LoraWAN-Space-Routersetup
Allgemeines
Aktuell verwenden wir unseren Spacerouter als Zentralen Kontenpunkt zur Administration der LoRaWAN Gateways. Dazu verbinden sich die Gateways von ihrem jeweiligen Standort via L2TP mit IPsec mit dem Space Router. Dazu muss der Space Router entsprechend als L2TP Server konfiguriert werden.
Allgemein ist das Setup inspiriert von dieser Webseite. Es gibt jedoch einige Abweichungen.
DHCP Pool anlegen
Unter DHCP -> Pool muss ein neuer DHCP Pool angelegt werden. Entsprechend auf "New" klicken und folgende Parameter setzen:
| Name: | ppp-lora-dhcp-pool | kann frei gewählt werden |
| Addresses: | 192.168.89.20-192.168.89.100 | kann frei gewählt werden, darf sich nicht miot dem existierenden pool überlappen |
| Next Pool: | none |
PPP
Profiles
Unter PPP->Profiles wird für die LoRaWAN Gateways ein neus Profil angelegt. Folgende Felder müssen eingetragen/geändert werden:
| Name: | ppp-lorawan | (kann frei gewählt werden) |
| Local Address: | 192.168.88.1 | (die lokale IP des Routers) |
| Remote Address: | ppp-lora-dhcp-pool | (bzw. der Pool der im vorher angelegt wurde) |
| DNS Server: | 192.168.88.1 | (die lokale IP des Routers) |
| Change TCP MSS: | "Yes" | |
| Use MLPS: | "Yes" | |
| Use Encryption: | "Required" |
Secret
In diesem Teil werden die L2TP User angelegt. Hier wird exemplarisch nur ein User definiert. Weitere legt man dann analog an. Parameter für einen User nachdem man "Add new" geklickt hat:
| Name: | lorawan-gw01 | (wird auf dem Client als User verwendet) |
| Password: | EXTRAGEHEIM | (entprechendes Kennwort für den User; die tatsächlichen Kennwörter befinden sich im UNHB Keepass) |
| Profle: | ppp-lorawan | (wurde im vorherigen Schritt angelegt) |
Interace/L2TP-Server
Im PPP-Interface Menü unter der Option L2TP Server müssen nun weitere Einstellungen definiert werden:
| Default-Profile: | ppp-lorawan | (bzw. das Profil der im vorher angelegt wurde) |
| Authentication: | mschap2 | |
| Use IPsec | Aktivieren | |
| IPsec Secret | SUPERGEHEIM | (echtes Kennwort steht im UNHB-Keepass) |
IP
IPsec
Peers
Neuen Peer anlegen mit den folgenden Einstellungen:
| Enabled: | Aktiviert | |
| Name: | peer-lorawan | (kann frei gewählt werden) |
| Address | 0.0.0.0/0 |
Hinweis: Auf der Webseite die am Anfang verlinkt ist gibt es noch weitere Parameter für Peers die in unserer RouterOS Version gar nicht mehr auftauchen.
Mode Configs
Auch hier ein neuen Eintrag anlegen:
| Name: | lorawan | (kann frei gewählt werden) |
| Address Pool | ppp-lora-dhcp-pool | (der, der ganz am Anfang angelegt wurde) |
| Address Prefix Lenght: | 24 |
Proposals
Wieder wird ein weiterer Eintrag hinzugefügt:
| Enabled: | Aktiviert | |
| Name: | lorawan-proposals | (kann frei gewählt werden) |
| Auth. Algorithms: | sha256 | |
| Encr. Algorithms: | aes-128 cbc, aes-192 cbc, aes-256 cbc |
Policies
| Enabled: | Aktiviert | |
| Template: | Aktiviert | |
| Action: | Encrypt | |
| IPsec Protocols: | esp | |
| Proposal: | lorawan-proposals | (wie vorher angelegt) |
Firewall
Es werden zwei Regeln benötigt um L2TP Traffic zu akzeptieren.
L2TP Regel:
| Protocol: | 17 (udp) | |
| Dest. Port | 500, 1701, 4500 | |
| In Interface: | ether1 | (ether1 wird bei uns als WAN Interface genutzt) |
| Connection State: | new | |
| Action: Accept |
IPsec Regel:
| Protocol: | 50 (ipsec-esp) | |
| In Interface: | ether1 | (ether1 wird bei uns als WAN Interface genutzt) |
| Action: Accept |
Wichtig: Im Webinterface können Regeln einfach per Drag-n-Drop verschoben werden. Die Regel müssen VOR der finalen DROP Regel sowie vor der "Drop all from WAN" Regel stehen.