Hallo Hannes, ich bedanke mich für die ausführliche Beschreibung. Ich habe mich dadurch mehr mit OpenVPN beschäftigt und auch ein Problem lösen können: Mesh zwischen 10.22.254.158 und 10.22.254.161 durch ein NAT-Gateway. Hier ist der Blog-Post: http://niccokunzmann.github.io/blog/2018-03-15/olsr-meshing-durch-nat-openwrt-to-openwrt-tunnel-berliner-freifunk-firmware
Dankesehr! Viele Grüße, Nicco On 03/13/2018 05:09 PM, Hannes Fuchs wrote: > Hallo, > > *dezentrales VPN* > Ein wirklich dezentrales VPN würde bedeuten, das am besten der Router > selbst Client sowie Server ist. Dafür bietet sich Tinc VPN [1] an. Tinc > kommt z.B. bei dem IC-VPN [2] zum Einsatz. Bei einer wirklich > dezentralen Lösung gibt es aber mehrere Probleme: > - NAT (hier könnte IPv6 Abhilfe schaffen) > - Austausch von IP-Adressen/FQDNs (evtl. dyndns -> Zentral DNS) > - Austausch von Pubkeys untereinander (evtl. TXT Record -> Zentral DNS) > Im Idealfall hätte dann jeder Router zu jeden anderen eine VPN > Verbindung. Also alleine für VPN über 100 Stück, wobei sich dies auf > Routern mit Uplink beschränken sollte. > > *Anwendungsfall: Firmennetz* > Elegant wäre natürlich hier ein VLAN, um die FF KK vom restlichen Netz > zu trennen. Hier einen extra VPN (meinetwegen auch im Firmennetz) > aufzusetzen sehe ich als zu großen Overhead. Eine Alternativ könnte das > schon erwähnte Tinc sein. Besser sind vermutlich einfache > Tunnel-Protokolle wie z.B. IPIP [3] oder auch gretap [4]. Siehe auch > "Performance of tunneling methods in OpenWRT" [5], dort sind auch > Konfigurationsbeispiele zu finden. > In Firmennetzen wird auch gerne das Private 10.0.0.0/8 (oder ein Teil > davon) verwendet. Da kommt es schnell zu Überschneidungen mit dem > FF-Netz, was wiederum Probleme bereitet. > > *Potsdam-VPN* > Wie ein Potsdam-VPN Server eingerichtet wird ist im Wiki [6] zu finden. > > > Ein wirklich dezentraler VPN käme den Freifunk-Gedanken am nächsten, > aber das haben wir auch schön öfters beim Treffen "durchgekaut" und auch > wegen der oben genannten Problem und Komplexität verworfen. Man kommt > einfach bei so etwas nicht ohne zentrale Instanz oder manuellen > Konfigurationsaufwand aus. > > > [1] https://tinc-vpn.org/ > [2] https://wiki.freifunk.net/IC-VPN > [3] https://tools.ietf.org/html/rfc2003 > [4] > https://openwrt.org/docs/guide-user/network/tunneling_interface_protocols?s[]=gretap#protocol_gretap_ethernet_gre_tunnel_over_ipv4 > [5] > https://justus.berlin/2016/02/performance-of-tunneling-methods-in-openwrt/ > [6] https://wiki.freifunk-potsdam.de/Potsdam-VPN#Server > > Grüße > Hannes > > Am 13.03.2018 um 15:29 schrieb Nicco Kunzmann (gmx): >> Hallo, >> >> ich habe mal einen Entwurf erstellt, in dem ich ein dezentrales VPN für >> Potsdam vorschlage. >> https://github.com/niccokunzmann/decentral-community-vpn >> Mein einfacher Use-Case wäre, dass ich z.B. Freifunk-Meshing in >> Firmennetzen erlauben möchte, >> in denen OLSR nicht so leicht meshen kann - verschiedene Subnetze und >> Gateways. >> >> Wer mag, kann mitmachen. >> Wo ich Hilfe bräuchte: Wisst ihr noch, wie ihr das Potsdam-VPN >> eingerichtet habt? >> Ich würde diesen Server gerne dazu kompatibel haben. >> >> Viele Grüße, >> Nicco >> >> _______________________________________________ >> Users mailing list >> Users@lists.freifunk-potsdam.de >> https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users >> > > > > _______________________________________________ > Users mailing list > Users@lists.freifunk-potsdam.de > https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users
_______________________________________________ Users mailing list Users@lists.freifunk-potsdam.de https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users