Dies ist eine allgemeine Anleitung zur Router-Konfiguration auf OpenWRT-Basis für die Teilnahme am Netz von Freifunk Mainz.

Dieser Prozess umfasst ein paar Schritte:

Router Flashen

Eine grobe Übersicht, wie das flashen vor sich geht findet man hier.

Wir verwenden als Grundlage für die Router das Betriebssystem OpenWRT. Um den Prozess einfacher zu machen, und da der Speicherplatz auf den billigeren Routern sehr begrenzt ist, haben wir vorkompilierte Images im Angebot: Die jeweils aktuelle Version für deinen Router liegt unter images.freifunk-mainz.de.

Alternativ kann dem Router auch ein "normales" OpenWRT verpasst werden, dann muss man jedoch die benötigten Pakete von Hand nachinstallieren:

$ opkg update
$ opkg install kmod-batman-adv tinc

Router einrichten

Nachdem OpenWRT erfolgreich auf den Router geflasht ist, bezieht dieser die IP-Adresse 192.168.1.1. Da bereits ein DHCP Server initial auf den Kisten läuft musst du dir keine eigene IP-Adresse setzen

Passwort setzen

Wie bei OpenWRT üblich, sollte das erste Einloggen per Telnet erfolgen, um das Root-Passwort zu ändern. Windows-Benutzer haben eventuell kein Telnet zur Verfügung. Dann kann auch hier Putty benutzt werden. Als Protokoll dann Telnet wählen

$ telnet 192.168.1.1

$ passwd <enter>
$ > Neues Passwort eingeben: 
$ > Neues Passwort wiederholen: 

Danach ist Telnet auf Port 23 abgeschaltet und künftige Verbindungen nur noch per SSH möglich.

Die weiteren Einlogvorgänge erfolgen dann über SSH als Benutzer root:

$ ssh root@192.168.1.1

oder von einem Windows-PC mittels PUTTY (Download) - Hier Login per IP Adresse und SSH (Port 22). Beim Verbindungsaufbau wird ein Vertrauensschlüssel angezeigt, den man speichern kann.

Benutzer eingeben: "root"
Passwort eingeben: was du oben mit passwd neu gesetzt hattest

Empfehlung: Sicherung der wichtigsten Dateien

Die Praxis zeigt, dass es gut ist, später nochmal einen Blick in die Original-Dateien werfen zu können, wenn es um definierte Hardware Eigenschaften geht. Wer mag legt Kopien an von:

$ mkdir -p /etc/config/originals
$ cp /etc/config/* /etc/config/originals

Die Meldung "omitting directory originals" ignorieren.

• Alternativ: Für ein Backup ohne Fehlermeldung (dafür aber schlimm einzugeben ;)

$ mkdir -p /etc/config/originals/
$ cd /etc/config
$ cp -r `ls -A /etc/config/ | grep -v 'originals'` /etc/config/originals/

Optional auch für Hartgesottene: Bootloader auch sichern: Nicht notwendig, aber wer meint es tun zu müssen, kann auch den Bootloader des Gerätes als Backup sichern und wieder zurück spielen. Nachzulesen bei: Backup des Bootloaders

Netzwerk konfigurieren

Leider unterscheiden sich die Addressierungen der Netzwerkinterfaces der Router je nach Modell und Hardware-Revision. Im folgenden der Anleitung werden die Interfaces als <WAN-IF> und <SWITCH-IF> bezeichnet.

Laden der Datei network in den Editor. Eine Hilfe gibt es: hier

$ vi /etc/config/network

Wenn du dich mit den wichtigsten VI-Befehlen bekannt gemacht hast, solltest du zuerst den wichtigen BEFEHL ":SET NOAI" eingeben. Dieser verhindert, dass eingefügte Blöcke nicht zeilenweise nach rechts verschoben werden.

Einige Teile der Datei müssen jetzt ausgetauscht, andere ergänzt werden.

Gehen wir die Blöcke einfach mal durch:

config interface 'loopback' → Der ganze Block bleibt erhalten

config globals 'globals' → Der ganze Block (2 Zeilen) fliegt raus! (Oder mit # auskommentieren)

An dieser Stelle fügen wir ein: (Bei Putty-Nutzern = Shift-Einfg)

config interface 'vpn'
       option ifname 'freifunk_vpn'
       option mtu '1500'
       option proto 'batadv'
       option mesh 'bat0'

config interface 'mesh'
       option ifname 'adhoc0'
       option mtu '1528'
       option proto 'batadv'
       option mesh 'bat0'

config interface 'lan' → Dieser Block wird gleich entfernt, vorher jedoch die Zeile option ifname suchen und den Namen des Interfaces mit der Angabe in der Tabelle oben vergleichen. Dieser Name ist das <SWITCH-IF>. Block danach löschen. (Oder mit # auskommentieren)

An dieser Stelle einsetzen: Für Router nur mit 2,4 GHz ...

