[Freifunk Franken] Zukunft des Router sperrens.

[Christian Dresel]

Hallo Tim

On 01.02.2018 18:40, Tim Niemeyer wrote:
> Moin Christian
> 
> Am Mittwoch, den 31.01.2018, 20:09 +0100 schrieb Christian Dresel:
>> Ich werde absofort keine Router mehr im keyxchange sperren. 
> Jo, ok. Danke, dass du dich so lange und immer so schnell dafür
> aufgeopfert hast das Netz stabil zu halten. Und danke, dass du uns
> mitteilst, dass wir in Zukunft in unserem eigenen Saft schmorren
> werden. Andere wären einfach klanglos abgehauen und wir hätten erst
> spät bemerkt, dass alles überkocht.

na ich glaub du kennst mich mittlerweile gut genug um zu wissen das ich
so nicht bin ;) ;)

> 
> Ich war immer froh, dass so schnell eine Lösung (sperre) gefunden
> wurde, weil mir da selbst oft die Zeit fehlte.
> 
>> Ich werde
>> die Hoods, die ich als Gatewaybetreiber betreibe selbst monitoren
>> (ich
>> bin gerade dran ein System dafür zu bauen das sich im Testeinsatz
>> schon
>> recht gut bewährt hat) und bei Probleme einzelne Router direkt am
>> Gateway sperren mit einer Kurzinfo an die ML (Der Routeraufsteller
>> ist
>> für seine Kiste verantwortlich, wenn er Mist baut und das Netz stört
>> wird er halt gesperrt...). Sollte ich nicht alle Gateways der Hood
>> selbst betreuen bleiben die Hoods dann dennoch verbunden, da sind
>> dann
>> die weiteren Gatewaybetreiber dafür verantwortlich ebenfalls zu
>> reagieren. Sollte es auf meinen Gateway dadurch zu Probleme kommen
>> und
>> die weiteren GW Betreiber nicht reagieren, behalte ich mir vor das
>> Gateway für diese Hood notfalls auch komplett abzuschalten.
> Das ist ja eine schöne Idee. Das wurde ja auch schon oft diskutiert.
> 
> Ich muss dir aber leider sagen, dass das nicht funktionieren wird. Dir
> muss klar sein, dass die anderen Gateway Betreiber da mitunter nicht so
> mitmachen können. Du hast ein schönes Monitoring, gut, andere haben das
> nicht. Andere haben nicht die Fähigkeit oder die Zeit das aufzubauen.

ich hab das Monitoring sogar noch extrem verkompliziert weil mir 2
Sachen wichtig waren die kaum jemand anders brauchen wird:
- Es muss Multiserver fähig sein, ich kann das auf jeden Server drauf
werfen und bekomm die Meldung "zentral" an ein System zurück
- Auf zu überwachende Server haben mitunter auch dritte Zugang die u.U.
mein "zentrales" System stören könnten, auch da musste eine Lösung her,
damit dritte nicht mein komplettes System mit Müll zubomben können.

Für einen "normalen" Gatewaybetreiber der ein Gerät betreibt reicht es
mitunter diese paar Scripte auf sein GW zu werfen, bisschen auf die batX
Interfaces anzupassen und sich die Ergebnisse irgendwo hin schicken zu
lassen anstatt ne XML zu erstellen (E-mail, Telegram, Jabber, etc. ;)):

https://github.com/ChristianDresel/SiMoNe/tree/master/example
(Ich bin da aktuell noch dran das alles schöner, besser und mehr zu
machen, aber es wird langsam).

Ich behaupte mal die Scripte sind so "simpel" (Si....) das dies jeder
der ein GW betreibt hoffentlich grob versteht. Die Dinger sind nun
wirklich kein Hexenwerk (das fastd Verwaltungsscript wo vermutlich jeder
Gatewaybetreiber sich kopiert hat, ist da ne ganz andere Hausnummer ;))

> 
> Die Realität ist leider so, dass sich nicht jeder in dem Maße um sein
> Gateway kümmern kann wie andere. Du kannst nicht deine Maßstäbe als
> Messlatte nehmen, auch wenn das alles so schön wäre. :(
> 
> Wenn du nun also anfängst andere Gateways zu sperren, nur weil diese
> deinen Anforderungen nicht nachkommen kriegen wir hier ein ernstes
> Problem. Das wird also keine Lösung sein und ich muss dich auffordern
> von deinem Plan abzulassen.

