Mit dieser Anleitung ist unser Jabber-Server aufgesetzt worden. Es handelt sich um eine Debian-VM. Darin wurde als XMPP-Server Prosody verwendet.
Die folgenden Schritte installieren den Server mit Debian-Bordmitteln:
- apt-get update
- apt-get install prosody
Anschließend muss die Konfiguration angepasst werden, damit der Server die Anfragen von Clients ordnungsgemäß behandeln kann. Es sind jeweils nur die Ergänzungen bzw. Änderung der Standardkonfiguration gezeigt.
Es wurde mehrere Domains hinterlegt für die der Server zuständig ist (chat.ffggrz (FF-intern), chat.ffggrz.de (Internet)). Zusätzlich wurde der Multiuserchat (MUC/Conferencing) aktiviert und der Pfad zu dem noch anzulegenden Zertifikat hinterlegt.
Alle Domains verwenden das gleiche Zertifikat. Die Seiten sind als SubjectAltName hinterlegt, so dass es nicht zu Zertifikatsfehlern kommen sollte.
- nano /etc/prosody/prosody.cfg.lua
allow_registration = true admins = { "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. " } ssl = { key = "/var/lib/prosody/chat.ffggrz.de.key"; certificate = "/var/lib/prosody/chat.ffggrz.de.crt"; } VirtualHost "chat.ffggrz" enabled = true VirtualHost "chat.ffggrz.de" enabled = true Component "conference.chat.ffggrz" "muc" Component "conference.chat.ffggrz.de" "muc"
Es wird ein neuer Administrator-Account angelegt.
- prosodyctl adduser
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
Um ein selbstsigniertes Zertifikat für den Server zu generieren, gibt es seit Prosody 0.9+ eine einfache Möglichkeit das erledigen zu lassen.
Mit folgendem Befehl wurde das Zertifikat für unsere Domains generiert:
- prosodyctl cert generate chat.ffggrz.de chat.ffggrz
Der Inhalt des Zertifikats kann mit folgendem Befehl auch auf der Kommandozeile einfach überprüft werden.
- openssl x509 -text -noout -in /var/lib/prosody/chat.ffggrz.de.crt
- Details
- Geschrieben von: Eric
- Kategorie: Dienste
Falls jemand mit einfachen Mitteln ins Mesh will (aber mit üblichen Mitteln dies nicht kann) darf mir eine EMail schreiben um einen Zugang zum OpenVPN zu erhalten.
Raspberry PI / Linux
Grundkonfiguration
OpenVPN installieren:
sudo apt-get install openvpn
Die Dateien aus der Zip in /etc/openvpn/ kippen und anpassen:
sudo mv ~/ffggrz_mesh_marcus.zip /etc/openvpn cd /etc/openvpn/ sudo unzip ffggrz_mesh_marcus.zip sudo mv ffggrz_mesh.ovpn ffggrz_mesh.conf
feste IP
Den Pi abgewöhnen den dhcp-Client zu nutzen:
/etc/dhcpcd.conf
denyinterfaces ggrzOVPN
Feste IP für das Interface konfigurieren:
/etc/network/interfaces
auto ggrzOVPN iface ggrzOVPN inet static address 10.181.0.123 netmask 255.255.192.0 dns-nameservers 10.181.0.12 dns-search ffggrz iface ggrzOVPN inet6 static address fdb5:78b:64cc::123 netmask 64
Starten
sudo systemctl start openvpn@ffggrz_mesh.service
Damit OpenVPN sich bei Systemstart automatisch verbindet bitte folgende Zeile aktivieren:
/etc/default/openvpn
AUTOSTART="all"
Windows
Todo: Anleitung für Windows vervollständigen
https://openvpn.net/index.php/open-source/downloads.html
Zip in c:
Program Files
OpenVPN
config
kippen
OpenVPN-GUI als Administrator starten!
- Details
- Geschrieben von: Eric
- Kategorie: Dienste
Jeder der eine E-Mail-Adresse oder Umleitung benötigt (z.B. für einen Node) kann sich bitte per Kontakt melden. :)
SPAM landet automatisch im "spam"-Ordner, dieser wird aber erst mit der ersten SPAM-EMail erstellt.
