Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 4 – Implementierung

Durchführung der Implementierung

Es wird für andere virtuelle Maschinen bereits Proxmox VE als Hypervisor eingesetzt, weswegen der kommende Offloader auch wieder in Proxmox realisiert wird.
FFNW bietet auf der Homepage fertige Firmwareimages zum Download an. Diese lassen sich bequem in bestehende Hypervisor wie VirtualBox, VmWare, KVM oder Xen einbinden. Für Microsoft Hyper-V wäre z. B. das generische Image das Richtige.

Um einen Offloader in Proxmox zu realisieren, sind folgende Schritte nötig:

Über die Weboberfläche von Proxmox wird eine neue virtuelle Maschine erstellt.

Eine 1GB RAW Festplatte und 128 MB RAM sind mehr als genug. Ich weise der VM zwei dedizierte Interfaces zu. Es ist auch möglich, mit nur einem Interface und VLANs zu arbeiten. Darauf werde ich an dieser Stelle aber nicht eingehen.

Nach dem Erstellen der VM ist die virtuelle Festplatte noch leer. Ziel ist es nun, der VM eine Festplatte mit den Firmwareimagedaten zur Verfügung zu stellen. Leider ist es unter Proxmox nicht möglich das vorhandene KVM Image über die Weboberfläche als Festplatte einzubinden. An dieser Stelle müssen wir uns eines kleines Tricks bedienen. Für andere Hypervisor gibt es vorkonfigurierte Festplattenimages, bei denen der folgende Schritt entfällt.

Um die virtuelle Maschine mit dem Freifunkimage bootfähig zu machen, werden wir das Image auf die virtuelle Festplatte überschreiben. Hierfür loggen wir uns auf dem Proxmox Hypervisor per ssh ein:

Auf der Konsole eingeben: ssh root@Ziel-IP

Erstellte VMs werden von Proxmox mit einer ID im Verzeichnis
/var/lib/vz/images abgelegt.

Wir wechseln in das Verzeichnis der VM. In das Verzeichnis mit der ID des Offloaders wird das Firmwareimage mittels
w
get https://firmware.ffnw.de/stable/DATEINAME geladen.
Um nun die virtuelle Festplatte mit den Daten des Firmwareimage zu füllen, führen wir
cat firmwarename >> vmname.raw aus.

Wenige Schritte um die Firmware unter Proxmox zum Laufen zu kriegen.

Wenn sich anschließend die VM starten lässt und einen FFNW OpenWRT Bootscreen präsentiert, kann mit der Konfiguration des Netzes begonnen werden.

Manchmal hat es den Anschein die VM hängt beim Booten. Hierbei wird lediglich der durchlaufende Text nicht angezeigt. Ein Druck auf ENTER hilft.

Ich verzichte an dieser Stelle auf eine detaillierte Anleitung, wie WLAN Controller, AccessPoints und Switche mit VLANs zu konfigurieren sind. Ich glaube es ist nicht sinnvoll, die Anleitung mit herstellerspezifischen Anweisungen unnötig aufzublähen. Stattdessen versuche ich, die Funktionsweise anhand eines generischen Beispiels zu erläutern.

Auf dem WLAN Controller wird die SSID des Gastnetzes “BBS Haarentor Gast” in “nordwest.freifunk.net” umbenannt. Für jede SSID wird am AccessPoint ein eigenes VLAN vergeben. In diesem Beispiel für das Freifunknetz das VLAN 5. Für den Client läuft dies völlig transparent ab. Das VLAN Tag wird durch das gesamte Netz bis zum CoreSwitch durchgeleitet. Dort wird das VLAN 5 an das LAN Interface des Offloaders gegeben. Dieser baut über sein WAN Interface die Verbindung zum VPN Gateway nach außen auf. Diese Verbindung wird in das VLAN 6 gekapselt, welches an das Firewallinterface gelegt wird.