Vielleicht war das etwas missverständlich, ich werde nicht wegen ner
Kleinigkeit Gateways wegsperren. Wegen mir werde ich auch auf
Gemeinschaftsserver die mir nichts kosten gar nichts dergleichen tun.
Wenn aber jemand über meinen Hetznerserver 100Mbit Looptraffic
drüberballert muss ich einfach reagieren da bleibt mir dann gar keine
andere Wahl weil wegen Looptraffic draufzahlen, ne sry (und dann sperre
ich auch keine anderen Gateways, sondern zieh mein Gateway einfach aus
der Hood zurück). Ich denke aber das ist ein absolutes worst case
Szenario und wird nie eintreten, vllt. hätte ich es gar nicht erwähnen
sollen weil es vermutlich eh jeder so machen würde.


>> Daher stell ich mir die Frage, warum soll ich mich also "zentral" für
>> ganz Freifunk Franken um Probleme kümmern für ein System was ich für
>> veraltet ansehe und selbst gar nicht mehr verwende? Es ist schön zu
>> sehen das es durchaus Gebiete in Franken gibt wo Gateways komplett
>> selbst betrieben werden und mir widerstrebt es immer mehr hier
>> "zentral"
>> einzugreifen.
> Verständlich. Dann lass es einfach, alles gut. Wenn sich niemand
> anderes findet, der das Netz "zusammen hält" und es kein System gibt
> das irgendwie anders hin zu kriegen, dann geht es eben kaputt.

Ich bekomm es langsam etwas mit der Angst zu tun, meinst du (/meint
ihr?) wirklich das Netz klappt jetzt gleich zusammen nur weil ich keine
Router mehr sperre? Hing das Netz wirklich so sehr "an mir"? Sei(d) mal
realistisch, das ganze wird sich einpendeln, es werden sich wieder
Lösungen finden und nur weil ich keine Router mehr sperre wird Freifunk
Franken morgen nicht kaputt sein ;).
Ich glaube immer noch fest daran, das wir soweit dezentral sind, dass
das Netz sich "selbst heilen wird" auch wenn ich nichts mehr sperren
werde. Es wird uns nicht wie anderen ergehen wo das Netz nur an
einzelnen Personen hängt. Nein wir sind dezentral genug auch diesen
Schritt zu überstehen, da bin ich ganz sicher.

Und wenn jemand Fragen hat zu einer Loop, ich hab nie gesagt das ich
niemand helfen werde, im Gegenteil ich gebe meine Erfahrung und wissen
sehr gerne weiter, wenn also jemand an ner Loop scheitert und die
Ursache nicht findet, einfach melden dann bekommen wir das hin (gestern
oder wars heute früh? im IRC hab ich auch bei der Hof Hood geholfen, ich
hab nur den Router zuvor nicht gesperrt was ich im normalfall getan hätte).
Ich glaube sogar das ist recht wichtig, das dies auch andere lernen.
Zwar versuchen wir beim keyxchangev2 wirklich alles um gegen solche
Probleme vorzugehen aber auch dort werden $Dinge passieren die niemand
vorrausgesehen hat und da gibts dann keine NetmonVM mehr die so nett ist
und alle 30 Minuten ne Mail schickt und man den Router "einfach" im
Keyxchange sperren kann, da MUSS es dann vom Gatewaybetreiber kommen zu
reagieren.
Von daher ist dies jetzt auch durchaus als erster Schritt dorthin zu sehen.

> 
>> Weiterhin möchte ich meine Zeit nicht mehr in dieses "alte" System
>> investieren, sowohl die dezentralen Hoods, wie auch der keyxchangev2
>> gefallen mir deutlich besser und dann investiere ich meine Zeit
>> lieber
> Toll. Bitte Patches reviewen!

