Benutzer-Werkzeuge


    Warning: Undefined array key "REMOTE_USER" in /usr/local/www/wiki.freifunk-bielefeld.de/lib/tpl/starter/main.php on line 62
  • Admin

  • Warning: Undefined array key "REMOTE_USER" in /usr/local/www/wiki.freifunk-bielefeld.de/lib/tpl/starter/tpl_functions.php on line 50

    Warning: Undefined array key "REMOTE_USER" in /usr/local/www/wiki.freifunk-bielefeld.de/lib/tpl/starter/tpl_functions.php on line 77
  • Registrieren

Webseiten-Werkzeuge


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
openvpn_gateway [2013/11/26 23:23] mwarningopenvpn_gateway [2014/10/07 09:04] – [DNS-Forwading] mwarning
Zeile 4: Zeile 4:
 Hier eine Liste von Kandidaten: https://torrentfreak.com/vpn-services-that-take-your-anonymity-seriously-2013-edition-130302/ Hier eine Liste von Kandidaten: https://torrentfreak.com/vpn-services-that-take-your-anonymity-seriously-2013-edition-130302/
  
-**Installation von OpenVPN**+====== Installation von OpenVPN ======
  
   apt-get install openvpn   apt-get install openvpn
Zeile 18: Zeile 18:
  
 **Mullvad** **Mullvad**
 +
 Die Konfiguration für OpenVPN kommt vom VPN-Anbieter in Form einer komprimierten Die Konfiguration für OpenVPN kommt vom VPN-Anbieter in Form einer komprimierten
 Datei die nach /etc/openvpn entpackt wird: Datei die nach /etc/openvpn entpackt wird:
Zeile 80: Zeile 81:
      
   IP=$4   IP=$4
 +  mesh_interface=br-mesh
      
   BASE="$(echo $IP | cut -d. -f1-3)"   BASE="$(echo $IP | cut -d. -f1-3)"
Zeile 102: Zeile 104:
   ip route add 0.0.0.0/1 via $GW table 100 metric 100   ip route add 0.0.0.0/1 via $GW table 100 metric 100
   ip route add 128.0.0.0/1 via $GW table 100 metric 100   ip route add 128.0.0.0/1 via $GW table 100 metric 100
 +  
 +  ip rule add dev "$mesh_interface" table vpn prio 32765
 +  
 +  echo 1 > /proc/sys/net/ipv4/ip_forward
 +  
 +  iptables --append FORWARD --in-interface "$mesh_interface" -j ACCEPT
 +  #Enable MASQUERADE to function as a NAT router
 +  iptables --table nat --append POSTROUTING --out-interface "$vpn_interface" -j MASQUERADE
      
   exit 0   exit 0
Zeile 112: Zeile 122:
 Zugriff auf dem Server per ssh aus dem Freifunknetz (über bat0) ist weiterhin möglich. Zugriff auf dem Server per ssh aus dem Freifunknetz (über bat0) ist weiterhin möglich.
 Um den Zugriff zu verhindern bitte "iptables -A INPUT -p tcp -i bat0 --dport 22 -j DROP" einfügen. Um den Zugriff zu verhindern bitte "iptables -A INPUT -p tcp -i bat0 --dport 22 -j DROP" einfügen.
 +
 +====== DNS-Forwading ======
 +Jedes Gateway muss auch DNS-Anfragen auflösen können. Dazu gehören die im Internet bekannten
 +sowie Freifunk-Internet TLDs (Top Level Domains).
 +Dafür bietet sich dnsmasq an:
 +
 +   apt-get install dnsmasq
 +
 +/etc/dnsmasq.conf:
 +  listen-address=10.29.132.192 #FF-Interne Adresse des Gateways
 +  server=/dn42/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/22.172.in-addr.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/23.172.in-addr.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffhl/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/hack/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffc/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffki/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffhh/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffhb/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/196.10.in-addr.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/c.2.f.0.9.1.1.5.f.2.d.f.ip6.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/ffbi/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/29.10.in-addr.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +  server=/0.0.0.1.b.f.f.0.a.7.1.f.e.d.f.ip6.arpa/fdef:17a0:ffb1:0:50e2:8fff:fe0a:c198
 +
 + **TODO:** Diese Konfiguration leak DNS-request direkt ins Internet anstatt über das VPN!