[RFC PATCH] fff-batman-adv: Disable batman gw-selection

Adrian Schmutzler mail at adrianschmutzler.de
Di Dez 11 11:32:32 CET 2018 

Hallo,

 

nicht bei einem kaputten, aber bei einem falsch konfigurierten DHCP kann die Gateway Selection wiederum helfen.

 

Mir ist es im Rahmen von Serverumzügen gelegentlich passiert, dass beim jeweils anderen Gateway durch einen Tippfehler ein falsches Standardgateway oder ein komplett falsches Netz für den DHCP ausgestrahlt wurde.

Wird dies nicht zeitnah behoben, kann ich durch die Gateway-Selection dann die Clients an mich ziehen und so den fehlerhaften DHCP isolieren, bis das Problem behoben ist.

 

Grüße

 

Adrian

 

From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of Robert Langhammer
Sent: Montag, 10. Dezember 2018 12:22
To: franken-dev at freifunk.net
Subject: Re: [RFC PATCH] fff-batman-adv: Disable batman gw-selection

 

Hi, 

ich lese als Huptproblem kaputte DHCP Server raus. Deswegen am BATMAN 
schrauben, ist doch der falsche Weg. Man sollte lieber mal schauen, 
warum der DHCP Server seinen Dienst einstellt. Solange man dem DHCP die 
Interfaces nicht weg zieht, geht der nicht kaputt. 

Um die Gatewayselektion muss man sich allerdings kümmern. Also runter 
drehen, wenn die Leases voll werden, oder Traffic droht überzulaufen, 
usw. Da kann das eine nützliche Sache sein. 

Es ist eine der wenigen Stellschrauben in unserem schrecklichen Layer2 
Netz. Ich würde es drin lassen. Aber wie schon gesagt, man muss sich 
darum kümmern. 

Robert 

Am 09.12.2018 um 22:32 schrieb Fabian Bläse: 
> Hallo zusammen, 
> 
> On 09.12.18 16:32, Christian Dresel wrote: 
>>> Ggf. wäre hier die Meinung von jemandem interessant, der einen eigenen Exit nutzt. 
>> Macht im Prinzip keinen Unterschied, aber ich kann halt nicht mehr alles 
>> "zu mir ziehen" obwohl ich soviel Traffic übrig hab. Mit v6 kann ich das 
>> aber sowieso nicht mehr von daher kann man im Prinzip damit leben. 
>> Schlimmer ist es das vllt. das 2. Backupgateway halt Clients abbekommt 
>> ohne das es das will. Da gibts aber bestimmt möglichkeiten DHCP 
>> Antworten leicht zu verzögen beim überlasteten GW damit es "später" 
>> antwortet (könnte evtl. sogar mit iptables gehen, spätestens tc kann es 
>> garantiert) 
> Jo, sowas geht mit tc. Das ist aber immer recht fummelig. 
> Bei IPv6 gibt es theoretisch eine "Preference" im RA, allerdings müssen die Clients dann natürlich auch die Source-IP richtig wählen, dass das klappt.

> 
>>> Wie verhält es sich zwecks Kompatibilität? 
>>> Ich würde erwarten, dass die alten Router ja weiterhin Gatewayselektion brauchen, d.h. man kann die Gatewayselektion an den GWs nicht abschalten (da ändert sich dann erstmal gar nichts)?

>> japp wir werden das am Gateway weiterhin brauchen. Aber ein kaputter 
>> DHCP Server mit aktiver GW Selection am Gateway macht bei den neuen 
>> Routern halt nix mehr kaputt. 
>> 
>>> Was genau passiert, wenn man batman-adv.bat0.gw_mode überhaupt nicht setzt? 
>> dann ist es "aus" und Batman leitet DHCP Anfragen einfach weiter als 
>> Multicast ins Freifunknetz. Zur Sicherheit sollte man die Firewall 
>> nochmal prüfen nicht das die blockt (hab ich jetzt gerade noch nicht getan) 
> Das kann eine Firewall gar nicht unterscheiden, die hat keine Kenntnis von der Gateway Selection vom Batman. 
> Weiterhin blockieren wir bereits DHCP Replies von Client-Seite und DHCP Requests (Port 67) von Batman-Seite (vergleiche [1] und [2]).

> Ach ja, bei Legacy-IP DHCP ist das übrigens ein Anycast. ;-) 
> 
> Gruß 
> Fabian 
> 
> [1] https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/30-client-dhcp

> [2] https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/31-node-dhcp

> 

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181211/74bc39fe/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181211/74bc39fe/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev