Dezentrale Hoods planen

[Tim Niemeyer]

Moin

On Wed, 2019-02-13 at 10:54 +0100, freifunk at beibecks.de wrote:
> > Das dezentrale Gateway wird über Richtfunk und/oder VPN
> > Verbindungen über den Internetanschluss mit dem "normalen" FFF Netz
> > verbunden und ist somit ein Teil des großen Ganzen
> > Einsatz von effizienten VPN Tunneln
> > Ein Peeringpartner wird benötigt, welcher einem die Gegenstelle
> > bereitstellt
> > Durch mehrere Peerings mit unterschiedlichen Leuten besteht quasi
> > immer eine Notfallroute, selbst wenn ein oder mehrere Gateways im
> > Internet ausfallen
> > Klartext: Wenn das Gateway genügend Hardwareleistung hat, bekomme
> > ich fast die ganze Geschwindigkeit die dort ankommt hinten wieder
> > raus!
> > Hier ist vielleicht noch wichtig zu verstehen, dass wir zwar echtes
> > Routing machen, aberda wir ohne Full-Table arbeiten, sehen die
> > Router meistens nicht die optimalen Routen. Das führt dazu, dass
> > man nur die anderen Freifunker über mehrere Verbindungen zeitgleich
> > erreichen kann. Das Internet ist aber immer nur über eine
> > Verbindung zur gleichen Zeit erreichbar. (Bricht die Verbindung
> > weg, wird auf eine alternative ausgewichen, aber es findet kein
> > "Load-Balancing" statt!).
> 
> Das ist aufgrund des aktuell eingesetzten Babel so?!

Tatsächlich ist das ein sehr spannender Punkt. Ich denke theoretisch
sollte man das hinbasteln können. Linux sollte eigentlich multipath
routing beherrschen. Wenn babel die passenden Routen in den Kernel
schreiben würde, dann müsste es eigentlich gehen. Zu beachten ist dabei
natürlich, dass das je auf den unterschiedlichen Protokollen (v4/v6)
ggfs anders funktioniert.

Letztlich laufen aber die meisten Verbindungen ins Internet dann aber
nicht mehr korrekt ab, weil bei IPv4 NAT und bei IPv6 Source-Specifics
verwendet werden. Bei IPv6 bricht es wenigstens nicht kaputt, aber
bringt auch für einzelne Verbindungen keine Vorteile.

IPv6: Jedes Endgerät bekommt mehrere IPs zugeteilt und pro IP ein
entsprechendes Gateway. Die Gateways werden nach Absender IP passend
gewählt.

IPv4: Das Endgerät bekommt eine private IP, welche ins Internet hinter
NAT "versteckt" wird. Würden Pakete auf ein anderes Gateway gelenkt
werden, würde sich aus Sicht des ggü die Absender IP ändern, womit die
Verbindung bricht.

In kurz: Es ist kompliziert..  

> > Man kann an sein dezentrales Gateway sowohl Router mit FFF-Firmware 
> > anschließen...
> > Identischer Funktionsumfang wie vorher
> > Wie ist hier die Bandbreite im vergleich zu einem v2 Setup? Es ist
> > kein FastD mehr nötig, aber gibt es noch immer eine Bremse??
> > 
> > Das war mal so eine Idee, ja.
> > 
> > Die Tendenz geht heute ganz klar gegen das Hoodfile und gegen
> > Batman-Adc. Dieses wird es vermutlich so nicht geben.
> > 
> > ...oder Router mit der originalen Hersteller Firmware 
> > Größere Auswahlmöglichkeit
> > -> Eventuell mehr Updates, je nach Hersteller
> > -> Outdoorfähig mit 5GHz, unserer FFF-Firmware fehlt die DFS-
> > Zertifizierung
> > Unveränderter Datendurchsatz, da das Gerät einfach nur als
> > AccessPoint arbeitet
> > 
> > Das Verständnis ist heute so, dass es mit WDS, 802.11s sowie div.
> > propritären "Meshing-Protokollen" genügend Möglichkeiten gibt sich
> > eine "WLAN Wolke" zu bauen. In dem Sinne ist das von dir
> > aufgezeigte Vorgehen absolut gut und korrekt. Freifunk Firmware für
> > Knoten ist nicht mehr nötig.
> 
> Was ja in sehr vielen Fällen total verständlich ist, gerade mit DFS
> usw.
> Aber es ist halt dennoch schade, dass wir diese coole Plug'n'Play
> Funktionalität mit unserer FW aufgeben müssen ;)
Für den "Hotspot" Gedanken der sicherlich hier und da ganz nett ist,
mag das so sein. Trotzdem ist es für eine Freifunk Community schwer,
wenn das Verhältnis zwischen Netzwerkern und Hotspotaufstellern nicht
mehr passt. In meinen Augen passt das bei uns ganz und gar nicht mehr,
von daher finde ich es total okay wenn das Plug'n'Pray nicht mehr so
einfach ist. Wir werden damit vielleicht weniger Leute abholen, aber
diejenigen welchen werden sich sicherlich deutlich stärker mit der
Community identifizieren. Letztlich ist das aber auch eigentlich total
egal weil die Hotspots können ja mit der "v2 Technologie" gut betrieben
werden.

