VPN als Dienst im Weimarnetz

Im Weimarnetz wird VPN für zwei Zwecke genutzt: Die Verbindung von Meshwolken, die sich durch die Luft nicht sehen können und um die DSL-Betreiber aus dem Fokus der Abmahnanwälte zu nehmen. Sollte die Störerhaftung fallen, geht es nur noch um die Verbindung der Wolken untereinander. Jahrelang haben wir das gesamte Netz mit einem (zentralen) Server betrieben. Ergebnis langer Überlegungen ist ein dynamischeres, offeneres Konzept, das wir nun umzusetzen wollen.

Was möchten wir erreichen?

  • Jede_r soll einen Server im Netz bereitstellen können, ohne die Konfiguration anderer Server oder Router ändern zu müssen.
  • Server sollen dezentral und organisatorisch unabhängig voneinander arbeiten. Wir wollen nicht von Einzelnen abhängig sein.
  • Lastverteilung und Ausfallsicherheit über mehrere Server
  • die Bereitstellung eines VPN-Servers soll im besten Fall scriptbasiert möglich sein
  • das Hinzufügen oder Austauschen von Servern funktioniert ohne, dass wir die Firmware auf den Routern anpassen müssen. Das Konzept soll möglichst wenig Dienste auf Server und Router erfordern (idealerweise nichts, was über OLSR und VPN hinausgeht, Internet setzen wir mal voraus)

Wie funktioniert es?

Server

Auf Serverseite benötigen wir vtun als VPN-Software und OLSR als Routing Daemon. Beides kompilieren wir selbst, da die Pakete in den Linuxdistributionen hoffnungslos veraltet sind (insbesondere OLSR) oder nicht zu unseren Anforderungen passen (vtun). VTUN kann in verschiedenen Varianten angeboten werden, die Parameter sind (de)aktivierte Verschlüsselung oder Kompression. Die unterschiedlichen Ausprägungen von VTUN müssen auf verschiedenen TCP-Ports lauschen. Weimarnetzrouter laufen standardmäßig ohne Verschlüsselung und ohne Kompression.

VTUN wird auf einem Server so vorkonfiguriert, dass sich jeder Knotennummer (=Abstraktion der IP-Konfiguration) aus dem Weimarnetz mit dem Server verbinden kann. Der OLSR-Dienst startet bei einem noch unbekannten Router kurz neu, um diesen in die Konfiguration aufzunehmen. Der Clou ist, dass sich der VPN-Server – selbst ein Knotenpunkt im Mesh – per OLSR-Service-Plugin im Netzwerk als Dienst ankündigt und so auch andere Router von diesem Dienst erfahren. In dieser Meldung teilt der Server Verbindungsdaten mit, z.B. die Ports, die MTU oder die Anzahl der bereits verbundenen Router.

Untereinander können sich die Server ebenfalls verbinden und das Mesh erweitern. So wird vermieden, dass Inseln entstehen.

Router

Jeder Router pflegt eine aktuelle Liste angekündigter VPN-Dienste. Die ist fest gespeichert, um einen Neustart zu überleben. Auch im Fall, dass andere Meshnachbarn fehlen, sind trotzdem Informationen zu verfügbaren Diensten da und eine Verbindung kann initiiert werden.

Stellt der Router fest, dass er selbst über Zugang zum Internet verfügt wird versucht, eine VPN-Verbindung zu starten. In einem kurzen Test wird der am besten erreichbare Server ausgewählt (z.B. Ping-Zeit, Anzahl Clients) und eine Verbindung mit diesem gestartet. Fertig.

Wie sieht es heute aus?

Wir haben inzwschen 3 laufende Server. Einen stellt uns Ufo aus Leipzig zur Verfügung, Basti betreibt einen in Chicago und einen in Düsseldorf. Einer unserer Mitstreiter baut gerade einen Server in der Schweiz auf, den wir dafür auch nutzen dürfen.