- SMTP: mail.freifunk-gera-greiz.de (IPv4)
- SMTP-Auth notwendig (kein SMTP-After-POP möglich!)
- Unverschlüsselt: Port 25
- STARTTLS: Port 587
- SSL/TLS: Port 465
- IMAP: mail.freifunk-gera-greiz.de (IPv4)
- Unverschlüsselt: Port 143
- STARTTLS: Port 143
- SSL/TLS: Port 993
- POP3: mail.freifunk-gera-greiz.de (IPv4)
- Unverschlüsselt: Port 110
- STARTTLS: Port 110
- SSL/TLS: 995
- Verfügbare Domains: @freifunk-gera-greiz.de und @ffggrz.de
- Webmail: https://mail.freifunk-gera-greiz.de/
- Passwort ändern: https://mail.freifunk-gera-greiz.de/password/
- Administration: https://mail.freifunk-gera-greiz.de/admin/ (nur verfügbar für Admins)
- Getestet mit:
- Thunderbird
- K9 Mail (Android)
- Mail (OS X)
- EMail (Android)
- Details
- Geschrieben von: Eric
- Kategorie: Dienste
Test vom 4. Oktober 2018
Standort |
Zeit |
Ping4 |
Ping6 gw1 intern |
Ping4 Internet |
Ping6 Internet |
Gateway |
Speed |
Speed Internet (u/d Mbps) |
Downlinks | Bemerkung |
---|---|---|---|---|---|---|---|---|---|---|
FWS (Feuerwache Süd) | 10:00 | ✔ | ✔ | ✔ | ✔ | Server-002 | keine Messung | 6,9/10,2 | 2 | Internet gut nutzbar |
KHS (Karl-Harnisch-Stadion) | 10:30 | ✔ | ✔ | ✔ | ✔ | gw3 | 2,4/1,0 | 0,6/- | 0 | nicht nutzbar |
GSZ (Schule Zwötzen) | 10:50 | ✔ | ✔ | ✔ | ✔ | gw1 | 1,6/5,9 | 1,4/7,6 | 1 | Internet gut nutzbar |
KUK (Kultur- & Kongreßzentr.) | 14:15 | ✔ | ✔ | ✔ | ✔ | Server-002 | 2,6/6,5 | 1,3/3,6 | 0 | Internet nutzbar |
FWM (Feuerwache Mitte) | 12:10 | ✔ | ✔ | ✔ | ✔ | gw1 | 4,0/7,2 | 2,4/5,6 | 1 | Internet gut nutzbar |
Marienkirche | 13:40 | ✔ | ✔ | ✔ | ✔ | gw2 | 2,2/4,2 | 1,8/1,0 | 0 | Internet langsam |
SRH Klinik (an gw2) | 11:30 | ✘ | ✔ | ✘ | ✔ | gw2 | 1,3/9,6 | 0,7/0,7 | nicht nutzbar | |
SRH Klinik (an gw1) | 11:40 | ✔ | ✔ | ✔ | ✔ | gw1 | 35,2/22,2 | 17,0/20,2 | Internet gut nutzbar | |
Unitas Network | 08:30 | ✔ | ✔ | ✔ | ✔ | gw3 | 6,5/11,4 | 3,9/5,7 | Internet gut nutzbar |
Es wurde eine Verbindung zu einem der am Standort vorhandenen Freifunk-Knoten auf GLUON-Basis verbunden. Benutzt wurde ein Notebook mit Linux und ein NETSCOUT AirCheck G2.
Das AirCheck G2 diente mittels AutoCheck der schnellen Überprüfung der Umgebung und Verbindung ins Freifunk-Netz. Genauere Daten dieser Tests werden noch ausgewertet und hier evtl. noch nachgeliefert. Außerdem wurden die Geschwindigkeitsmessungen damit durchgeführt. Gegenstellen waren das jeweilige Gateway (interne IP-Adresse) und zur Geschwindigkeitsmessung ins Internet der Rootserver der Unitas Network GmbH. Dafür wird iPerf3 genutzt, auf den Gateways als Server, auf dem AirCheck G2 als Client im TCP-Mode.