config interface 'freifunk'
       option ifname '<SWITCH-IF> bat0 freifunk_wlan'
       option type 'bridge'
       option proto 'static'
       #  Eure IP-Addresse aus dem bei ipaddr ersetzen (IP-Adresse bekommt ihr über hallo@freifunk-mainz.de)
       option ipaddr  '10.37.X.X'
       option netmask '255.255.0.0'
       option dns     '10.37.4.1'

Für Router mit 2,4 GHz und 5 GHz ...

config interface 'freifunk'
       option ifname '<SWITCH-IF> bat0 freifunk_wlan freifunk_wlan2'
       option type 'bridge'
       option proto 'static'
       #  Eure IP-Addresse aus dem WIKI bei ipaddr ersetzen
       option ipaddr  '10.37.X.X'
       option netmask '255.255.0.0'
       option dns     '10.37.4.1'

config interface 'wan' → Dieser Block bleibt erhalten

config interface 'wan6' → Der ganze Block (3 Zeilen) fliegt raus! (Oder mit # auskommentieren)

config switch... → Diese (beiden) Blöcke bleiben erhalten

Speichern und raus: Bei 'vi' mit ESC :wq

DNS Ausschalten

DNS und DHCP abschalten durch einmaliges Absetzen des folgenden Befehls, damit keine IP-Adressen vom Router selbst verteilt werden:

$ /etc/init.d/dnsmasq disable

WLAN konfigurieren

Laden der Datei wireless in den Editor. Eine Hilfe für den vi-editor gibt es: hier

$ vi /etc/config/wireless

Der Inhalt wird modifiziert und ergänzt. Gehen wir wieder die Blöcke durch

config wifi-device radio0 → Dieser Block bleibt erhalten. Bei dieser Zeile prüfen, ob Kanal 11 eingestellt ist: option channel 11.

Danach das WLAN einschalten (im selben Block config wifi-device radio0):

option disabled 1 → diese Zeile entfernen (Oder mit # auskommentieren)

In der Original-Datei gibt es dahinter nun einen Block:

config wifi-iface → Dieser ganze Block wird entfernt und statt dessen durch gleich zwei Blöcke ersetzt! (Oder mit # auskommentieren)

Einfügen an dieser Stelle:

config wifi-iface
       option device     'radio0'
       option encryption 'none'
       option ssid       'mesh'
       option ifname     'adhoc0'
       option mode       'adhoc'
       option bssid      '02:ca:ff:ee:ba:be'

config wifi-iface
       option device     'radio0'
       option mode       'ap'
       option encryption 'none'
       option ifname     'freifunk_wlan'
       option ssid       'Freifunk Mainz'
       option network    'freifunk'
       option isolate    '1'

Nur bei einem Dualband Router mit 2,4 und 5 GHz geht es in der Originaldatei weiter. Alle anderen speichern jetzt und sind fertig mit der Bearbeitung dieser Datei.

Bei Routern mit zusätzlichem 5 GHz-Band gibt es jetzt noch einmal die gleichen Blöcke für "radio1".

config wifi-device radio1 → Dieser Block bleibt erhalten.

Danach das WLAN einschalten (im selben Block config wifi-device radio1):

option disabled 1 → diese Zeile entfernen (Oder mit # auskommentieren)

In der Original-Datei gibt es dahinter wieder nur einen Block:

config wifi-iface → Dieser ganze Block wird entfernt und statt dessen durch gleich zwei Blöcke ersetzt! (Oder mit # auskommentieren)

Der letzte Block wird wieder entfernt und durch diese Blöcke ersetzt:

config wifi-iface
     option device     'radio1'
     option mode       'adhoc'
     option encryption 'none'
     option ifname     'adhoc0'
     option ssid       'mesh'
     option bssid      '02:ca:ff:ee:ba:be'

config wifi-iface
     option device     'radio1'
     option mode       'ap'
     option encryption 'none'
     option ifname     'freifunk_wlan2'
     option ssid       'Freifunk Mainz'
     option network    'freifunk'
     option isolate    '1'

Wir speichern wieder mit ESC :wq

Tinc konfigurieren

Reiner Mesh-Node?

Auch wenn der Router nur als Mesh-Node, also ohne DSL Zugang, nur mit reiner Funkverbindung zu Nachbar-Knoten dienen soll, lohnt es sich die folgenden Schritte trotzdem durchzuführen. Das Melden des öffentlichen Schlüssels kann dann aber entfallen. Man ist dann gut vorbereitet, falls der Node dann später doch vielleicht mal ein DSL-Anschluss nutzen soll.

Tinc auszuschalten ist zwar nicht unbedingt nötig, hilft dem Router dann allerdings Resourcen zu sparen. Wie das Aus- und Einschalten von Tinc geht, steht am Ende unter [weitere Handgriffe].

