[PATCH 0/2] etwas Kosmetik rund um l2tp

Tim Niemeyer tim at tn-x.org
Mo Jul 25 19:56:48 CEST 2016 

Moin Robert

Ich hab mal die -dev Liste wieder ins CC gepackt.

Am Montag, den 25.07.2016, 02:14 +0200 schrieb Robert Langhammer:
> Hi,
> 
> habe mir mal die node.data genauer angeschaut. Dort taucht das fffVPN
> ebenso auf wie die l2tp oder w2mesh.
> 
> Es wird das Interface des Gateways via l2tp als orginator geführt, genau
> so wie bei fastd.
> 
> b2:99:ab:83:22:21    0.020s   (255) b2:99:ab:83:22:21 [    fffVPN]
> 0a:00:04:02:14:46    0.060s   (252) 0a:00:04:02:14:38 [     l2tp0]
> 0a:02:07:02:14:38    0.480s   (255) 0a:02:07:02:14:38 [     l2tp1]
> 
> mMn ist das ok. Die Router sehen sich nicht über die Bridges. Hatten wir
> auch schon, als das ebtables Modul nicht geladen wurde.
> 
> Kann es sein, dass fffVPN beim Monitor ausgeblendet wird? Dann sollte
> man es dort machen und den nodewatcher Patch fallen lassen.

Normalerweise sollte das nodewatcher immer nur die _direkten_ Nachbarn
zeigen. Natürlich sind dann ggfs auch fastd Verbindungen dabei.
Allerdings gehen die aktuell immer nur zu einem Gateway. Ein Gateway ist
im Monitoring nicht drin, daher sieht man keine Linien etc.

Da sehe ich also einen Widerspruch in deinen Aussagen. Entweder das l2tp
Interface macht bridging, oder aber die Knoten sehen sich nicht über
l2tp. Wenn das l2tp auf dem Gateway bridged, dann sehen sich mehrere
Knoten als _direkte_ Nachbarn über das l2tp.

Folgendes Setup wäre schlecht (wobei die Bridge ggfs auch innerhalb
eines l2tp's stecken könnte):

      batman
        |
 ---- bridge ----
 |    |    |    |
l2tp l2tp l2tp l2tp

So ein Aufbau würde dazu beitragen, dass die Pakete ohne
Routing-Entscheidung weitergeleitet werden. So Mechanismen wie das
Aggregieren der OGMs und so weiter würde das vermutlich auch zu nichte
machen.

Ja, auf den meisten Freifunk-Knoten ist ein ähnliches Setup bei den
Eth-Batman-Ports. Dort sind zwei Ports am Switch zusammen in einem vlan
Interface, welches im Batman eingehängt wird. Das ist sicherlich nicht
die beste Lösung, geht aber in den meisten Fällen mangels verfügbarer
MACs nicht anders. Vermutlich spielt es an der Stelle auch keine so
große Rolle wie bei einem VPN Server.

Tim


> Robert
> 
> Am 24.07.2016 um 21:59 schrieb Tim Niemeyer:
> > Am Sonntag, den 24.07.2016, 21:34 +0200 schrieb Robert Langhammer:
> >> Seit kurzer Zeit haben hier alle Gateways den Broker. Jetz ist mir aufgefallen, dass fastd an bleibt, allerdings ohne peers. Unschön.
> >> Im Monitoring tauchen die l2tp Tunnelpatrner als direkte Nachbarn auf. Auch nicht schön. 
> > Das deutet auf eine ungewollte Bridge hin. Normalerweise sollten die
> > anderen Knoten keine L2 Verbindung über das VPN unterhalb vom Batman
> > haben. Muss ich nochmal drüber nachdenken ich habe das Gefühl, dass da
> > ganz unangenehme Probleme entstehen können. Erinnert irgendwie an die
> > Zeit, wo batman über tinc lief.
> >
> > Tim
> >
> >> Robert Langhammer (2):
> >>   nodewatcher: ignore direct neighbours via l2tp (gateways)
> >>   fff-vpn-select: add fastd start/stop for various situations
> >>
> >>  src/packages/fff/fff-nodewatcher/files/usr/sbin/nodewatcher | 1 +
> >>  src/packages/fff/fff-vpn-select/files/usr/sbin/vpn-select   | 8 ++++++++
> >>  2 files changed, 9 insertions(+)
> >>
> >> -- 
> >> 2.8.0.rc3
> >>
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20160725/3e635964/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev