Mix-Server Konfiguration

From JonDonym Wiki
Revision as of 12:09, 12 March 2010 by Geko (Talk | contribs)
Jump to: navigation, search

File:En.png File:De.png

Contents

MixConfigTool installieren

Die Konfiguration der Mix-Server erfolgt mit einer komplexen XML-Datei. Um die Betreiber bei der Erstellung der Konfiguration zu unterstützen, bieten wir das MixConfigTool. Das Tool sorgt dafür, dass eine fehlerfreie KOnfiguration erstellt wird.

Das MixConfigTool ist eine Java-Anwendung. Man benötigt ein Java Runtime Environment, um die Anwendung zu starten. Wir empfehlen Sun-Java6 or OpenJDK6.

  • Für Windows kann man Java von der Website http://www.java.sun.com holen.
  • Unter Linux/UNIX kann man Java mit der Paketverwaltung installieren. Nutzen sie die Pakete sun-java6-jre or openjdk6-jre.

Das MixConfigTool steht als JAR-Datei zum Download bereit: MixConfig.jar. Nach dem dem Download startet man das Tool auf der Kommandozeile mit:

java -jar /path/to/MixConfig.jar

Debian/Ubuntu Paket

Für Debian und Ubuntu steht das MixConfigTool auch im Repository der JonDos GmbH zur Verfügung. Um das Repository zu nutzen, ist in der Datei /etc/apt/sources.list die folgende Zeile zu ergänzen. Dabei ist DISTRI durch die verwendete Distribution zu ersetzen. Im Moment werden lenny, squeeze, sid, intrepid, jaunty, karmic und lucid unterstützt.

deb http://debian.anonymous-proxy-servers.net DISTRI main

Das Repository ist mit dem OpenPGP Schlüssel 0xF1305880 signiert. Nach dem Download des Key ist der Fingerabdruck zu verifizieren un die Datei in den APT-Keyring einzufügen:

gpg --recv 0xF1305880
gpg --fingerprint 0xF1305880
fingerprint: 1866 F973 8C97 A3D6 56A4  E142 F510 0840 F130 5880
gpg --export 0xF1305880 | sudo apt-key add -

Danach kann man das MixConfigTool und eine evtl. noch benötigte Java-JRE installieren:

sudo apt-get update 
sudo aptitude install mix-config-tool

Nach der Installation findet man in der Programmgruppe Dienstprogramme einen Menüeintrag, um das Tool zu starten.

Mix Konfiguration erstellen

Nach dem Start des MixConfigTool wählt man den Button "Create new configuration..." und folgt dem Assistenten.

1. Schritt: Parameter zur Mix-Kaskade

Screen1.png
  • Es ist die Position des eigenen Mix in der Kaskade zu wählen (Entry-, Middle oder Exit-Mix).
  • Für Premium-Dienste ist die Option enable payment zu aktivieren.
  • Nur bei Entry-Mixen ist der Name der Kaskade einzutragen.
  • Es sind die Netzwerkschnittstellen und Ports zu konfigurieren, an denen der Mix lauscht.

Bei Entry-Mixen ist es üblich drei Ports für eingehende Verbindungen zu öffnen (80, 443 and 6544). Middle- und Exit-Mixe verwenden in der Regeln nur Port 6544, da nur eine Verbindung vom vorherigen Mix aktzeptiert wird. Vergessen sie nicht die Anpassung der Firewall-Regeln auf dem Server.

2. Schritt: Parameter für den Mix-Prozess

Screen2.png
  • Loggin Optionen: Normalerweise wird man im Produktions-Betrieb die Log-Dateien in eine Verzeichnis schreiben. Größe und maximale Anzahl der Anzahl der alten Logdateien können angegeben werden. Der Mix kümmert sich selbständig um die Rotation der Logdaten.
  • Die Log-Daten können mit einem X509-Zertifikat verschlüsselt werden. Das sollte unbedingt geutzt werden, wenn sensible Informationen ins Log geschrieben werden.
  • Es ist die UID eines niedrig priveligierten System-Users anzugeben. Der Mix wechselt nach dem Start zu diese UID.
  • Die max. Anzahl Anzahl der offenen Filedescriptoren ist anzugeben, üblicherweise 32684.
  • Nur für Entry-Mixe ist die maximale Anzahl der Nutzer der Kaskade zu konfigurieren.
  • Wurde die Mix-Software mit der Option --enable-server_monitoring compiliert, kann das Netzwerk-Interface und der Port spezifiziert werden, an welchem der Mix Statusinformationen bereitstellt.
  • Für kostenfreie Entry-Mixe ist die Bandbreitenbegrenzung (Traffic Shaping) der einzelenen Nutzer zu konfigurieren.

3. Schritt: Erstellen bzw. Importieren der Zertifikate

Screen3.png
  • Als Erstes ist das Oprator Zertifikat zur importieren bzw. zu erstellen (rechte Seite).
  • Um das Zertifikat zu erstellen füllen sie die Angaben im unteren Bereich aus und wählen sie den Button Create. Nutzen sie ein starkes Passwort für den Sutz des Privaten Schlüssel.
  • Dann ist das Mix-Zertifikat zu erstellen (linke Seite).
  • Die Angaben im unteren Bereich sind auszufüllen und der Button Create zu wählen. Dabei wird das Mix-Zertifikat mit dem Operator-Zertifikat signiert.
  • Abschließend sind die Zertifikate (public) zu exportieren und den Partner-Mixen zur Verfügung zu stellen .

Um das Oprator-Zertifikat von der JonDos GmbH signieren zu lassen, kann der Assistent eine E-Mail erstellen.

4. Schritt: Zertifikate der Partner-Mixe importieren

Screen4.png

An dieser Stelle können die Zertifikate der Partner-Mixe importiert werden. Um eine vollständige Validierung des Zertifizierungspfades zu gewährleisten, sind Mix- und Operator-Zertifikat zu importieren.

5. Schritt: Exit Mix Konfiguration

Screen5.png

Für Exit-Mixe ist die Netzwerkschnitte des Squid-Proxy zu konfigurieren (IP-Adresse + Port).

Nur für Premium Exit Mixe ist auch die Adresse des Dante SOCKS Proxy zu konfigurieren.

6. Schritt: CSR und Zertifikate an JonDos GmbH senden (optional)

Abschließend kann eine E-Mail erstellen lassen, welche die Zertifikate und den CSR an die JonDos GmbH sendet. Man erhält ein signiertes Oprator-Zertifikat per Mail als Antwort. Dieses Zertifikat ist unter 4. Schritt zu importieren.

Die JonDos GmbH kann den Austausch der Zertifikate zwischen den Betreibern organisieren.

Sind alle Angaben vollständig, kann man die Konfiguration speichern und auf den Server übertragen.

Personal tools