[Freifunk Franken] DNS für Router (war Re: DNS)

Christian Dresel fff at chrisi01.de
Mi Mär 23 14:00:58 CET 2016 

Hallo zusammen

Ich hab nun einen DNS Server laufen der auch Router IPs auflöst. Ist
noch nicht schön aber für erste Tests kann man es schon verwenden.

Ganz großer Dank dabei geht an Peter J. Philipp der einen selbst
programmierten DNS Server ausgeschlachtet und angepasst hat, ebenfalls
danke für die Hilfe mit den delegieren der Subdomain im IRC.

Um dieses Feature nutzen zu können braucht ihr auf den Router mindestens
Version 20160213-beta oder neuer.
Ebenso müsst ihr einen DNS Server eingetragen haben, der fff.community
auflösen kann. Dies sollten nun (hoffentlich) die meisten
Gatewaybetreiber eingestellt haben, wer es noch nicht hat, gerne tun [1].

Das ganze System beruht darauf, das ich Peter seinen DNS Server auf
einer VM auf meinen Server laufen hab lassen, diese VM hängt per Olsr in
unseren L3 Netz (10.50.252.75). Unsere DNS Server (ro1, fff-gw-m1 und
fff-gw-cd1) haben die Subdomain node.fff.community auf diese VM delegiert.
Der DNS Server auf der VM antwortet auf alle Anfragen mit NOTIMPL mit
Ausname von AAAA MAC.node.fff.community wobei die MAC auch auf
Gültigkeit geprüft wird. Stimmt da irgendwas nicht, kommt immer ein
NOTIMPL zurück (alles hard codiert in Peter seinen DNS Server).

Auf gut Deutsch, mit MAC.node.fff.community könnt ihr sowohl per SSH als
auch auf das WebUI eures Routers zugreifen. In der MAC müssen dazu die
Dppelpunkte entfernt werden. Das ganze sieht bei meinem Router
Unterfuerberguplink (
https://monitoring.freifunk-franken.de/routers/5664399b44ce6e0307512960
) mit der MAC 30:b5:c2:0e:c9:54 so aus:

30b5c20ec954.node.fff.community

Aufgelöst wird das ganze in die IPv6 mit der MAC, in diesem Beispiel also:
fdff::30b5:c20e:c954

Geplant ist u.U. noch, dass ihr euch selbst einen Namen anlegen könnt
also z.b. in einem kleinen Webinterface auf irgendeinen Server gebt ihr
XYZ und die MAC 30:b5:c2:0e:c9:54 ein, daraus wird eine Zonefile
generiert und ihr kommt dann z.b. mit xyz.hnode.fff.community ebenfalls
auf euren Routern. Das ganze ist aber noch in Planung und noch nicht
umgesetzt (wenn dies der Fall ist, sag ich bescheid).

Natürlich sind die Router auch alle weiterhin ganz normal über die IPv6
erreichbar, das ganze soll nur als zusätzlicher Service (und ein
bisschen Spielzeug für mich ;)) dienen und keinesfalls den
Standartzugang komplett ersetzen!

Natürlich könnt ihr den Router trotzdem nur in eurer Hood erreichen, ihr
bekommt den Namen zwar in jeder Hood aufgelöst aber da die IPv6 nicht
geroutet wird, ist der Router weiterhin nur in der gleichen Hood erreichbar.

