnen habe: 
um über ssh einen logoutput zu bekommen: 
logread
bzw.
logread -f

Datei:Openwrt olsr interfaces.PNG

2019-06-18T08:07:39Z

Spanguel:

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-18T08:01:26Z

Spanguel: /* ebtables */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT mit einem Raspberry, dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk 
luci-app-olsr 
luci-ssl 
ebtables 
acme 
luci-app-acme 
openvpn-openssl 

== OpenVPN einrichten ==
Note: Hier verweise ich nur auf die bereits bestehende Anleitung. Damit diese nur an einer Stelle aktuell gehalten werden muss: 
[https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“] 
(Die Interface Namen in dieser Anleitung können daher etwas abweichen) 

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe openvpn config). 

OLSR soll über den Interfaces tap0 und eth0 laufen.
*tap0 ist über openvpn verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0

Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== olsr ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bit keine Erfahrung mit IPV6 habe. 

== Firewall ==
WAN br0{eth0,tap0} (Public IP via OLSR)
LAN wlan0 (Local Network / Falls überhaupt vorhanden)
MGMNT eth0.1100 (Management VLAN)

Netzwork --> Firewall:
INPUT OUTPUT FORWARD Masquerading MSS clamping
lan => wan,mgmnt accept accept accept no no Damit LAN über Funkfeuer ins Internet darf und auf das NanoBeam Management Interface zugreifen darf.
wan => accept reject accept accept yes yes Forward muss accept sein (Pico-Peering). Input auf Reject, da wir nicht alle Ports auf dem Router offen haben wollen.
mgmnt => wan accept accept reject no no Dies ist notwendig, wen die Nanobeam über den Router ins Internet gehen soll (zwecks Updates).

Da wir bei wan den input auf reject gesetzt haben, müssen wir ein paar Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit olsr kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPV4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Letsencrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner hinweis, da ich diese Möglichkeiten noch nicht kannte, wie ich mit OpenWRT begonnen habe: 
um über ssh einen logoutput zu bekommen: 
logread
bzw.
logread -f

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-18T08:00:18Z

Spanguel: /* Interface Einstellungen */

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT mit einem Raspberry, dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk 
luci-app-olsr 
luci-ssl 
ebtables 
acme 
luci-app-acme 
openvpn-openssl 

== OpenVPN einrichten ==
Note: Hier verweise ich nur auf die bereits bestehende Anleitung. Damit diese nur an einer Stelle aktuell gehalten werden muss: 
[https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“] 
(Die Interface Namen in dieser Anleitung können daher etwas abweichen) 

== Interface Einstellungen ==

{| class="wikitable"
|Interface
|Name
|Bridgeports
|Beschreibung
|-
|[[Datei:Wlan0.PNG|frameless|none|thumb]]
|wlan0
|none
|Schnittstelle zu lokalem Netzwerk
|-
|[[Datei:br0.PNG|frameless|none|thumb]]
|br-br0
|eth0,tap0
|Bridge für OLSR (public IP /32!) eth0 und tap0 sind unmanaged Interfaces
|-
|[[Datei:mgmnt.PNG|frameless|none|thumb]]
|br-mgmnt
|eth0.1100
|Management Bridge / eth0.1100 ohne Bridge geht auch
|}

wlan0 ist als static IP oder DHCP OHNE Default Gateway eingestellt. 
unter "Network" --> "Static Routes" muss man daher die Router zum VPN Server anpassen (siehe openvpn config). 

OLSR soll über den Interfaces tap0 und eth0 laufen.
*tap0 ist über openvpn verbunden.
*eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. (br0) 
Interfaces tap0 und eth0 bekommen als Protocol "unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Ganz unten unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0
 
Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== olsr ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bit keine Erfahrung mit IPV6 habe. 

== Firewall ==
WAN br0{eth0,tap0} (Public IP via OLSR)
LAN wlan0 (Local Network / Falls überhaupt vorhanden)
MGMNT eth0.1100 (Management VLAN)

Netzwork --> Firewall:
INPUT OUTPUT FORWARD Masquerading MSS clamping
lan => wan,mgmnt accept accept accept no no Damit LAN über Funkfeuer ins Internet darf und auf das NanoBeam Management Interface zugreifen darf.
wan => accept reject accept accept yes yes Forward muss accept sein (Pico-Peering). Input auf Reject, da wir nicht alle Ports auf dem Router offen haben wollen.
mgmnt => wan accept accept reject no no Dies ist notwendig, wen die Nanobeam über den Router ins Internet gehen soll (zwecks Updates).

