Dit is de gateway voor de Nederlandse adressen in AMPRNet, het AMPR.ORG domain. Dit is een IP netwerk voor en door gelicenseerde radiozendamateurs, dwz met een door Agentschap Telecom geregistreerde radioroepnaam (callsign).
Voor meer informatie over AMPRNet, zie: Amateur Radio Digital Communications (www.ampr.org).
Als je als zendamateur een adres of subnet in het 44.137.0.0/16 netwerk wilt gebruiken, lees dan bovenstaande info door, en vraag een adres of subnet aan via mail zoals hier beschreven: hostsfile.
Aub alle aanvragen voor adressen via het daar vermelde e-mail adres indienen,
dus voorlopig nog niet via portal.ampr.org die alleen bedoeld is voor
het aanvragen van IPIP tunnels.
Negeer aub alles wat op portal.ampr.org genoemd staat over aanvragen van
adressen want het klopt NIET.
Dat is een half-afgemaakt project waar al jaren geen voortgang meer in zit.
Heb je eenmaal een adres dan kun je dat gebruiken op het HAMNET wat in aanleg is. Meer informatie over HAMNET: http://www.hamnet.nl/
Zelf gebruik ik een MikroTik LHG XL HP5 met 27dBi antenne voor een verbinding met IJsselstein, in combinatie met een MikroTik RB4011 router die zowel mijn internet verkeer als HAMNET verkeer routeert. Voor de eerste experimenten, of als je aparte computers op HAMNET wilt aansluiten die niet op je eigen lokale netwerk zitten, kun je de router weglaten en de computer rechtstreeks of via een switch op de WiFi link aansluiten.
Het maken van een internet tunnel kan op dit moment op de volgende manieren:
Echter op voorhand een waarschuwing: als je een internet aansluiting hebt bij een provider waar je verplicht bent hun bijgeleverde router te gebruiken waar je zelf (bijna) niks in kunt configureren, dan geven IPIP en IPsec vaak problemen. Als je geen grondige kennis van netwerken hebt dan wordt het nog lastiger. Met OpenVPN is het allemaal veel simpeler, maar met beperkingen. Met een aparte router "achter" je provider router kun je GRE en L2TP/IPsec gebruiken.
Voordeel van deze methode is dat OpenVPN op een computer of handheld device gemakkelijk te installeren is, en dat het meestal meteen werkt zonder specialistische kennis met betrekking tot netwerken.
Een beperking van een OpenVPN verbinding is dat je (per verbinding) maar
1 adres kunt routeren, en dat je via de OpenVPN verbinding alleen verkeer
naar (en van) andere netwerk-44 (HAMNET) adressen kunt versturen.
(dit zijn niet zozeer beperkingen van OpenVPN zelf, maar meer van de gekozen
wijze van configuratie, die het voor de gebruiker gemakkelijk maakt)
Bedenk dat je OpenVPN certificaat je een vast IP adres geeft en daardoor is het niet mogelijk om meerdere connecties tegelijk met hetzelfde certificaat te maken! Immers dan zou je hetzelfde adres op meerdere computers hebben! Dus let op dat je het certificaat maar op 1 computer gebruikt en niet per ongeluk de software meerdere keren start, want dan valt je verbinding dood tot je alle verbindingen verbreekt en er 1 opnieuw maakt. Als je de verbinding "niet netjes" afsluit dan moet je een paar minuten wachten voor je weer opnieuw verbinding maakt.
Je kunt de benodigde software hier downloaden: gateio. Gebruik bij voorkeur versie 2.5 of hoger.
Op Linux systemen (dus bijvoorbeeld ook op de Raspberry Pi) is er meestal al wel een kant en klaar pakket voorhanden wat je dan kunt installeren met bijvoorbeeld:
sudo apt-get install openvpnJe kunt het certificaat dan plaatsen in de directory /etc/openvpn waarbij je de extensie verandert van .ovpn naar .conf en dan wordt openvpn automatisch gestart bij opstarten.
Let op: de OpenVPN implementatie op MikroTik routers is niet compatible met de configuratie die we gebruiken (ondersteunt alleen TCP).
Let op: als je nog een OpenVPN file hebt die voor februari 2022 is afgegeven moet je even een nieuwe opvragen, want er is een nieuwe server.
Let op: als je recente (na februari 2022) OpenVPN file het na een
software upgrade ineens niet meer doet, open dan de .ovpn file in een editor
(vi, notepad) en voeg onder de regel "key-direction 1" deze
regel toe:
tls-cert-profile insecureHet nu binnen een jaar alweer vervangen van alle certificaten om te voldoen aan de denkbeelden van de maintainers gaat me echt te ver! Vandaar deze optie (certificaten zijn 2048-bit RSA met SHA256 signature, maar dat is nu kennelijk alweer "too weak").
Een IPIP tunnel is tegenwoordig het gemakkelijkst te realiseren op een Linux systeem of -router. Commerciele routers zoals Cisco, Juniper etc. zijn in de praktijk niet bruikbaar voor dit systeem, omdat ze het AMPR-RIP protocol niet ondersteunen. Voor MikroTik routers is er tegenwoordig wel een oplossing beschikbaar, zie http://www.yo2loj.ro/ onder Ham projects.