mfg

Christian

[1]
https://wiki.freifunk-franken.de/w/DNS#Funktionsf.C3.A4higkeit_auf_allen_GWs

Am 18.03.2016 um 18:03 schrieb Christian Dresel:
> hi
> 
> Am 18.03.2016 um 10:24 schrieb A. Schulze:
>>
>> Christian Dresel:
>>
>>> MAC.node.fff.community reinkommt, nehme den ersten Teil der Anfrage und
>>> antworte mit fdff::MAC.
>>
>> Hallo nochmal,
>>
>> auch wenn die Umsetzung eines solchen Plans charmant klingt,
>> würde ich gern nochmal den Use-Case prüfen:
>>
>>   Admin hat einen Router in der Hand.
>>   Er dreht diesen Router rum, liest die MAC ab und konstruiert daraus
>> einen DNS-Namen
>>   z.B. 30b5c20ec954.node.fff.community.
>>   Den kann er dann in den Browser abtippen.
> 
> sofern er im Freifunknetz ist und auch nen richtigen DNS Server
> eingetragen hat ja (ich hab keine Ahnung ob mittlerweile alle
> Gatewaybetreiber das DNS Zeug angepasst haben damit auch fff.community
> funktioniert).
> 
>>
>> OK, aber nicht wirklich sexy.
>>
>> für den Erstkontakt bei der Einrichtung ist's einfacher und verständlicher,
>> http://[fdff::1] in den Browser zu tippen.
> 
> und wenn 3 Nachbarrouter um einen herum stehen? Du weißt nie auf welchen
> du verbunden bist, fdff::1 ist da ziemlich gefährlich schreit ja
> regelrecht nach nen Man-in-the-Middle, man sollte hier dann schon genau
> wissen was man tut und wie man sie verwendet. Ich bin kein Fan die
> Adresse einfach immer zu verwenden. Es gibt bestimmt Sonderfälle wo es
> Sinn macht (super z.b. wenn ich wissen will auf welchen Router ich
> gerade connectet bin) also bitte nicht ganz abschaffen aber eben mit
> vorsicht genießen.
> 
>> Danach bekommt ein Router einen Namen der hoffentlich eindeutig ist
> 
> ist er nicht, der Hostname darf mehrfach vergeben werden, es gibt ja
> keine zentrale Instanz die prüft ob der Name schon vergeben ist ->
> dezentralität!
> 
>> und meldet sich bei monitoring.freifunk-franken.de
> 
> das ist eigentlich ein reines Monitoringtool, wenn man das raushalten
> kann wäre das echt toll. Es ist kein Netmonersatz! Der Netmonersatz ist
> das dezentrale WebUI eines jeden Routers. Theoretisch könnte ich das
> Monitoring clonen (die Sourcen sind offen) und auch ein Monitoring
> betreiben sofern ich an die Alfreddaten ran komme (sofern ich dort einen
> Node stehen habe, ist dies der Fall, mit ein klein wenig Ausnamen und
> Probleme die Dominik besser erklären kann (UDP und verlorene Pakete und
> das Zeug))
> 
>> ( wird da irgendwie die Eindeutigkeit des Routernamens geprüft/erzwungen? )
> 
> nein warum auch, siehe oben nur Monitoring.
> 
>>
>> Jetzt interessiert doch keine Socke mehr, welche MAC-Adresse ein Router
>> hat.
> 
> doch weil die MAC weiterhin eindeutig bleibt. Der Hostname eben nicht
> 
>> Das Ding hat einen Namen. Und den will man doch benutzen...
>> Also wäre meine Erwartungshaltung http://routername.domain im Browser
>> (oder SSH-Client) eingeben zu können.
> 
> Kompromiss, ich biete ein Formular an:
> 
> Name: [EINGABEFELD]
> MAC: fdff::[EINGABEFELD]
> 
> Du gibst einen Namen ein, ich prüfe ob den schon jemand eingegeben hat
> und wenn nein lege ich zur MAC nen DNS Eintrag fdff::MAC an welcher
> unter name.node.fff.community erreichbar gemacht wird. (Es wird geprüft
> ob die eingegebene MAC gültig ist und ob im Namen nur A-Z 0-9
> Bindestrich vorkommt und es keine ähnlichkeit mit einer MAC hat).
> 
> Da kann sich jeder dann seinen Router mit Wunschname anlegen.
> 
>>
>> Also müsste im DNS folgender Eintrag stehen: routername.domain. AAAA
>> fdff::MAC"
>> Das ließe sich komplett automatisieren. sogar ohne PHP DNS-Server :-)
> 
> ohne das Monitoring? Wenn ja wie?
> 
> mfg
> 
> Christian
> 
>>
>> Andreas
>>
> 
> 
> 
> 


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20160323/550539d0/attachment.sig>

Mehr Informationen über die Mailingliste franken