Laden der Datei tinc in den Editor. Eine Hilfe gibt es: hier

$ vi /etc/config/tinc

Der komplette Inhalt wird gelöscht und mit folgendem Inhalt gefüllt (NODENAME bitte austauschen):

Man kann vor dem öffnen komfortabel die Datei leeren

echo > /etc/config/tinc

Bitte vorher ein Backup machen!

config tinc-net 'ffmz'
       option enabled '1'
       option generate_keys '1'
       # NODENAME ersetzen. Wird aus der IP im Wiki erstellt durch Entfernung der Punkte
       # z.B. 10.37.1.100 wird zu  10371100. Es kann zu Doppeldeutigkeiten kommen. 
       option Name 'NODENAME'
       option key_size '2048'
       option logfile '/tmp/log/tinc.ffmz.log'
       option debug '0'
       # gate2 ist derzeit das einzig existierende Gateway
       list ConnectTo 'gate2'
       option DirectOnly '1'
       option Forwarding 'off'
       option Interface 'freifunk_vpn'
       option Mode 'switch'
       option Compression '10'

Speicher und verlassen des Editors wieder mit ESC :wq

Tinc neu starten damit einmalig die Schlüssel generiert werden (Achtung: das geht nur einmal)

/etc/init.d/tinc restart

Durch "......." wird eine Tätigkeit angezeigt. Danach finden wir ein neues Verzeichnis mit neuen Dateien.

cd /etc/tinc/ffmz

Zeigt eine rsa_key.priv und ein weiteres Unterverzeichnis hosts. Die rsa_key.priv beinhaltet den privaten Schlüssel der nicht herausgegeben, aber extern als Sicherheitskopie aufbewahrt werden sollte. Genau so verhält es sich mit dem öffentlichen Schlüssel den wir im hosts Unterverzeichnis finden.

cd /etc/tinc/ffmz/hosts

Der öffentliche Schlüssel hat den Namen den wir in der TINC Datei eben unter option Name 'NODENAME' eingetragen haben.

Dessen Inhalt auflisten (cat 1037.....) und per Mail an zusammen mit dem NODENAMEN senden. Dieser Schlüssel muss im gate2 eingetragen werden.

Datei gate2 im Verzeichnis hosts anlegen:

$vi /etc/tinc/ffmz/hosts/gate2

Befüllen mit dem Inhalt aus der unten angezeigten Tabelle - GATE2 - (Gate1 ist offline)

Wir speichern wieder mit ESC :wq

Firewall Datei befüllen

Die Firewall Datei muss neuen Inhalt bekommen.

$ vi /etc/config/firewall

Alles muss raus. Neu rein der folgende Inhalt:

Man kann vor dem öffnen komfortabel die Datei leeren

echo > /etc/config/firewall

Bitte vorher ein Backup machen!

config defaults
       option syn_flood        1
       option input            ACCEPT
       option output           ACCEPT
       option forward          REJECT 
  
config zone
       option name             wan
       option network          'wan'
       option input            ACCEPT
       option output           ACCEPT
       option forward          REJECT
  
config zone
       option name             freifunk
       option network          'freifunk'
       option input            ACCEPT
       option output           ACCEPT
       option forward          REJECT
  
config rule
       option name             Reject-Telnet
       option src              freifunk
       option proto            tcp
       option dest_port        23
       option target           REJECT

Wir speichern wieder mit ESC :wq

Weitere Handgriffe

Diesen Befehl noch absetzen. Für Nodename wieder den in der TINC Datei angegebenen verwenden:

$ uci set system.@system[0].hostname=NODENAME

WOW - fast fertig: jetzt kommt ein Reboot. Dann heißt es "Daumen drücken" - Viel Glück

$ reboot -f

PS: Am Freifunk-Router muss jetzt vom WAN Port aus ein Kabel zum privaten Router führen, damit TINC eine VPN Verbindung herstellen kann, oder ein anderer Freifunk-Router in Funkreichweite sein, damit das eben erzeugte Gerät sich damit vermeshen kann. Sonst gibt es nach dem Boot-Vorgang keine IP-Adresse vom neuen FF-Router. Ist eine VPN Verbindung notwendig, funktioniert die natürlich erst, wenn dein öffentlicher Schlüssel, den du über die E-Mail Adresse gesendet hast zusammen mit deinem NODENAME am Gateway von einem unserer Admins eingetragen ist. Geduld bitte.

Tinc ausschalten

Wird der Node nicht an einem DSL-Anschluss angeschlossen, kann man den TINC Prozess anhalten

$ /etc/init.d/tinc disable
$ /etc/init.d/tinc stop

Schaut man dann mit "ps" nach, müsste der "tincd" Service verschwunden sein.

Tinc einschalten

Wird der Node später doch an einem DSL-Anschluss betrieben, dann sollten folgende Befehle einmalig abgesetzt werden (Vorausgesetzt tinc wurde wie oben in der Anleitung beschrieben schon eingerichtet und die Schlüssel generiert).

$ /etc/init.d/tinc enable
$ /etc/init.d/tinc start

Schaut man dann mit "ps" nach, müsste der "tincd" Service wieder erscheinen.

Nicht vergessen den öffentlichen Schlüssel an unsere Gateway-Betreiber unter Angabe des NODENAME zu senden. Erst wenn der Schlüssel am Gateway eingetragen ist, funktioniert der VPN Tunnel über den DSL-Anschluss. Weitere Handgriffe

Konfiguration testen

Einen Überblick findet man unter Funktionstests.