http://webfolder.wirelessleiden.nl/MIEB.jpg http://webfolder.wirelessleiden.nl/MIEB-2.jpg http://webfolder.wirelessleiden.nl/MIEB-3.jpg

Korte PPTP/IPsec/PPPoE summary (draait op 172.17.32.2):

--> eventueel kan dit op elke bestaande node ingebouwd
    worden; zodat de 'gastheer' van de node dit dus
    al direct als een 'feature' heeft voor zijn of haar
    vriendjes en vriendinnetjes.

Doel
        * Om 1..N (N<min(1024, 2% van je IP space)) ISP's toe te laten
        internet te bieden. Dus zeg maar Wifi-VISP; Wireless Virtuele ISPs.

        * Maar ook om kleinere services naar vrienden of werknemers
          makkelijk te maken. (Dus jan en piet zetten beide een
          connectie open voor elkaar - maar willen welk elk beide
          controle houden over wie/wie). Neighbourhood VISP.

        * Om iedereen die een wleiden IP address weet te krijgen (client of node)
          peering services te laten aan bieden aan vrienden of kennissen.

        * Ook als deze federated zijn, of als een samenwerking tussen
          verschillende mensen (als jij deelt, dan ik ook).

        * een 'gebruiker' of gebruikers groep moet terug traceerbaar
          zijn en accountable zijn - binnen de definitie van de
          virtuele ISP.

        * Federated radius mogelijk.
          (Niet getest/opgezet).

        * met toch wat beveiling als het kan.

        * failover mogelijk.
          (Niet getest/opgezet).

        * bandwidth management moet mogelijk zijn.
          (Alleen voor PPTP en IPsec getest).

Interface aannames

        * Ga met je web browser naar internet.wleiden.net

          Web pagina met providers. Ieder heeft daar een link
          naar FOO.internet.wleiden.net.

        * FOO.internet.wleiden.net zijn A's naar een specifiek
          blok binnen wleiden.

        * Daar staat een web pagina met de ToS, etc.

        * Na configuratie begint PPPoE, PPTP of IPsec naar
          FOO.internet.wleiden.net.

        * OSPF zorgt er voor dat je gegeven een gekozen
          groep bij de dichts bij zijnde outlet komt van jouw type.
          (Niet getest/opgezet).

Wireless leiden moet dan:

        * Actief ISP's in eigen DNS stoppen.

        * Actief OSPF routing geven.

Maar voor wie geen OSPF failover nodig is; kan toch 'iets' doen. (Hoewel
het erg leuk zou zijn of met secure-DDNS *iedereen* een entry te laten
maken in de *.itnernet.wleiden.net space die een valid IP heeft in
wleiden; en dat dan als EP laten fungeren).

Technieken geprobeerd:

PPPoE

        WinXP:          werkt perfect - maar heeft extra software
                        config nodig (heb een ADSL pakket gebruikt).
        Win2K:          dirk snapt het niet.
        MacOSX:         werkt perfect maar door UI stupidity
                        niet makkelijk op de WiFi kaart te
                        configuren.
        Linux:          wedges de kernel (RH 7.2)
        FreeBSD:        Werkt - maar rommelige port.

        Geen encryptie werkend across all platforms.

        Slechte radius integratie (via virtuele PAM).

        Dit kan met bestaande standaard node HW.

IPsec
        WinXP-pro:      Werkt (buildin (isakmpd).
        WinXP:          dirk snapt het niet, cisco client OK
        Win2K:          dirk snapt het niet/rare fouten. cisco cl OK
        MacOSX:         Werkt (KAME/racoon) - cisco client OK.
        Linux:          Werkt (KAME - drama van opzetten).
        FreeBSD:        Werkt (isakmpd).

        Endpunt:        cisco pics OF freebsd OF openBSD

        MAAR - ik kan geen config vinden die op alle platforms
        wertk; de MAC's van de een sluiten de MACs van de ander
        uit; en het zelfde gebuurt.

        MAAR - oplosbaar met VPNTracker of the CISCO VPN client
        die dinamisch configd. Maar geen open source.

        MAAR - raidus integratie niet mooi; CERTs zijn beter.

        PKI is natuurlijk ideaal - en kan voorlijker uitgerolled
        worden zonder grote threath modelling problemen.

        IPsec is best of breed VPN

        Dit kan met bestaande standaard node HW; maar is langzaam.

PPtP
        WinXP:          Werkt.
        Win2k:          Werkt.
        Win95/98:       Wert. Mits gepatched
                http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q191540

        Linux:          niet geprobeerd
        FreeBSD:        werkt (mpd/Netgraph).

