vpn

VPN als Dienst im Weimarnetz

Im Weimarnetz wird VPN für zwei Zwecke genutzt: Die Verbindung von Meshwolken, die sich durch die Luft nicht sehen können und um die DSL-Betreiber aus dem Fokus der Abmahnanwälte zu nehmen. Sollte die Störerhaftung fallen, geht es nur noch um die Verbindung der Wolken untereinander. Jahrelang haben wir das gesamte Netz mit einem (zentralen) Server betrieben. Ergebnis langer Überlegungen ist ein dynamischeres, offeneres Konzept, das wir nun umzusetzen wollen.

Was möchten wir erreichen?

  • Jede_r soll einen Server im Netz bereitstellen können, ohne die Konfiguration anderer Server oder Router ändern zu müssen.
  • Server sollen dezentral und organisatorisch unabhängig voneinander arbeiten. Wir wollen nicht von Einzelnen abhängig sein.
  • Lastverteilung und Ausfallsicherheit über mehrere Server
  • die Bereitstellung eines VPN-Servers soll im besten Fall scriptbasiert möglich sein
  • das Hinzufügen oder Austauschen von Servern funktioniert ohne, dass wir die Firmware auf den Routern anpassen müssen. Das Konzept soll möglichst wenig Dienste auf Server und Router erfordern (idealerweise nichts, was über OLSR und VPN hinausgeht, Internet setzen wir mal voraus)

Wie funktioniert es?

Server

Auf Serverseite benötigen wir vtun als VPN-Software und OLSR als Routing Daemon. Beides kompilieren wir selbst, da die Pakete in den Linuxdistributionen hoffnungslos veraltet sind (insbesondere OLSR) oder nicht zu unseren Anforderungen passen (vtun). VTUN kann in verschiedenen Varianten angeboten werden, die Parameter sind (de)aktivierte Verschlüsselung oder Kompression. Die unterschiedlichen Ausprägungen von VTUN müssen auf verschiedenen TCP-Ports lauschen. Weimarnetzrouter laufen standardmäßig ohne Verschlüsselung und ohne Kompression.

VTUN wird auf einem Server so vorkonfiguriert, dass sich jeder Knotennummer (=Abstraktion der IP-Konfiguration) aus dem Weimarnetz mit dem Server verbinden kann. Der OLSR-Dienst startet bei einem noch unbekannten Router kurz neu, um diesen in die Konfiguration aufzunehmen. Der Clou ist, dass sich der VPN-Server - selbst ein Knotenpunkt im Mesh - per OLSR-Service-Plugin im Netzwerk als Dienst ankündigt und so auch andere Router von diesem Dienst erfahren. In dieser Meldung teilt der Server Verbindungsdaten mit, z.B. die Ports, die MTU oder die Anzahl der bereits verbundenen Router.

Untereinander können sich die Server ebenfalls verbinden und das Mesh erweitern. So wird vermieden, dass Inseln entstehen.

Router

Jeder Router pflegt eine aktuelle Liste angekündigter VPN-Dienste. Die ist fest gespeichert, um einen Neustart zu überleben. Auch im Fall, dass andere Meshnachbarn fehlen, sind trotzdem Informationen zu verfügbaren Diensten da und eine Verbindung kann initiiert werden.

Stellt der Router fest, dass er selbst über Zugang zum Internet verfügt wird versucht, eine VPN-Verbindung zu starten. In einem kurzen Test wird der am besten erreichbare Server ausgewählt (z.B. Ping-Zeit, Anzahl Clients) und eine Verbindung mit diesem gestartet. Fertig.

Wie sieht es heute aus?

Wir haben inzwschen 3 laufende Server. Einen stellt uns Ufo aus Leipzig zur Verfügung, Basti betreibt einen in Chicago und einen in Düsseldorf. Einer unserer Mitstreiter baut gerade einen Server in der Schweiz auf, den wir dafür auch nutzen dürfen.

Aktuell laufen die Arbeiten an der Integration der Funktionen in unsere Firmware, die ersten Tests sehen vielversprechend aus.

Beitrag über Virtual Private Networks mit freifunkbezug

Ernst Ahlers hat auf heise Netze einen Beitrag ueber die Moeglichkeiten sich sicherer in Funknetzen zu bewegen geschrieben: "Hotspot, aber sicher: Funknetze unterwegs benutzen ohne Abhörgefahr"

Über WLAN-Hotspots stolpert man nicht nur in den Zentren größerer Städte, sondern auch auf der Ferieninsel immer häufiger. Da juckt es den Netzsüchtigen, sein Urlaubs-Blog mit neuen Fotos zu bestücken, E-Mail abzuholen und per VoIP-Anruf zu checken, ob der in Pflege gegebene Nymphensittich brav ist. Dafür, dass private Daten trotz des unverschlüsselten Funknetzes auch privat bleiben, sorgt ein VPN-Tunnel. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher--/artikel/109761)

Erfreulicherweise wird Freifunk ebenfalls erwaehnt:

Teilnehmer eines Hotspot-Netzes auf Gegenseitigkeit wie Fon oder Freifunk haben sogar Gratis-Zugang, wenn sie mit etwas Glück ein anderes Mitglied derselben Community finden. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher--/artikel/109761)

Bei Freifunk handelt es sich zwar nicht um ein reines Hotspot-Netz, da Teilnehmer auch direkt miteinander durch Meshnetze verbunden sind, richtig ist dennoch, dass viele Internet ueber ihre Router zur Verfuegung stellen.

Als ersten Schritt empfiehlt Ehlers zum Selbstschutz den Emailverkehr auf sichere Dienste zu nutzen und fuer den Login stets die sichere Datenuebertragung mittels "https://" zu nutzen. Besser ist jedoch gleich ein Virtual Private Network (VPN) einzurichten. Dies schützt den kompletten Internetverkehr.