Anders gesagt: Für jemanden, der sich nicht mit Freifunk und der
Freifunk Community beschäftigen will, für den ist ein "dezentrales
Setup" eh das absolut falsche!

> > Man ist eigentlich gar nicht mehr von der Firmware Entwicklung der
> > Freifunker abhängig 
> > Nötig ist lediglich ein Gerät (Router, Mini-Rechner, PC, Server,
> > VM, ...), welches Verbindungen irgend einer Art zu einem anderen
> > Gerät im Freifunknetz herstellt
> > Ansatz: Linux Installation analog zu v2-Gateway
> > Ohne fastd VPN für Knoten
> > Mit Wireguard VPN zu zentralen Gateway
> > Ja. Ich persönlich favorisiere natürlich GRE über Wireguard, aber
> > das ist halt meine Geschmacksrichtung, die einfach nur um ein
> > vielfaches schneller ist.
> 
> Warum machst du denn den Tunnel im Tunnel?
> Was ist der Vorteil?
Das wäre ein Nachteil! Gemeint ist, dass ich auf jeden Fall eher einen
GRE Tunnel machen würde, als einen Wiregaurd Tunnel.

> > Es gibt Stand heute privat entwickelte Firmwares für die "üblichen"
> > von FFF unterstützen Router Modelle
> > Benutzung auf eigene Gefahr!
> > Wird bereits von vielen Freifunkern genützt und getestet (auch von
> > mir, läuft super!)
> > Man hat alles in einem Gerät, inklusive WLAN
> > Es ist eine offizielle FFF-Firmware für dezentrale Gateways in
> > Arbeit, ebenfalls für die "üblichen" Modelle
> > Es gibt kein festes Datum, die Entwickler arbeiten daran 
> > Wer Firmware bauen kann ist immer gerne als Unterstützung
> > willkommen!
> > 
> > Richtig, aber mit den oben erwähnten Tendenzen.
> 
> Ich würde hier keine Einschränkungen machen und jeden willkommen
> heißen, der überhaupt Interesse hat =)
Natürlich, da hast du absolut Recht.

Gemeint war: Es ist eine offizielle FFF-Firmware "mit oben erwähnten
Tendenzen" für dezentrale Gateways in Arbeit.


