
<div dir='auto'>Layer 3 Firmware geht ja gar nicht, da sind die Router immer Offline. Hab den zurück zur Normalen Firmware, weil die Layer nicht zugebrauchen ist <br><br><div data-smartmail="gmail_signature">— <br>Marc Benjamin Schatz<br>Postfach 31 11<br>Germany 95005HOF Saale<br><br>FAX: 09281-7718751<br>Tel: 09281 - 5939394<br>Telegram: @BenjaminSchatz bzw @MarcBenjaminSchatz<br>https://www.facebook.com/MarcBenjaminSchatz/<br>www.schatzbenjamin.de</div></div><div class="gmail_extra"><br><div class="gmail_quote">Am 23.05.2020 09:32 schrieb Christian Dresel <fff@chrisi01.de>:<br type="attribution" /><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hi zusammen<br>

<br>

ich hatte letztens den Effekt, das ein Layer 3 Router mit WAN Uplink vom<br>

L3 Netz abgekabselt war (kein RF vorhanden, wireguard down) somit die<br>

fff table leer. Er wirft dann anscheinend alle Pakete vom Freifunknetz<br>

gegen das WAN Interface. Man kommt zwar darüber nicht ins Internet (es<br>

fehlen Rückrouten) dennoch finde ich es ziemlich "ungeil" wenn im<br>

privaten Netz (bis sogar zum Internet hin) auf einmal Freifunkpakete<br>

auftauchen. Ich glaub Fabian meinte zwar, das dies durch Routingregeln<br>

verhindert wird, ich finde da jetzt aber eigentlich keinen Punkt der das<br>

verhindert:<br>

<br>

root@x:~# ip -6 ru sh<br>

0:	from all lookup local<br>

20:	from fc00::/7 lookup fff<br>

20:	from all to fc00::/7 lookup fff<br>

31:	from all iif eth0.7 lookup fff<br>

31:	from all iif eth0.5 lookup fff<br>

31:	from all iif eth0.6 lookup fff<br>

31:	from all iif br-mesh lookup fff<br>

31:	from all iif z lookup fff<br>

31:	from all iif y lookup fff<br>

31:	from all iif x lookup fff<br>

5000:	from all fwmark 0xc8 lookup main<br>

5001:	from all fwmark 0xc8 blackhole<br>

10000:	from fdff::f81a:675a:857e lookup fff<br>

10000:	from fdff::1 lookup fff<br>

10000:	from fdff::fa1a:67ff:fe5a:857e lookup fff<br>

10000:	from x lookup fff<br>

10000:	from x lookup fff<br>

10000:	from fe80::1 lookup fff<br>

20000:	from all to fdff::f81a:675a:857e/64 lookup fff<br>

20000:	from all to fdff::1/64 lookup fff<br>

20000:	from all to fdff::fa1a:67ff:fe5a:857e/64 lookup fff<br>

20000:	from all to 2a06:e881:340b::1/64 lookup fff<br>

20000:	from all to fd43:5602:29bd:5::1/64 lookup fff<br>

20000:	from all to fe80::1/64 lookup fff<br>

32766:	from all lookup main<br>

90043:	from all iif lo lookup fff<br>

4200000001:	from all iif lo failed_policy<br>

4200000035:	from all iif eth0.3 failed_policy<br>

4200000036:	from all iif eth0.2 failed_policy<br>

4200000043:	from all iif br-mesh failed_policy<br>

4200000045:	from all iif eth0.7 failed_policy<br>

4200000046:	from all iif eth0.5 failed_policy<br>

4200000047:	from all iif eth0.6 failed_policy<br>

4200000048:	from all iif wg_vm2fffgwcd1 failed_policy<br>

4200000049:	from all iif wg_nue2gw1 failed_policy<br>

4200000050:	from all iif wg_merkur failed_policy<br>

<br>

wenn die fff table leer ist, rutscht alles bis 32766 durch und landet<br>

dann in der main und dort ist die default route der WAN Anschluss.<br>

<br>

Mein Vorschlag:<br>

<br>

25000:	from all iif br-mesh blackhole<br>

<br>

mit einfügen. Dann sollte alles was ausm Freifunk kommt (br-mesh) noch<br>

bevor es in der main landet gefangen werden und ins schwarze Loch<br>

geschickt werden.<br>

<br>

Oder hab ich irgendwas übersehen?<br>

<br>

Noch eine zusätzliche Frage:<br>

die 5000r Regel mit dem fwmark ist doch für wireguard oder? Also alle<br>

Verbiddungen über die ein wireguard Tunnel aufgebaut wird, landet<br>

sowieso in der main richtig? Ich finds ja schon immer unschön das die<br>

Layer 3 Router bei einem Traceroute im Freifunknetz mit Telekom/whatever<br>

IP antworten, viel schöner wäre es dort eine Freifunk Adresse zu haben,<br>

immerhin ist das ein Freifunkrouter und bei reinen RF Installationen ja<br>

sowieso der Fall, dann wäre es gleicher. Wäre da nicht sowas möglich wie:<br>

<br>

0:	from all lookup local<br>

5000:	from all fwmark 0xc8 lookup main<br>

5001:	from all fwmark 0xc8 blackhole<br>

32766:	from all lookup fff<br>

fertig!<br>

<br>

Sprich zuerst für alles was wireguard macht in die main table gucken und<br>

den ganzen kompletten rest in die fff table werfen? Auch das ist erstmal<br>

nur eine Idee und absolut nicht zu Ende gedacht, kann gut sein das ich<br>

hier wieder was übersehe (z.b. bei GRE Tunnel müsste man sich dann was<br>

einfallen lassen).<br>

<br>

<br>

Gruß<br>

<br>

Christian<br>

</p>

</blockquote></div><br></div>