Mit VPN surft man über einen verschlüsselten Kanal zwischen Notebook und VPN-Gateway, der Lauschern keine Chance lässt. (Image: heise.de)

VPNs lassen sich unter Windows, Mac OS X und Linux leicht einrichten ... VPNs wurden ursprünglich entwickelt, um Firmen-LANs an mehreren Standorten über öffentliche Netze (WAN, Wide Area Networks) wie das Internet zu koppeln. Später kam das Anbinden von Heimarbeitern ans Firmennetz hinzu. Damit dabei die WAN- und Internet-Provider keinen Einblick bekommen, verschlüsseln VPNs die übertragenen Daten. Deshalb drängt sich die Technik geradezu auf, um mobilen Surfern im Hotspot ihre Privatsphäre zurückzugeben. Wenn man selbst keinen VPN-Server betreibt, stellen VPN-Anbieter eine passende Gegenstelle bereit, die statt ins Firmen-LAN ins Internet führt. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher--/artikel/109761)

In dem Beitrag wird erklaert, wie man ein VPN einrichten kann und welche Anbieter es gibt. Abschliessend gibt es noch Tipps, wofuer die virtuellen privaten Netzwerke noch nuetzlich sein koennen.

Auch abseits von WLAN-Hotspots kann ein VPN-Zugang nützlich sein, beispielsweise wenn man Geolocation-Dienste umgehen möchte, um US-Webseiten im Original zu sehen, oder Datenschnüfflern eine lange Nase drehen will. Doch das leichte Aufsetzen eines VPN sollte nicht zu Leichtsinn verleiten: Eine Firewall, aktiver Virenschutz und gesundes Misstrauen gehören nach wie vor zur Sicherheits-Grundausstattung, denn gegen Trojaner schützt auch ein VPN nicht. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher--/artikel/109761)

Auf dem Weg zum überregionalen Freifunk-Netz

Viele Freifunker kennen das: Man ist der erste und hat keinen Kontakt zur „großen Wolke“. Auch wenn sich einige Freunde in der Umgebung mit anschließen, solange kein Kontakt zur großen Wolke besteht, bleibt das Freifunk-Erlebnis doch ziemlich unspektakulär. Warum also den ganzen Aufwand betreiben und mitmachen? Warum nicht warten, bis sich die Lücke zu zum lokalen Netz schließt?

Um verstreute Netze – kleine und große miteinander zu verbinden, gibt es nun das FreifunkVPN-Projekt. Denn, mittels VPN-Technik ergibt sich die Möglichkeit einzelne Wolken über das Internet mit einem Tunnel zu verbinden und so die Freifunkwolken in einer Stadt und sogar die Netze verschiedener Städte in einem gemeinsamen überregionalen Freifunk-Netz zu vereinen. Dies ermöglicht nun auch den Freifunkern in kleinen Netzen mit größeren Freifunk-Wolken in Kontakt zu treten und so direkt mit entfernten Teilnehmern zu kommunizieren -  ein starker Motivationsschub. Die Frage des Mitmachens wird klar mit „Ja, so schnell wie möglich“ beantwortet.

Auf der WE.FUNK06 ist die Idee nun konkret vorangetrieben worden. Weimar, Leipzig und Berlin setzten sich zusammen und überlegten erste Schritte. Ein Jahr zuvor hatte man an gleicher Stelle erste Überlegungen getroffen, nun konnte die zwischenzeitliche, sehr instabile Kopplung (mit viel NAT gewürzt) deaktiviert werden, mit einer skalierbaren Lösung in Griffweite. Die prototypische Einrichtung der neuen Verbindung folgte noch am selben Wochenende.

Möglich soll die dauerhafte Kopplung der Netze durch die Installation von so genannten VPN’s – Virtuellen Privaten Netzwerken werden. Ein Virtual Private Network ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Genauso wie einzelne Freifunk-Router in einem lokalen Netz können die „Freifunk-Wolken“ der verschiedenen Städte verstanden werden. Diese können dann durch Links miteinander vernetzt werden. Nicht nur ein stadtweites Netz, sondern ein großes Freifunknetz ist das Ergebnis. Die freien Netze von Weimar und Leipzig konnten bereits experimentell über eine Kabelverbindung per DSL miteinander verbunden werden. Nun soll das Verbund-Experiment dauerhaft weitergeführt werden.

Auch bisher konnte sich theoretisch jeder mit entfernten Netzen über Tunnel und VPN verbinden. Dies verlangte jedoch spezifische Kenntnisse und einen nicht unbeträchtlichen Konfigurationsaufwand. Indem wir einige Server der verschiedenen Freifunk-Netze dauerhaft miteinander koppeln, bestehen die Verbindungen zwischen den Netzen ohne dass Teilnehmer eines Netzes ihren Computer konfigurieren müssen, um gleichzeitig in verschiedenen Netzen präsent zu sein. Die Konfiguration von VPN-Verbindungen auf einzelnen Rechnern zum Beispiel für Audiostreaming entfällt hierdurch. Die Freifunker hoffen nun, dass sie bald in der Lage sein werden die notwendigen Rechnerkapazitäten und DSL-Verbindungen zur Verfügung zu haben, um das Experiment dauerhaft fortzuführen.

Ein detailliertes Bild der Netze und des Verkoppelungsexperiments Weimar-Leipzig gibt es auf http://wiki.freifunk-leipzig.public-ip.org/index.php/NetzkopplungWeimarLeipzig.

(Artikeltext u.a. auf Basis von Egmont)

Syndicate content