Damit der Offloader eine Verbindung zum Gateway aufbauen kann, müssen in der Firewall bestimmte Ports freigeschaltet werden. Diese sind im Wiki beschrieben. Per „Quality Of Service“ wird geregelt, dass das Freifunknetzes niedrig priorisiert ist. Somit ist sichergestellt, dass Traffic aus dem Schulnetz immer bevorzugt behandelt wird und es dadurch nicht zu Engpässen kommt. Gleichzeitig kann aus dem Freifunknetz aber die volle Bandbreite genutzt werden, sollte diese aus dem Schulnetz zeitweise nicht benötigt werden. Eine simple Bandbreitenbegrenzung des Interfaces ist nicht sinnvoll. Dabei würde Bandbreite bei geringer Auslastung verschenkt werden.

Konfiguration der VM

Nachdem die VM hochgefahren wurde, sollte als erstes ein PW für den Zugang, besser noch ein ssh key hinterlegt werden.
Das Passwort lässt sich mit passwd ändern. Das Hinzufügen von SSH Keys ist im Gluon Wiki beschrieben.

Beim ersten Start der VM und solange noch keine Konfigurationsänderungen an der Konsole vorgenommen wurden, befindet sich die VM im ConfigMode. Hierbei läuft auf dem LAN Interface ein Webserver zur grafischen Einrichtung, erreichbar über 192.168.1.1. In dieser Anleitung wird jedoch die Konfiguration über die Konsole beschrieben. Nach Änderung der Konfiguration und einem Neustart bootet die VM in den Betriebsmodus.

Für das Bearbeiten auf der Konsole wird der Editor vi benutzt. Einige Basisbefehle zur Benutzung von vi sind hier zu finden.

Alle Dateien, die für die Konfiguration des Offloaders wichtig sind, liegen in
/etc/config/.
Um den Hostnamen des Offloaders anzupassen, wird die Datei
/etc/config/system
bearbeitet und die Zeile
option hostname
angepasst.


In /etc/config/network sind die verschiedenen Interfaces deklariert. Der Offloader hat im vorherigen Schritt zwei Netzwerkkarten zugewiesen bekommen.
In dieser Konfigurationsdatei weisen wir die Netzwerkkarten dem WAN & LAN Port der virtuellen Maschine zu. In der Zeile config interface 'wan' ist standardmäßig eth0 als Interface eingetragen. Dieses Interface geht über VLAN 6 an die Firewall.

In derselben Datei etwas weiter unten findet sich die Zeile
config interface 'client'.
Hier muss der Eintrag
list ifname 'eth1'
ergänzt werden.

Damit wird das LAN Interface welches in VLAN 5 liegt entsprechend angesprochen und er Traffic landet im richtigen Netz.

Informationen über den Knotenpunkt selbst, werden in
/etc/config/gluon-node-info
verwaltet.
Diese Informationen sind öffentlich!
Soll z. B. der eigene Knoten nicht auf der Freifunkkarte erscheinen, muss
share location '0' gesetzt werden.

 

Eingetragene GPS Koordinaten sind sinnvoll, da dann der Router auf der FFNW Karte richtig angezeigt wird. Außerdem wird anhand der Location das VPN-Gateway passend zugewiesen. Eine Kontaktadresse wäre wünschenswert, um ggf. den Knotenbetreiber bei Problemen erreichen zu können. Pflicht ist sie aber nicht.

Nach einigen Minuten sollte der Knoten auf der Übersichtskarte angezeigt werden.

Es ist bis auf Weiteres nicht möglich, jeden einzelnen AccessPoint auf der Karte anzuzeigen wenn eine Lösung mit Offloader genutzt wird. Es wird nur der Offloader als Knoten angezeigt, unabhängig davon wie viele AccessPoints am Offloader angeschlossen sind.

Fortsetzung Morgen.
Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 5 – Abschluss

Schreibe einen Kommentar