Da das AirCheck G2 leider kein IPv6 beherrscht, wurden diese Tests mittels Notebook durchgeführt. Es wurde ein Ping auf gw1.ffggrz und server1.unitas-network.de durchgeführt. Damit konnte die interne und externe Namensauflösung und Erreichbarkeit überprüft werden. Außerdem wurde subjektiv die Nutzbarkeit des Internets durch den Aufruf verschiedener Seiten geprüft.
Die Anzahl der Downlinks bezeichnet die Zahl der Knoten, welche den Standort als Uplink nutzen und über keinen anderen Anschluß (VPN, Mesh) verfügen.
- Details
- Geschrieben von: Jörg
- Kategorie: Backbone
Ubiquiti Edge-Switche werden an den Backbonestandorten eingesetzt und entsprechend technisch der Unifi-Reihe.
Im Gegensatz zu diesen ist jedoch für die Konfiguration kein Controller notwendig und kann direkt über die Konsole bzw. die Webseite durchgeführt werden.
Inbetriebnahme
- Strom anschließen
- nmap -sn 192.168.0.0/24
- Kabel in Port 3 stecken
- telnet 192.168.0.39
- User:ubnt
- Password:****
- (UBNT EdgeSwitch) > en
hostname [Standort]-SW-[Nummer] configure snmp trap link-status all snmp-server sysname "[Standort]-SW-[Nummer]" snmp-server location "[Stadt], [Gebäude]" snmp-server community "private" rw ipaddress 127.0.0.1 snmp-server host 10.181.0.131 informs "public" exit vlan database ! [[https://www.freifunk-gera-greiz.de/wiki/-/wiki/Allgemein/Richtfunk+und+Mesh-VLANs|Richtfunk und Mesh-VLANs ]] vlan 1001 vlan name 1001 RF-FOO-BAR ! ... exit configure line console exit line telnet exit no spanning-tree spanning-tree forceversion 802.1w port-channel linktrap 3/1 no port-channel linktrap 3/2 no port-channel linktrap 3/3 no port-channel linktrap 3/4 no port-channel linktrap 3/5 no port-channel linktrap 3/6 no ip dhcp snooping vlan 1 interface 0/1-0/24 no ip dhcp snooping trust no lldp transmit no lldp receive no lldp transmit-tlv interface lag 1 no shutdown port-channel static no ip dhcp snooping trust vlan participation auto 1 vlan participation exclude 1 vlan participation include all vlan tagging [alle VLANs] description "Gera-[Standort]-Backbone" exit interface 0/1-0/2 vlan pvid [Management-VLAN, 10x] vlan participation include [Management-VLAN, 10x] vlan participation exclude 1 exit exit
Die folgenden Punkte am besten über den Browser ändern, da sich da alles gleichzeitig ändern lässt.
Nach der Änderung fliegt die Verbindung weg und es muss eine neue Sitzung zur neuen Adresse aufgebaut werden.
Browser
System > Connectivity > IPv4
Telnet
configure network mgmt_vlan [Management-VLAN, 10x]
Kabel in Port 1 stecken
network protocol none
Hier fliegt die Verbindung weg!
telnet 192.168.1.2 network parms 172.16.x.250 255.255.255.0 172.16.x.254{{{ telnet 172.16.x.250
interface 0/23-0/24 addport 3/1 exit
interface 0/3-0/12 vlan pvid 500 vlan participation include 500 vlan participation exclude 1 exit
interface 0/13 vlan participation exclude 1 vlan tagging [Management-VLAN, 10x],[RF-VLAN1] description "[RF-VLAN1-Bezeichnung]" interface 0/14 vlan participation exclude 1 vlan tagging [Management-VLAN, 10x],[RF-VLAN2] description "[RF-VLAN2-Bezeichnung]" interface 0/15 vlan participation exclude 1 vlan tagging [Management-VLAN, 10x],[RF-VLAN3] description "[RF-VLAN3-Bezeichnung]"
interface 0/23-0/24 vlan participation include [alle VLANs] vlan tagging [alle VLANs] exit
username ubnt level 15 password [PASSWORT] [PASSWORT]
write memory }}}
SSH/SSL
{{{ configure crypto key generate rsa crypto key generate dsa crypto certificate generate exit ip ssh server enable ip ssh protocol 2 ip ssh port 22 no ip http server no ip telnet server enable }}}- Details
- Geschrieben von: Matthias Drobny
- Kategorie: Backbone