Aktuell laufen die Arbeiten an der Integration der Funktionen in unsere Firmware, die ersten Tests sehen vielversprechend aus.

Beitrag über Virtual Private Networks mit freifunkbezug

Ernst Ahlers hat auf heise Netze einen Beitrag ueber die Moeglichkeiten sich sicherer in Funknetzen zu bewegen geschrieben: "Hotspot, aber sicher: Funknetze unterwegs benutzen ohne Abhörgefahr"

Über WLAN-Hotspots stolpert man nicht nur in den Zentren größerer Städte, sondern auch auf der Ferieninsel immer häufiger. Da juckt es den Netzsüchtigen, sein Urlaubs-Blog mit neuen Fotos zu bestücken, E-Mail abzuholen und per VoIP-Anruf zu checken, ob der in Pflege gegebene Nymphensittich brav ist. Dafür, dass private Daten trotz des unverschlüsselten Funknetzes auch privat bleiben, sorgt ein VPN-Tunnel. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher–/artikel/109761)

Erfreulicherweise wird Freifunk ebenfalls erwaehnt:

Teilnehmer eines Hotspot-Netzes auf Gegenseitigkeit wie Fon oder
Freifunk haben sogar Gratis-Zugang, wenn sie mit etwas Glück ein
anderes Mitglied derselben Community finden. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher–/artikel/109761)

Bei Freifunk handelt es sich zwar nicht um ein reines Hotspot-Netz, da Teilnehmer auch direkt miteinander durch Meshnetze verbunden sind, richtig ist dennoch, dass viele Internet ueber ihre Router zur Verfuegung stellen.

Als ersten Schritt empfiehlt Ehlers zum Selbstschutz den Emailverkehr auf sichere Dienste zu nutzen und fuer den Login stets die sichere Datenuebertragung mittels "https://" zu nutzen. Besser ist jedoch gleich ein Virtual Private Network (VPN)
einzurichten. Dies schützt den kompletten Internetverkehr.


Mit VPN surft man über einen verschlüsselten Kanal zwischen Notebook und VPN-Gateway, der Lauschern keine Chance lässt. (Image: heise.de)

VPNs lassen
sich unter Windows, Mac OS X und Linux leicht einrichten … VPNs wurden ursprünglich entwickelt, um Firmen-LANs an mehreren Standorten über öffentliche Netze (WAN,
Wide Area Networks) wie das Internet zu koppeln. Später kam das
Anbinden von Heimarbeitern ans Firmennetz hinzu. Damit dabei die WAN-
und Internet-Provider keinen Einblick bekommen, verschlüsseln VPNs die
übertragenen Daten. Deshalb drängt sich die Technik geradezu auf, um
mobilen Surfern im Hotspot ihre Privatsphäre zurückzugeben. Wenn man
selbst keinen VPN-Server betreibt, stellen VPN-Anbieter eine passende
Gegenstelle bereit, die statt ins Firmen-LAN ins Internet führt. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher–/artikel/109761)

In dem Beitrag wird erklaert, wie man ein VPN einrichten kann und welche Anbieter es gibt. Abschliessend gibt es noch Tipps, wofuer die virtuellen privaten Netzwerke noch nuetzlich sein koennen.

Auch abseits von WLAN-Hotspots kann ein VPN-Zugang nützlich sein,
beispielsweise wenn man Geolocation-Dienste umgehen möchte, um
US-Webseiten im Original zu sehen, oder Datenschnüfflern eine lange
Nase drehen will. Doch das leichte Aufsetzen eines VPN sollte nicht zu
Leichtsinn verleiten: Eine Firewall, aktiver Virenschutz und gesundes
Misstrauen gehören nach wie vor zur Sicherheits-Grundausstattung, denn
gegen Trojaner schützt auch ein VPN nicht. (23.06.2008, Ernst Ahlers, http://www.heise.de/netze/Hotspot-aber-sicher–/artikel/109761)

Auf dem Weg zum überregionalen Freifunk-Netz

Viele Freifunker kennen das: Man ist der erste und hat keinen
Kontakt zur „großen Wolke“. Auch wenn sich einige Freunde in der Umgebung mit anschließen,
solange kein Kontakt zur großen Wolke besteht, bleibt das Freifunk-Erlebnis doch
ziemlich unspektakulär. Warum also den ganzen Aufwand betreiben und mitmachen?
Warum nicht warten, bis sich die Lücke zu zum lokalen Netz schließt?

