Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- anleitungen:ssh_zugang [08.08.2020 - 10:41] – angelegt FFES Community Thommie
+++ anleitungen:ssh_zugang [08.05.2023 - 19:54] (aktuell) – Wilhelm
@@ Zeile 1: / Zeile 1: @@
 ====== Zugriff auf den Router von "innen und "aussen" ======
-Das Freifunk Netz ist aus SIcht des Internet eine geschlossene "Netzblase" und nicht ohne Weiteres von außen erreichbar. Daher gibt es mehrere Wege, um zu Administrationszwecken auf einen Freifunk Router zuzugreifen.
+Das Freifunk Netz ist aus Sicht des Internets von IPv4 eine "geschlossene Netzblase" und nur mit IPv6 gut von außen erreichbar. Es gibt mehrere Wege bzw. Umwege, um zu Administrationszwecken auf einen Freifunk Router zuzugreifen.
-  * lokaler Zugang per Konfigurationsmodus: wenn man vor dem Gerät sitzt
+  * lokaler Zugang per Konfigurationsmodus: wenn man vor dem Gerät sitzt. Dies wird [[:anleitungen:config_mode:start|hier]] erklärt.
-  * ssh Zugang aus dem Freifunk Netz: eigener Rechner muss auch im Freifunk Netz sein
+  * ssh-Zugang aus dem Freifunk Netz: der eigene Rechner muss auch im Freifunk-Netz sein
-  * ssh Zugang aus dem Internet: administrativer OpenVPN Zugang
+  * ssh-Zugang aus dem Internet mit IPv6: der eigene Internet-Router muss IPv6 haben.
+  * ssh-Zugang aus dem Internet mit IPv4: administrativer OpenVPN Zugang
-===== ssh Zugang aus dem Freifunk Netz =====
+===== ssh-Zugang aus dem Freifunk Netz und auch von außen bei IPv6 =====
-xxx
+  * In Config-Mode unter "Fernzugriff" einen SSH-Key hinterlegen
+  * IPv6-Adresse des Node mit der [[https://map.freifunk-stuttgart.de/#!/en/map|Karte]] herausfinden (alle Adressen die mit''2...'' anfangen)
+  * Per SSH verbinden, z.B. unter Linux mit <code>ssh 2001:4ba0:... -l root</code>
+  * gegebenenfalls beim ersten Verbinden den Fingerprint bestätigen
-===== ssh Zugang aus dem Internet =====
-<moz-quote-pre>
+===== ssh Zugang aus dem Internet bei IPv4 =====
-ich habe gerade testweise für Segment 1 bis 24 je einen OpenVPN Server
-auf gw05n03 aufgesetzt.
+Für den Zugang aus dem Internet, wenn du nur IPv4 kannst, gibt es einen speziellen OpenVPN Server. Mit diesem bekommt der OpenVPN-Client Zugriff auf das Clientnetz des betreffenden Freifunk Segmentes, die lokale Adresse kommt via dhcp. Die Authentifizierung erfolgt über eine beliebige Username/Passwort Kombination. Der OpenVPN-Client verhält sich dann Netz-technisch wie ein normaler Freifunk Client (Layer2 Bridging). Das benutzte Segment wird über den Port des OpenVPN-Servers gesteuert:
-Mit diesem bekommt der OpenVPN-Client Zugriff auf das Clientnetz des
-betreffenden Segmentes, die lokale Adresse kommt via dhcp.
+//Port 2000 + Segment → Port 2008 → Segment 8.//
-Die Authentifizierung erfolgt über Username/Passwort. Beides ist
-beliebig. Der OpenVPN-Client kann dann alles was ein normaler Client
-auch kann, es ist Layer2/Bridging.
-Das Segment wird über den Port des OpenVPN-Servers gesteuert:
-+Segment -> 2008 -> Segment 8.
 Eine OpenVPN Konfiguration hängt an, in dieser muss die Zeile
-  remote gw05n03.gw.freifunk-stuttgart.de 2008
+<code>
-durch eine mit dem passenden Port getauscht werden, oder man legt sich
-Routen von Hand.
+remote gw05n03.gw.freifunk-stuttgart.de 2008
-Das ganze läuft testweise und kann jederzeit wieder aus sein. Sollte ich
-es absichtlich ausmachen sage ich hier Bescheid.
+</code>
-Rückmeldungen sind willkommen.
-</moz-quote-pre>
+durch eine mit dem passenden Port getauscht werden, oder man legt sich Routen von Hand.
+==== Beispielkonfiguration OpenVPN ====
+(funktioniert nicht mit OpenVPN unter WIndows und NetworkManager unter Linux)
+<code>
+client
+dev ffs08
+dev-type tap
+proto udp
+remote gw05n03.gw.freifunk-stuttgart.de 2008
+remote-random
+resolv-retry infinite
+nobind
+user nobody
+group nogroup
+persist-key
+persist-tun
+;http-proxy-retry # retry on connection failures
+;http-proxy [proxy server] [proxy port #]
+mute-replay-warnings
+<ca>
+-----BEGIN CERTIFICATE-----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+-----END CERTIFICATE-----
+</ca>
+remote-cert-tls server
+cipher AES-256-CBC
+verb 3
+mute 20
+auth-user-pass
+tun-mtu 1308
+tun-mtu-extra 92
+</code>