Da wir bei wan den input auf reject gesetzt haben, müssen wir ein paar Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit olsr kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPV4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Letsencrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner hinweis, da ich diese Möglichkeiten noch nicht kannte, wie ich mit OpenWRT begonnen habe: 
um über ssh einen logoutput zu bekommen: 
logread
bzw.
logread -f

Datei:Mgmnt.PNG

2019-06-18T07:57:35Z

Spanguel:

Datei:Br0.PNG

2019-06-18T07:46:18Z

Spanguel:

Datei:Wlan0.PNG

2019-06-18T07:38:05Z

Spanguel:

Funkinsel mit OpenWRT auf Raspberry Pi 3

2019-06-17T11:56:13Z

Spanguel: Initial Page

'''SEITE IN BEARBEITUNG 
Nach erfolgreicher Installation einer Funkinsel auf OpenWRT mit einem Raspberry, dokumentiere ich die Konfiguration. 
Vorerst mehr Stichwörter als Dokumentation! 

== Benötigte Pakete ==
luci-mod-freifunk 
luci-app-olsr 
luci-ssl 
ebtables 
acme 
luci-app-acme 
openvpn-openssl 

== OpenVPN einrichten ==
Note: Hier verweise ich nur auf die bereits bestehende Anleitung. Damit diese nur an einer Stelle aktuell gehalten werden muss: 
[https://wiki.funkfeuer.at/wiki/OpenVPN_mit_LEDE/OpenWRT_oder_%E2%80%9EBubbles%E2%80%9C OpenVPN mit LEDE/OpenWRT oder „Bubbles“] 
(Die Interface Namen in dieser Anleitung können daher etwas abweichen) 

== Interface Einstellungen ==

WLAN (wlan0) ist als normaler DHCP Client OHNE Default Gateway eingestellt. unter Network --> Static Routes muss man daher die Router zum VPN Server anpassen (siehe openvpn config) 

OLSR soll über den Interfaces tap0 und eth0 laufen. tap0 ist über openvpn verbunden. eth0 hat eine Verbindung auf eine NanoBeam, welche als AP eingestellt ist, für weitere Verbindungen. 
Daher eine Bridge erstellen, welche diese zwei Ports als Bridgeports hat. 
In meinem Fall "BR0" mit Static Address und der zugewiesenen Public IP. /32!! 
Interfaces tap0 und eth0 bekommen als Protocol "Unmanaged". 
 
Um auf das Management Interface der Nanobeam zu gelangen, benötigt man noch ein Management-VLAN. 
Unter /etc/config/network folgendes hinzufügen: 
config interface 'mgmnt'
option type 'bridge'
option ifname 'eth0.1100'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.XX.YY.100' --> XXYY ist die NodeID!

== ebtables ==
System -> Startup 
Ganz unten unter "Local Startup" folgendes eintragen bzw. ergänzen: 
ebtables -P FORWARD DROP

Beispiel: 
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ebtables -P FORWARD DROP
exit 0
 
Nach einem Neustart, kann man mit ebtables -L überprüfen ob die Forward chain auf DROP steht, anstelle wie default auf ACCEPT 

== olsr ==
Note: In meinem Setup habe ich OLSR für IPV6 deaktiviert, weil ich wenig bit keine Erfahrung mit IPV6 habe. 

== Firewall ==
WAN br0{eth0,tap0} (Public IP via OLSR)
LAN wlan0 (Local Network / Falls überhaupt vorhanden)
MGMNT eth0.1100 (Management VLAN)

Netzwork --> Firewall:
INPUT OUTPUT FORWARD Masquerading MSS clamping
lan => wan,mgmnt accept accept accept no no Damit LAN über Funkfeuer ins Internet darf und auf das NanoBeam Management Interface zugreifen darf.
wan => accept reject accept accept yes yes Forward muss accept sein (Pico-Peering). Input auf Reject, da wir nicht alle Ports auf dem Router offen haben wollen.
mgmnt => wan accept accept reject no no Dies ist notwendig, wen die Nanobeam über den Router ins Internet gehen soll (zwecks Updates).

Da wir bei wan den input auf reject gesetzt haben, müssen wir ein paar Ports freigeben, da wir nun (von extern) weder auf die Weboberfläche kommen, noch mit olsr kommunizieren können. 
Network --> Firewall --> Traffic Rules: 
die Ports 698/udp, 80/tcp und 443/tcp freigeben. 
 
Beispiel von meinen: (auch hier habe ich wieder nur IPV4!) 
Any udp From any host in wan To any router IP at port 698 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 80 on this device
IPv4-tcp From any host in wan To IP [INSERT PUBLIC IP] at port 443 on this device

== Letsencrypt ==
Services --> acme
Account email, Domain names und Webroot directory (/www) ausfüllen und auf "Save" drücken. NICHT auf "Save & Apply". 
Hier beschwert sich das System, dass das Feld "DNS API" nicht ausgefüllt ist. Diese Methode wollen wir aber nicht verwenden. 
Wenn man nur auf Save klickt und anschließend auf "unsaved Changes" rechts oben drückt und diese dort anwendet, funktioniert es ohne der DNS API. 

