Protokoll Opennet Montagstreffen (30.10.2023)
CA-Renewal
Wir sollten die Schritte zur Aktualisierung der Opennet Knoten unter https://wiki.opennet-initiative.de/wiki/Opennet_CA/CA_Cert_Renewal_2023 dokumentieren.
Ansonsten war ein erster UGW Update Test von René erfolgreich.
René wird noch einen weiteren Update Test durchführen und den Prozess dann schön dokumentieren, sodass er für alle anderen nachvollziehbar ist.
Firmware: Wir haben uns entschieden ein stabile 0.5.8 herauszubringen (Martin). Diese beinhaltet diverse Bugfixes und die aktualisierten CA Dateien (bzw. on-certificates Paket). Derzeit gibt es aber noch zwei kleinere Bug, welche wir untersuchen/lösen sollten:
-
Bug 1: Wenn ein factory reset bei 0.5.8-unstable durchgeführt wird, dann wird das radioX (oder leer) Interface dem ON_WIFI_0 Interface zugeordnet. Richtig wäre aber, dass das wlan0 Interface dem ON_WIFI_0 Interface zugeordnet ist. Als Konsequenz funktioniert IPv6 auf ON_WIFI_0 nicht.
-
Bug 2: Derzeit werden in unstable keine Images für mANTBox 15s gebaut. Hier müssten wir uns die Buildbot Konfiguration nochmal anschauen. Im Nov 2022 wurden noch
routerboard-921gs-5hpacd-15s
images gebaut. Hat sich Buildbot Config seit Nov geändert?
Wir haben über den Migrationsprozess diskutiert: Es kam die Idee auf, die Migration zweistufig durchzuführen:
-
alle Opennet Knoten (UGW + User VPN) müssen ein aktualisiertes on-certificates Paket installiert bekommen (wenn Firmware < 0.5.8-stable). Dadurch werden die aktualisierten (verlängerten) Root-CA + Sub-CAs auf dem Gerät installiert.
-
alle UGWs bekommen auch ein aktualisiertes UGW Zertifikat
-
wir wollen/müssen einen Prozess zum rechtzeitigen Aktualisieren der User-VPN Zertifikate etablieren. Somit müssen wir nicht immer alle User-VPN Zertifikate parallel mit der (Sub-)CA Verlängerung updaten.
Der bisherige Prozess zum Updaten des on-certificates Paketes sieht vor, dass der User manuell eine Datei herunterladen muss und diese dann auf dem Opennet Knoten per Web-UI einspielt. Noch besser und einfacher wäre es, wenn wir für jede stable Firmware ein aktualisiertes on-certificates im entsprechenden Repository hinterlegen könnten. Dann müssten die User nur auf "Update klicken". Tobias fand folgendes heraus:
- Das Updaten eines Repositories sollten wie folgt funktionieren ( siehe https://openwrt.org/docs/guide-developer/toolchain/single.package). Schritte: 1) on-certificates muss gepatch werden, 2) gepatchtes Paket braucht eine höhere Versionsnummer, 3)
make -C openwrt package/on-certificates/{clean,compile} V=s
, 4)make -C openwrt package/index