<div dir="auto">Hallo Benjamin,<div dir="auto"><br></div><div dir="auto">bist du die Anleitung der Layer3 Firmware auch genau gefolgt?</div><div dir="auto">Ich habe auf der Mailingliste nie eine Mail von dir gelesen, dass du einen peeringpartner suchst und hab dich auch nie eine Frage, "ich hab da ein Problem, wie geht das",stellen sehen.</div><div dir="auto"><br></div><div dir="auto">DOCH! Die Layer3 Firmware funktioniert super!</div><div dir="auto"><br></div><div dir="auto">Mein Gefühl sagt mir, du hast dich nicht richtig damit beschäftigt was diese Firmware überhaupt tut und wie sie funktioniert.</div><div dir="auto">Einfach nur installieren, ne E-Mail Adresse und hinstellen geht da halt nicht mehr. Es ist etwas mehr Handarbeit gefragt.</div><div dir="auto"><br></div><div dir="auto">Wenn du dieser Firmware noch eine Change geben willst, darfst du gerne deine Fragen hier auf der Mailingliste stellen. :)</div><div dir="auto">Wir werden dir die Fragen nach bestem Wissen und Gewissen beantworten. :-)</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr"> <<a href="mailto:freifunk-franken@mitglied.benjamin-schatz.de">freifunk-franken@mitglied.benjamin-schatz.de</a>> schrieb am Sa., 23. Mai 2020, 10:30:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Layer 3 Firmware geht ja gar nicht, da sind die Router immer Offline. Hab den zurück zur Normalen Firmware, weil die Layer nicht zugebrauchen ist <br><br><div data-smartmail="gmail_signature">— <br>Marc Benjamin Schatz<br>Postfach 31 11<br>Germany 95005HOF Saale<br><br>FAX: 09281-7718751<br>Tel: 09281 - 5939394<br>Telegram: @BenjaminSchatz bzw @MarcBenjaminSchatz<br><a href="https://www.facebook.com/MarcBenjaminSchatz/" target="_blank" rel="noreferrer">https://www.facebook.com/MarcBenjaminSchatz/</a><br><a href="http://www.schatzbenjamin.de" target="_blank" rel="noreferrer">www.schatzbenjamin.de</a></div></div><div class="gmail_extra"><br><div class="gmail_quote">Am 23.05.2020 09:32 schrieb Christian Dresel <<a href="mailto:fff@chrisi01.de" target="_blank" rel="noreferrer">fff@chrisi01.de</a>>:<br type="attribution"><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hi zusammen
<br>
<br>
ich hatte letztens den Effekt, das ein Layer 3 Router mit WAN Uplink vom
<br>
L3 Netz abgekabselt war (kein RF vorhanden, wireguard down) somit die
<br>
fff table leer. Er wirft dann anscheinend alle Pakete vom Freifunknetz
<br>
gegen das WAN Interface. Man kommt zwar darüber nicht ins Internet (es
<br>
fehlen Rückrouten) dennoch finde ich es ziemlich "ungeil" wenn im
<br>
privaten Netz (bis sogar zum Internet hin) auf einmal Freifunkpakete
<br>
auftauchen. Ich glaub Fabian meinte zwar, das dies durch Routingregeln
<br>
verhindert wird, ich finde da jetzt aber eigentlich keinen Punkt der das
<br>
verhindert:
<br>
<br>
root@x:~# ip -6 ru sh
<br>
0: from all lookup local
<br>
20: from fc00::/7 lookup fff
<br>
20: from all to fc00::/7 lookup fff
<br>
31: from all iif eth0.7 lookup fff
<br>
31: from all iif eth0.5 lookup fff
<br>
31: from all iif eth0.6 lookup fff
<br>
31: from all iif br-mesh lookup fff
<br>
31: from all iif z lookup fff
<br>
31: from all iif y lookup fff
<br>
31: from all iif x lookup fff
<br>
5000: from all fwmark 0xc8 lookup main
<br>
5001: from all fwmark 0xc8 blackhole
<br>
10000: from fdff::f81a:675a:857e lookup fff
<br>
10000: from fdff::1 lookup fff
<br>
10000: from fdff::fa1a:67ff:fe5a:857e lookup fff
<br>
10000: from x lookup fff
<br>
10000: from x lookup fff
<br>
10000: from fe80::1 lookup fff
<br>
20000: from all to fdff::f81a:675a:857e/64 lookup fff
<br>
20000: from all to fdff::1/64 lookup fff
<br>
20000: from all to fdff::fa1a:67ff:fe5a:857e/64 lookup fff
<br>
20000: from all to 2a06:e881:340b::1/64 lookup fff
<br>
20000: from all to fd43:5602:29bd:5::1/64 lookup fff
<br>
20000: from all to fe80::1/64 lookup fff
<br>
32766: from all lookup main
<br>
90043: from all iif lo lookup fff
<br>
4200000001: from all iif lo failed_policy
<br>
4200000035: from all iif eth0.3 failed_policy
<br>
4200000036: from all iif eth0.2 failed_policy
<br>
4200000043: from all iif br-mesh failed_policy
<br>
4200000045: from all iif eth0.7 failed_policy
<br>
4200000046: from all iif eth0.5 failed_policy
<br>
4200000047: from all iif eth0.6 failed_policy
<br>
4200000048: from all iif wg_vm2fffgwcd1 failed_policy
<br>
4200000049: from all iif wg_nue2gw1 failed_policy
<br>
4200000050: from all iif wg_merkur failed_policy
<br>
<br>
wenn die fff table leer ist, rutscht alles bis 32766 durch und landet
<br>
dann in der main und dort ist die default route der WAN Anschluss.
<br>
<br>
Mein Vorschlag:
<br>
<br>
25000: from all iif br-mesh blackhole
<br>
<br>
mit einfügen. Dann sollte alles was ausm Freifunk kommt (br-mesh) noch
<br>
bevor es in der main landet gefangen werden und ins schwarze Loch
<br>
geschickt werden.
<br>
<br>
Oder hab ich irgendwas übersehen?
<br>
<br>
Noch eine zusätzliche Frage:
<br>
die 5000r Regel mit dem fwmark ist doch für wireguard oder? Also alle
<br>
Verbiddungen über die ein wireguard Tunnel aufgebaut wird, landet
<br>
sowieso in der main richtig? Ich finds ja schon immer unschön das die
<br>
Layer 3 Router bei einem Traceroute im Freifunknetz mit Telekom/whatever
<br>
IP antworten, viel schöner wäre es dort eine Freifunk Adresse zu haben,
<br>
immerhin ist das ein Freifunkrouter und bei reinen RF Installationen ja
<br>
sowieso der Fall, dann wäre es gleicher. Wäre da nicht sowas möglich wie:
<br>
<br>
0: from all lookup local
<br>
5000: from all fwmark 0xc8 lookup main
<br>
5001: from all fwmark 0xc8 blackhole
<br>
32766: from all lookup fff
<br>
fertig!
<br>
<br>
Sprich zuerst für alles was wireguard macht in die main table gucken und
<br>
den ganzen kompletten rest in die fff table werfen? Auch das ist erstmal
<br>
nur eine Idee und absolut nicht zu Ende gedacht, kann gut sein das ich
<br>
hier wieder was übersehe (z.b. bei GRE Tunnel müsste man sich dann was
<br>
einfallen lassen).
<br>
<br>
<br>
Gruß
<br>
<br>
Christian
<br>
</p>
</blockquote></div><br></div></blockquote></div>