OpenVPN mit EdgeRouter X-SFP: Unterschied zwischen den Versionen
Pocki (Diskussion | Beiträge) (if-up und Skript entfernt) |
Erich (Diskussion | Beiträge) |
||
| Zeile 16: | Zeile 16: | ||
down-pre | down-pre | ||
up-restart | up-restart | ||
script-security 2 | script-security 2 | ||
nobind | nobind | ||
| Zeile 34: | Zeile 33: | ||
oder | oder | ||
auth SHA256 | auth SHA256 | ||
Je nachdem, was Dir von den Tunneladmins mitgeteilt worden ist, eventuell noch | |||
comp-lzo | |||
Wir verzichten bei neuen Tunneln im Moment auf Kompression, weil es Probleme mit verschiedenen OpenVPN-Versionen gibt. | |||
2) funkfeuer.secret - wenn ein Key angelegt wurde, wie in 1) beschrieben. | 2) funkfeuer.secret - wenn ein Key angelegt wurde, wie in 1) beschrieben. | ||
Version vom 25. August 2019, 20:44 Uhr
Die allgemeinen Voraussetzungen zum Einrichten eines Tunnels sind in der Übersichtsseite dargestellt. Dieser Artikel geht nur auf die rudimentäre Konfiguration des [[Hardware/EdgeRouter_X-SFP EdgeRouter ein. Update 02/2018: ein EdgeOS-Wizard hierfür ist in Entwicklung: https://github.com/pocki80/ER-wizard-0xFF-OpenVPN2TS
Einrichten des Tunnels
Empfohlen wird, die Konfigurationsdateien und das Skript zuerst auf dem Computer anzulegen, und diese gemeinsam in der Folge per SSH ins Verzeichnis /config/user-data/ zu kopieren. Alternativ über das CLI wie vi anlegen. Wir benötigen:
1) funkfeuer.ovpn mit folgendem Inhalt - die kursiv dargestellten Zeilen musst Du mit jenen Werten befüllen, die Du von den Tunneladmins zugewiesen bekommen hast:
dev vtun0 dev-type tap proto udp remote 78.41.115.16 port [5XXX] up-delay down-pre up-restart script-security 2 nobind ping 10 ping-restart 60 ping-timer-rem fast-io sndbuf 524288 rcvbuf 524288 mute 2 verb 0 secret /config/user-data/funkfeuer.secret cipher none
Sowie
auth none
oder
auth SHA256
Je nachdem, was Dir von den Tunneladmins mitgeteilt worden ist, eventuell noch
comp-lzo
Wir verzichten bei neuen Tunneln im Moment auf Kompression, weil es Probleme mit verschiedenen OpenVPN-Versionen gibt.
2) funkfeuer.secret - wenn ein Key angelegt wurde, wie in 1) beschrieben.
Diese Datei beinhaltet einen individuellen kryptographischen Schlüssel (shared key), der sicherstellt, dass der Tunnel nur von jenen Clients genutzt werden kann, denen er auch tatsächlich zugewiesen wurde. Das soll verhindern, dass ein Tunnel missbräuchlich oder versehentlich mehrfach genützt wird. Diesen Schlüssel erhältst Du per E-Mail und Du musst ihn lediglich in dieser Datei speichern.
3) Folgende Config am EdgeRouter vornehmen (lokalen Gateway für Static-Route entsprechend ändern)
set interfaces bridge br9 address 78.41.000.000/32 set interfaces bridge br9 aging 300 set interfaces bridge br9 bridged-conntrack disable set interfaces bridge br9 description TUNNEL set interfaces bridge br9 hello-time 2 set interfaces bridge br9 max-age 20 set interfaces bridge br9 priority 32768 set interfaces bridge br9 stp false commit set protocols static route 78.41.115.16/32 next-hop 192.168.0.1 description 'TunnelServer via ISP' set interfaces openvpn vtun0 config-file /config/user-data/funkfeuer.ovpn commit save
4) Im OLSRd_V1 Wizard für das Interface br9 für OLSR aktivieren. Mode "mesh" kann man bei bedarf auf "silent" umstellen, um Bandbreite zu sparen. Das geht aber nur, wenn der VON-Router keine weiteren OLSR-Router "hinter sich" hat: diese sind dann nur erreichbar, wenn es einen weitern Pfad (übers Mesh-Netz) bis um Tunnelserver gibt.