Um verstreute Netze – kleine und große miteinander zu
verbinden, gibt es nun das FreifunkVPN-Projekt. Denn, mittels VPN-Technik ergibt
sich die Möglichkeit einzelne Wolken über das Internet mit einem Tunnel zu
verbinden und so die Freifunkwolken in einer Stadt und sogar die Netze
verschiedener Städte in einem gemeinsamen überregionalen Freifunk-Netz zu
vereinen. Dies ermöglicht nun auch den Freifunkern in kleinen Netzen mit
größeren Freifunk-Wolken in Kontakt zu treten und so direkt mit entfernten
Teilnehmern zu kommunizieren –  ein
starker Motivationsschub. Die Frage des Mitmachens wird klar mit „Ja, so
schnell wie möglich“ beantwortet.

Auf der WE.FUNK06 ist
die Idee nun konkret vorangetrieben worden. Weimar,
Leipzig und Berlin setzten sich zusammen und
überlegten erste Schritte. Ein Jahr zuvor hatte man an gleicher Stelle erste
Überlegungen getroffen, nun konnte die zwischenzeitliche, sehr instabile
Kopplung (mit viel NAT gewürzt) deaktiviert werden, mit einer skalierbaren
Lösung in Griffweite. Die prototypische Einrichtung der neuen Verbindung folgte
noch am selben Wochenende.

Möglich soll die dauerhafte Kopplung der Netze durch die
Installation von so genannten VPN’s – Virtuellen Privaten Netzwerken werden. Ein
Virtual Private Network ist ein Computernetz, das zum Transport privater Daten
ein öffentliches Netz (zum Beispiel das Internet) nutzt. Teilnehmer eines VPN
können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer
selbst müssen hierzu nicht direkt verbunden sein. Genauso wie einzelne
Freifunk-Router in einem lokalen Netz können die „Freifunk-Wolken“ der
verschiedenen Städte verstanden werden. Diese können dann durch Links
miteinander vernetzt werden. Nicht nur ein stadtweites Netz, sondern ein großes
Freifunknetz ist das Ergebnis. Die freien Netze von Weimar und Leipzig konnten
bereits experimentell über eine Kabelverbindung per DSL miteinander verbunden
werden. Nun soll das Verbund-Experiment dauerhaft weitergeführt werden.

Auch bisher konnte sich theoretisch jeder mit entfernten
Netzen über Tunnel und VPN verbinden. Dies verlangte jedoch spezifische Kenntnisse
und einen nicht unbeträchtlichen Konfigurationsaufwand. Indem wir einige Server
der verschiedenen Freifunk-Netze dauerhaft miteinander koppeln, bestehen die
Verbindungen zwischen den Netzen ohne dass Teilnehmer eines Netzes ihren
Computer konfigurieren müssen, um gleichzeitig in verschiedenen Netzen präsent
zu sein. Die Konfiguration von VPN-Verbindungen auf einzelnen Rechnern zum
Beispiel für Audiostreaming entfällt hierdurch. Die Freifunker hoffen nun, dass
sie bald in der Lage sein werden die notwendigen Rechnerkapazitäten und
DSL-Verbindungen zur Verfügung zu haben, um das Experiment dauerhaft
fortzuführen.

Ein detailliertes Bild der Netze und des Verkoppelungsexperiments
Weimar-Leipzig gibt es auf http://wiki.freifunk-leipzig.public-ip.org/index.php/NetzkopplungWeimarLeipzig.

(Artikeltext u.a. auf Basis von Egmont)