== Anmerkungen ==
Nur ein kleiner hinweis, da ich diese Möglichkeiten noch nicht kannte, wie ich mit OpenWRT begonnen habe: 
um über ssh einen logoutput zu bekommen: 
logread
bzw.
logread -f

OpenVPN mit LEDE/OpenWRT oder „Bubbles“

2019-06-17T11:20:21Z

Spanguel: /* [Ergänzen ... OLSR mittels UCI konfigrieren ...] */

ENTWURF - FEEDBACK WILLKOMMEN

Diese Anleitung unterscheidet sich nicht besonders von dem, was wir für Debian oder für den EdgeRouter brauchen.
Voraussetzung ist ein OpenWRT-Build mit bridge-utils, iproute2 und openvpn.
Wir legen auf OpenWRT eine Bridge ohne Brigeports an, konfigurieren OpenVPN und legen ein ifup-down-Skript für den Tunnel an. OLSR läuft auf der Bridge.

Paketvorschlag:
luci-app-openvpn luci-i18n-openvpn-de openvpn-mbedtls ip-full

== Bridge anlegen über die Konsole ==
[Da klappt etwas noch nicht; OpenWRT startet offenbar eine Bridge ohne Bridgeports in 18.06.2 nicht]
uci set network.ff=interface
uci set network.ff.ifname='ff'
uci set network.ff.type='bridge'
uci set network.ff.proto='static'
uci set network.ff.ipaddr='[FUNKFEUER-IP-ADRESSE-AUS-REDEEMER]'
uci set network.ff.netmask='255.255.255.255'
uci set network.ff.empty_bridge='1'
uci commit

== [Ergänzen ... OLSR mittels UCI konfigurieren ...] ==

== Auf die OpenVPN-Konfigurationsdatei verweisen ==
Die Datei /etc/config/openvpn soll beinhalten:
config openvpn 'Funkfeuer'
option enabled '1'
option config '/etc/openvpn/funkfeuer.conf'

Über UCI legt man das an wie folgt:
uci set openvpn.Funkfeuer=openvpn
uci set openvpn.Funkfeuer.enabled='1'
uci set openvpn.Funkfeuer.config='/etc/openvpn/funkfeuer.conf'
uci commit

== Die OpenVPN-Konfigurationsdatei ==
/etc/openvpn/funkfeuer.conf:
dev tap-ff
dev-type tap
proto udp
remote 78.41.115.16
port [5XXX]
up-delay
down-pre
up-restart
# comp-lzo #lassen wir aus Kompatibilitätsgrunden aus
script-security 2
nobind
ping 10
ping-restart 60
ping-timer-rem
fast-io
sndbuf 524288
rcvbuf 524288
txqueuelen 1000
mute 2
verb 0
secret /etc/openvpn/funkfeuer.secret
auth none
cipher none
up "/etc/openvpn/scripts/funkfeuer-ifupdown.sh"
down "/etc/openvpn/scripts/funkfeuer-ifupdown.sh"

== Das Secret ==
Die Datei /etc/openvpn/funkfeuer.secret enthält den Key, den Du vom Tunneladmin erhalten hast - Beispielsweise:

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
61eaa6a0731c1114b92d98f4c71bc547
a79050f1f888bb87c84355adbe916a8a
b1e0cdd74f516b654c9542e46ea3216c
f65bdb1fdad755022d73a1b35821f46e
c9da48afb8feb3564f3d2de97a690fa9
90ca9b2ddcedc842ee88a1f085c9b3e7
518c8c9ae9a43ce64dc6c55789115652
964af121b3097dddaf0f12a72981a25f
4790575a0254f93e13ca4176433a0e8f
2d526b12280766b32ef37737199c2d6e
e1b006e9432a26a131cef64833421461
ca6ae34349b3088c3a00e3ad6b024e6b
fba26277c3818a99fa32f6be4480b075
525f81b302b527c2e95fff90a4268fe6
f067a05b484f4ea77e57afcf53c2c0b1
79be9d144c9ac7aa874d3d248f6e5b35
-----END OpenVPN Static key V1-----

== Das ifupdown-Skript ==
=== Das Skript-Verzeichnis anlegen ===
mkdir -p /etc/openvpn/scripts

=== /etc/openvpn/scripts/funkfeuer-ifupdown.sh ===
#!/bin/sh
logger "$dev $script_type"
br=br-ff
case "$script_type" in
up)
/sbin/brctl addif $br $dev
/sbin/ip link set $br promisc on
/sbin/ip link set $dev up
;;
down)
/sbin/ip link set $dev down
/sbin/ip link set $br promisc off
/sbin/brctl delif $br $dev

;;
*)
esac
exit 0

=== Das Skript ausführbar machen ===
chmod +x /etc/openvpn/scripts/funkfeuer-ifupdown.sh