Im moment tatsächlich leider etwas andere Prioritäten, wenn Patches
dabei sind die ich auf anhieb begreife, die mir wichtig sind und wo ich
weiß die haben ne reelle Chance aufgenommen zu werden helf ich da aber
gerne mit.

> 
> Gern mal ein Vortrag vorbereiten, was man bei den neuen Gateways alles
> beachten muss.

tz... du weißt wie ich zu Vorträgen stehe :P ich hör sie mir gerne an ;)
;) Aber wer fragen hat jederzeit raus damit, ich glaub ich bin keiner
der nicht hilft.

> 
> Gern einen Studenten betreuen, der vielleicht auch ein Teil der
> Entwicklungsarbeit übernehmen könnte.

Ich hab nie studiert, ich hab keine Ahnung was ich da machen muss, ne
sorry das ist auch nicht unbedingt das, was ich gerne mach und gut kann.

> 
>> da hinein. Dazu kommt, das ich mit weiteren Sachen herumspielen
>> möchte
>> und lieber dort meine Zeit investiere. Freifunk ist für mich immer
>> noch
>> viel basteln & lernen.
> Du hast so einen schönen Wissensvorsprung. Lass uns doch bitte daran
> teilhaben.

https://wiki.freifunk-franken.de/w/KeyXchangeV2
https://wiki.freifunk-franken.de/w/Dezentrale_Hood
https://wiki.freifunk-franken.de/w/Freifunk-BGP-Gateway
und auch sonst, steh ich für Fragen immer zur Verfügung, ich denke das
sollte eigentlich bekannt sein. Wenn ich "mehr" tun soll, sag(t) mir
bitte was, ich wüsste aktuell nicht was ich noch tun kann (nein keine
Voträge :P).

> 
>> Alternativ können natürlich auch andere Leute die Probleme
>> übernehmen,
> Wie ich sehe hat sich innerhalb von einem Tag schon mal keiner
> gemeldet. Irgendwie rechne ich auch nicht damit, dass das passieren
> wird.
> 
> Meiner Meinung nach müssen wir da irgendwie anders raus. Ich schlage
> daher vor:
> a) Sperrseite in der Default-Hood (kein "Internet-Zugriff")

wie bereits im IRC gesagt:
Ich steh da voll dahinter wenn du es umsetzt. Sollten dann beschwerden
aus den Großraum Nürnberg/Fürth/Erlangen (ich sag mal grob 50KM Umkreis
zu meinen Wohnort) kommen, bin ich auch gerne bereit das ganze Vor-Ort
zu reparieren. Wird dann aber vermutlich darauf hinauslaufen das ich
"einfach" die v2 flashen werde und diese korrekt einrichte (sofern sich
niemand findet dem diese Router gehören, dann "übernehme" ich sie)

> b) Alles was Hoods verbindet automatisch für Zeit x sperren
> 
> a) Wollten wir schon laaange mal gemacht haben. Hatten das auch kurz
> Aktiv. Leider gab es dann eine Flüchtlingsunterkunft die nicht
> ordentlich betreut wurde. Die Menschen dort mussten unter der Sperre
> leiden, weil ein "Admin" sich nicht gekümmert hat. Wir haben die Sperre
> aus Mitleid entfernt. Ich gehe aber davon aus, dass der "Admin" jetzt
> mal fleissig war und wir die Sperre jederzeit wieder aktivieren können.
> 
> b) Dabei werden dann _alle_ Knoten die an der Verbindung beteiligt sind
> gesperrt. Das trifft dann leider auch Knoten die gar keine Schuld
> haben. Aber im Gegenzug dürfen alle anderen Knoten in den beiden Hoods
> gut weiter laufen. Die Zeit x würde dann z.B. bei 4 Stunden anfangen.
> Danach könnte man automatisch entsperren. Tritt danach noch eine
> Störung auf, wird für 8h gesperrt usw.. 

das ist mir total wumpe, wenn es jemand machen will hab ich nichts
dagegen, nur zu.

mfg

Christian

> 
> Grüße
> Tim
> 


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20180201/dc6ad608/attachment.sig>