Als je tussen het systeem waarop je IPIP wilt implementeren en het internet nog een router of modem/router hebt, controleer dan eerst of je daarin het IPIP protocol (dat is protocol 4, dus niet "poort" 4) kunt forwarden naar je systeem. Het kan zijn dat dit alleen mogelijk door al het onbekende verkeer te forwarden naar dat systeem ("DMZ host" instellen), en zelfs dan werkt het nog niet altijd goed.
Wil je deelnemen aan het IPIP tunnel systeem, zorg dan dat je eerst per
e-mail (dus NIET via portal.ampr.org!) een adres of subnet hebt aangevraagd
en gekregen zoals bovenstaand omschreven, en registreer je daarna hier:
AMPRNet Portal.
Klik daar na inloggen op Networks, kies ons netwerk (44.137.0.0/16),
op de volgende pagina weer op de link 44.137.0.0/16 en vul in het formulier
de grootte van je subnet in (bijvoorbeeld /28), bij Description je call,
en bij Notes geef je aan dat je je al aangevraagde subnet of adres wilt
registreren (zet het adres er even bij).
Vermeld ook of je wilt dat je subnet voor inkomende connecties vanaf internet
adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is.
Wacht nu tot dit is goedgekeurd en aan je account gekoppeld.
Maak daarna een gateway aan en koppel het adres of subnet daar aan,
en configureer je eigen systeem.
Handleidingen voor het inrichten van je systeem voor deze IPIP tunnels (liefst met ampr-ripd erbij) kun je onder andere vinden op www.ampr.org. Kijk in de Wiki die je daar kunt vinden.
De routes naar jouw systeem en naar de andere deelnemers in het IPIP net
worden automatisch aangemaakt door ampr-ripd, maar je hebt zelf ook nog
een route terug naar internet nodig.
In de handleidingen vind je verwijzingen naar de centrale gateway bij UCSD
voor dat doel (169.228.34.84), maar je moet de Nederlandse gateway
145.220.78.2 gebruiken als je een Nederlands adres hebt.
Dit adres gebruik je dus als default gateway voor je tunnel voor
uitgaand netwerk-44 verkeer.
Vereiste voor IPsec is dat je een vast adres op internet hebt, of dat je software een FQDN als identification kan meesturen in Phase1 (mode agressive). Om het aan te vragen stuur je een mail met
Vermeld in het laatste geval ook of je wilt dat je subnet, of een of meer adressen uit je subnet, voor inkomende connecties vanaf internet adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is.Je krijgt dan een psk (pre-shared-key) die je in je router invult. Daarnaast vul je het adres van de gateway in (145.220.78.2) en je stelt de IPsec verbinding liefst in op AH tunnel (authenticated, not encrypted). Alleen als je router dit niet ondersteunt of als je IPsec vanaf een computer achter een NAT router gebruikt (NAT-T) kun je ESP tunnel instellen. Dit moet aan de gateway kant ook overeenkomstig ingesteld worden, vandaar de bovenstaande punten in de aanvraagmail.
Als je naar heel internet wilt routeren moet je router uiteraard wel policy routing ondersteunen: verkeer vanaf je netwerk-44 subnet naar internet gaat via de VPN naar de gateway, verkeer vanaf je normale LAN adressen gaat naar je internet provider. Je moet dus routes kunnen instellen op grond van source adres, niet alleen op destination adres. Kan je router dat niet of weet je niet hoe dat moet, kies dan om alleen naar HAMNET te verbinden.
Bij deze mode is het nodig dat je een router hebt die BGP ondersteunt, want de routes die over de GRE of L2TP/IPsec tunnel lopen worden dmv BGP automatisch ingesteld. Daardoor kun je deze methode ook gebruiken om een fallback link toe te voegen aan een station wat in principe via radio gekoppeld is: als de radiolink het even niet doet wordt de tunnel gebruikt. Wil je dit doen overleg dan per mail.
Hoewel het in principe standaard protocollen zijn die op iedere router hetzelfde zouden moeten werken, zijn er in de praktijk bij het door elkaar gebruik van verschillende merken problemen die lastig te debuggen zijn door heen-en-weer-mailen, zeker als je niet veel ervaring met deze materie hebt. Daarom kan ik alleen helpen bij gebruik van een router van MikroTik, een goede keuze is bijvoorbeeld de RB750Gr3 (hEX).
Gebruik je een ander merk router dan moet je het zelf werkend kunnen maken. Een Draytek router heeft tegenwoordig ook BGP maar ik krijg het niet werkend. Het lijkt er op dat Draytek BGP verbindingen via een L2TP/IPsec VPN niet ondersteunt.
Heb je een MikroTik router en is je configuratie op onze router aangemaakt dan kun je hier je call invullen en een kant-en-klare configuratie opvragen die je zo in je router kunt plakken:
Als je wilt checken via welke route je verbonden bent kijk dan hier (alleen vanaf HAMNET).
Het is echter wel mogelijk om het goed werkend te krijgen, en wel op twee manieren:
Besteed hier aub wel de nodige aandacht aan want er komt steeds meer van dit soort "verdwaald" verkeer in het netwerk.Probeer om je HAMNET systemen gewoon een AMPRnet (44.137.x.x) adres te geven en niet via NAT te laten werken. We hebben adressen genoeg en NAT maakt het lastiger om het allemaal goed werkend te krijgen, zeker als je ook services aanbiedt. Op Internet is NAT een noodzakelijk kwaad, maar op HAMNET kunnen we zonder.
Rob - PE1CHL