[ff-firmware-devel] Mesh-VPN Begrenzung in Prozent

[Kai 'wusel' Siering]

On 04/10/14 05:23, Allan Wegan wrote:
>> Oder ist die Idee aus irgendeinem Grund total doof?
> Falls der Grund für die Trafficbegrenzung ist, dass für
> Nicht-Freifunktraffic genug Bandbreite übrig bleibt, ist der richtige
> Ort für die Limitierung der Router, hinter dem der Freifunk-Router hängt.

Ja, sicherlich technisch richtig. Operativ aber kaum machbar; das Gros
der Knoten steht bei uns bei Leuten, die plug-and-play benötigen. Die
haben keine (große) Ahnung von ihrem Equipment und möchten einfach
von uns (Freifunk) »ihre Bandbreite abgesichert« haben, sprich: daß sie
noch »genug« Luft haben.
Idealerweise, keine Frage, definiert man auf dem DSL-/Kabelrouter den
FF-VPN-Tunnel als »Hintergrundanwendungen« (Fritzbox-Slang) und läßt
den »Plaste-Router« halt werkeln, was geht (ist ja zumindest mit fastd eh'
nicht viel). Nun hat nicht jeder eine Fritz!Box, und/oder die Zugangsdaten
nicht zur Hand, oder möchte auch nicht, daß wir da rumpfuschen -- bzw.
wir wollen definitiv nicht auf Geräte des Freifunk-Knoten-Aufstellers
zugreifen, denn dann steht das Telefon im Zweifel nicht mehr still: »Aber
Ihr habt doch was geändert, und jetzt [updated sich XP nicht mehr, lädt
BILD.de langsam, tut die Kassenanwendung nicht mehr, hat der PC einen
Trojaner, ...]!«.

> Der Wunsch nach einer Out-of-The-Box-Lösung ist verständlich. Aber
> Lösungen auf dem Freifunkrouter sind prinzipbedingt immer suboptimal.
> Der Freifunkrouter sieht weder, wie viel Bandbreite wirklich zur
> Verfügung steht, noch, wieviel davon grade andere andere Geräte am
> Internetrouter nutzen wollen und wieviel von diesem Traffic dann auch
> wirklich dringend ist.

Wie gesagt, technisch stimme ich vollkommen mit Dir überein. Praktisch
allerdings haben wir zumindest mit Aufstellwilligen zu kämpfen, die nicht
einmal die Bandbreite Ihres Anschlusses kennen (daher der Wunsch nach
prozentualer Angabe, der wiederum Messen (oder besser: schlaues Raten)
bedingt), teilweise nicht einmal die Zugangsdaten zu ihren Routern.

Andererseits, wir definieren doch gerne den VPN-Zugang als Krücke und
die Verteilung über einen Funkbackbone, hin zu eigenen Uplinks, als Mittel
der Wahl. In dem Szenario paßt das, denke ich; es ist nicht optimal, aber
ein durchaus praktikabler Proof-of-Concept.

> Eine Möglichkeit, das Problem einigermaßen out-of-the-box-mäßig zu
> lösen, könnte sein, die lokalen Ethernet-Ports auf dem Freifunkrouter so
> zu konfigurieren, dass daranhängende Geräte per NAT ins Freifunknetz und
> auf den WAN-Port geroutet werden, wobei Nicht-Freifunk-Traffic
> priorisiert über den WAN-Port geht.
> Dann bräuchte man auch nicht mehr zwei Netzwerkports am Rechner, wenn
> man neben Freifunk auch noch Fullspeed-Inet haben will.

Damit, wenn ich Dich recht verstehe, integrierst Du aber den FF-Router
als elementaren Teil in das Netz des Aufstellers -- wobei er derzeit eben
nur ein Add-On darstellt, und als solches auch viel weniger beäugt wird,
denn das lokale Netz nutzt er nur für DNS und VPN-Uplink (was man so
auch in einer Firewall ggf. einrichten kann).

MfG,
-kai

-- 
Freifunk-Initiative Gütersloh
℅ Kai Siering
Schalückstraße 107
33332 Gütersloh
  
info at guetersloh.freifunk.net
Tel.: (05241) 96 46 269