Zerties Area Network: Unterschied zwischen den Versionen
Stesie (Diskussion | Beiträge) (Seite importiert.) |
(kein Unterschied)
|
Version vom 27. März 2009, 20:33 Uhr
ja, wir bauen uns ein ZAN, das soll fuer Zerties Area Network stehen.
Ziel von dem Ganzen: wir wollen probieren, ob es lustig ist, wenn die Rechner aller (oder zumindest einiger) Zerties in einem groszen LAN zusammengeschaltet sind. Man muss sich das so vorstellen, dass der Spielplatz ein groszer Switch ist und da alle ihren eigenen Switch (ueber OpenVPN getunnelt) dort einstecken.
Lokal muss jeder auf seinem Gateway eine Bridge einrichten, die das tap0-Device von OpenVPN enthaelt und alle Interfaces, die ins ZAN sollen.
OpenVPN Config
client proto udp remote spielplatz.metafnord.de 4444 resolv-retry infinite nobind dev tap0 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/ovpn-stesie.crt key /etc/openvpn/keys/ovpn-stesie.nopass.key port 4444 comp-lzo persist-tun persist-key verb 3 tun-mtu 1500 fragment 1300 mssfix keepalive 10 120 tls-remote spielplatz.metafnord.de
der Pfad zu den Keys muss natuerlich auf einen eigenen Zertifikatssatz zeigen; der Key muss von der 3rd-generation zerties.org CA unterschrieben sein, ... die alten Zertifikate gehen dank stesie's Einsatz (er hat die alten CA-Keys geloescht) nicht mehr (:rolleyes:)
Starten kann man das dann so:
if ! brctl show | grep -q tap0; then
openvpn --mktun --dev tap0
brctl addif br-lan tap0
ifconfig tap0 0.0.0.0 promisc up
fi
openvpn --config /etc/openvpn/client.conf
oder in der /etc/network/interfaces
auto br0
iface br0 inet static
address 192.168.7.1
network 192.168.7.0
netmask 255.255.0.0
bridge_ports eth0 tap0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off
pre-up openvpn --mktun --dev tap0
up ifconfig tap0 0.0.0.0 promisc up
post-up echo 0 > /proc/sys/net/bridge/bridge-nf-filter-pppoe-tagged
IP-Adressen kann sich jeder einfach per DHCP holen, sobald er im ZAN ist. Auf dem Spielplatz laeuft ein DHCP-Server, der aus 192.168.128.0/17 Adressen vergibt. Sollte also ein Weilchen reichen.
Warum der Router Advertising Daemon auf dem Spielplatz seinen Zweck noch nicht erfuellt, ist unklar.
Statische IP-Adressen:
- 192.168.99.1 gehoert dem Spielplatz
- 192.168.99.2 road warrior stesie
- 192.168.99.3 road warrior momo
- 192.168.99.4 road warrior didi
- 192.168.99.5 doeiwo road warrior doc
- 192.168.99.6 tlm desktop doc
- 192.168.99.7 docbook road warrior doc
- 192.168.99.8 suicide road warrior burned
- 192.168.99.9 ronbn road warrior jochen
- 192.168.5.0/24 stesie's rfm12 kram
- 192.168.7.0/24 gehoeren alle zum Jochen (Bastelkeller)
- 192.168.10.0/24 auch zum Jochen (Laden)
- 192.168.23.0/24 gehoeren alle zu stesie
- 192.168.100.0/24 gehoeren zu stettberger
Roady ...
proto udp remote spielplatz.metafnord.de 4444 resolv-retry infinite nobind dev tap ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/vpn-travelling-stesie.crt key /etc/openvpn/keys/vpn-travelling-stesie.nopass.key port 4444 comp-lzo persist-tun persist-key verb 3 float tun-mtu 1500 fragment 1300 mssfix keepalive 10 120 redirect-gateway # statische ip konfiguration: ifconfig 192.168.99.2 255.255.0.0 route-gateway 192.168.99.1 #automatisches resolv.conf update script-security 2 dhcp-option DNS 192.168.99.1 dhcp-option DOMAIN zo up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf # das fuer openvpn 2.1 aktivieren: tls-client # das fuer openvpn 2.0 verwenden: #tls-remote spielplatz.metafnord.de
... obiges konfiguriert eine statische IP-Adresse. Alternativ kann der IP/Routing-Part auch weg gelassen werden und via DHCP eine IP bezogen werden. Das hat aber den Nachteil, dass man sich um's Routing selbst kuemmern muss.