        Endpunt:        cisco (perfect)
                        FreeBSD met poptop (werkt niet, GRE dood)
                        Linux met poptop (werkt niet goed, GRE corrupt)
                        FreeBSD met mpd/Netgraph (werkt perfect)

        PPtP is niet echt veilig.

        Dit kan met standaard node HW.

        Bandwidth management is triviaal.

Tot zover de tests van nu.

Schetsje idee

http://webfolder.wirelessleiden.nl/MIEB.pdf http://webfolder.wirelessleiden.nl/MIEB-2.pdf http://webfolder.wirelessleiden.nl/MIEB-3.pdf

MIEP -- Meerdere Internetpoorten Eerlijk Bedelen

MIBET -- Meerdere Internet Poorten Eerlijk Toestaan

Dw.

Install op een node als root:

    pkg_add -r mpd

    cat <<EOM > /usr/local/etc/rc.d/mpd.sh
    #!/bin/sh 
    /usr/local/sbin/mpd -b -p /var/run/mpd.pid
    EOM
    chmod a+x /usr/local/etc/rc.d/mpd.sh

    cat <<EOM > /usr/local/etc/mpd/mpd.secret
    # uname password restricties/IP
    peter pass
    mary secret
    enz   voorts
    EOM

    cat << EOM > /usr/local/etc/mpd/mpd.conf
    pptp0:
        load pptplink
    pptp1:
        load pptplink
    pptp2:
        load pptplink
    pptp3:
        load pptplink
    EOM

    cat << EOM > /usr/local/etc/mpd/mpd.link
    pptp0:
        new -i ng0 pptp0 pptp0
        set ipcp ranges 10.11.0.2/32 10.11.0.210/32
        load pptp
 
    pptp1:
        new -i ng1 pptp1 pptp1
        set ipcp ranges 10.11.0.2/32 10.11.0.211/32
        load pptp

    pptp2:
        new -i ng0 pptp2 pptp2
        set ipcp ranges 10.11.0.2/32 10.11.0.212/32
        load pptp

    pptp3:
        new -i ng3 pptp3 pptp3
        set ipcp ranges 10.11.0.2/32 10.11.0.213/32
        load pptp

    pptp:
        set iface disable on-demand
        set iface enable proxy-arp
        set iface idle 1800
        set bundle enable multilink
# enable TCP-Wrapper (hosts_access(5)) to block unfriendly clients
#       set bundle enable tcp-wrapper
# use RADIUS servers 
#       load radius
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set ipcp yes vjcomp
        set ipcp dns 10.11.0.2
        # set ipcp nbns 10.11.0.2
        set bundle enable compression
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set ccp yes mpp-stateless

    pptplink:
        set link type pptp
        set pptp self 10.11.0.2   <--- veranderen in IP op eigen netwerk of buiten Firewall.
        set pptp enable incoming
        set pptp disable originate
        set link bandwidth 65536 <--- 64 * 1024, 65kbit, ISDN snelheid.
        #       set pptp enable delayed-ack
        set pptp enable always-ack


Client setup

VPN Setup 
 Preparation: Add yourself to ..../mpd/mpd.secret. 
It will be live immediately. Do not use a (very) secure passord ! 

MacOS X

         Connect to the internet. Once connected, go to /Applications and start 'Internet Connect'.          

        Once started to to File->New VPN Connection.         

        Enter as host: <AboveIP> and your username and password. Then hit connect.         

        Once connected check with ping that you can ping 10.13.0.1 and/or do a traceroute to confirm that you are routed correctly. 

Windows

         On Windows 95 and 98 you will need the        VPN Update for Windows 98 and Dial-Up Networking 1.3 installed first.         

        Go to Start; Settingsm; Network-and-dialup-connections and select 'Make New Connection'.         

        In the wizzard click Next, select 'Connecto to a private network through the internet' (option 3).         

        On the next page you usually select 'Do not dial the internet conenction'.         

        On the Destination Address page enter <AboveIP> as the host.         

        IMPORTANT:  On the Connection Availibiltiy page you must change the default 'For all Users' into 'Only to myself' in order to get some privacy.         

        And give it a name (like 'PPTP to @wleiden').         

        Once done, make sure you have an internet connection and start.         

        If you run the command line command 'ipconfig' one can see the VPN;         and the 'property' tap of the connection info window will confirm/deny that it         is encrypted.         

PPTP (last edited 2009-09-28 06:29:44 by localhost)