> > ...
> > 
> > Was für mich jetzt vor allem interessiert, welche Geräte lohnen
> > sich für was?
> > Was sind die Vor- und Nachteile?
> > Für welche Leitung benötige ich welche Leistungsklasse?
> > "übliche" Router Modelle mit spezial Firmware für dezentrale
> > Gateways
> > Man hat die "fertige" Firmware von den Profis
> > Jein. Das ist zwar einerseits fertig, andererseits ist es bitte
> > noch ordentlich zu konfigurieren und man muss sich natürlich seine
> > Peering/Transit Partner suchen.
> > 
> > Das Dezentrale Setup ist _kein_ Ersatz für das zentrale Zeugs. Es
> > gibt im Moment keine Tendenzen das Setup "so einfach wie möglich"
> > zu machen, damit es jeder einfach so verwenden kann. Wer da
> > mitmachen will muss sich mit den Sachen auch beschäftigen. Schwer
> > ist das alles absolut nicht und jeder wird in der Lage sein sich
> > einzuarbeiten, dafür ist die Community ja jederzeit da und kann
> > Hilfe geben. Aber am Ende baut man sich selber ein Netzwerk und
> > verbindet sich mit anderen. Das eigene Netzwerk muss von einem
> > selbst gepflegt werden, da gibt es kein Fransel mehr, der das für
> > einen macht, so wie das jetzt aktuell bei den zentral verwalteten
> > Hotspots ist.
> > 
> > Man hat ein Gerät für alles (Gateway, WLAN, Router, Switch)
> > Es ist deutlich schneller als ein normaler v2 Knoten
> > Es ist (noch) deutlich komplizierter zu konfigurieren als ein v2
> > Knoten 
> > Relativ billig, geringer Stromverbrauch
> > 
> > Geräte:
> > TP-Link WDR4900 v1
> > Standardempfehlung, 
> > Starke CPU -> Schnelle VPN Verbindung
> > 802.11n auf 5GHz mit 3x3MiMo -> gutes WLAN (nur indoor!)
> > Gemessener Bandbreitenrekord: 190 Mbit/s  (bitte ändern, wenn
> > jemand mehr hat!)
> > Ins Internet habe ich mit etwas über 190 MBit/s gemessen. Da lag
> > das Limit aber nicht am Gerät.
> > 
> > Das besondere an den Dinger ist die PowerPC Architektur die einfach
> > unschlagbar ist.
> > 
> > TP-Link 1043ND
> > Standard Freifunk Router
> > Nur 2.4GHz WLAN
> > Gemessener Bandbreitenrekord: x Mbit/s  (bitte ändern, wenn jemand
> > mehr hat!)
> > TP-Link Archer C60
> > Verfügbar
> > 802.11ac auf 5 GHz mit 2x2 MiMo -> schnelles WLAN (nur Indoor)
> > Gemessener Bandbreitenrekord: x Mbit/s  (bitte ändern, wenn jemand
> > mehr hat!)
> > 
> > Ich würde am ehesten zu Geräten ohne WLAN raten.
> 
> Diesen Punkt versteh ich immer noch nicht richtig,
> Ok, wenn ich ein cooles Setup bauen will, mit Hochleistungs-APs, dann
> macht dies Sinn.
> Oder wenn das Gateway an einem Ort seht, an dem ich einfach kein WLAN
> brauche.
> Wenn ich aber einfach in meiner Mietswohnung dezentralen Freifunk
> haben, dann ist so ein Kombigerät das perfekte.
Ich denke, von den Setups, wo ein "dezentrales Setup" gemacht werden
sollte, da ist das Szenario mit der Mietswohnung eher die Minderheit.
Und die Leute die das machen, machen das weniger weil sie ein Gäste-
WLAN haben wollen (vllt auch, aber sicher nicht nur), sondern weil Sie
ihr eigenes Netzwerk mit Freifunk verbinden wollen. Es bietet sich also
in so einem Fall eher an kein "Freifunk WLAN" zu machen, sondern das
auf den eh vorhandenen APs ggfs einfach per VLAN eine zusätzliche SSID
raus zu lassen.

> Er ist ein leichter Anfang durch die "fertig" FW, er macht mir ein
> Gäste-WLAN, er braucht wenig Strom, und sobald ich mehr als den WAN-
> Port anschließe, hab ich auch den vollen Funktionsumfang. 
Ich sehe da wenig Sinn drin ein "dezentrales Setup" zu machen, nur um
einen einzelnen Hotspot zu bedienen! Das kann man genauso gut auch ohne
Routing machen, in dem man sich ein Tunnel zu einem Gateway legt.

Der Vorteil entsteht erst, wenn die mehrere Peerings machen möchtest,
oder wenn du mehrere Netze announcen möchtest oder weil du da einfach
tiefer einsteigen willst.

Der Nachteil eines Routers mit integriertem WLAN ist die höhere
Komplexität. Immerhin hast du ein AP und einen Router in einem Gerät,
wenn du nur eines von beidem Updaten möchtest, hast du gleich die
doppelte Arbeit.

> Ebenso für ein kleines Büro, Laden, etc.
> > Mini-Rechner
> > Geringer Platz- und Strombedarf
> > Relativ günstig
> > Meist wenig Leistung, wenig Anschlüsse
> > Oft nur 1 LAN-Port
> > Oft kein Wlan
> > Anschlüsse teils über USB 2 angesteuert -> langsam
> > fast alles kann (per USB) nachgerüstet werden
> > Wenn SD-Karten als Festplattenersatz eingesetzt werden, sollten
> > hochwertige verwendet werden
> > Diese sind tendenziell nicht auf viele Lese-/Schreibvorgänge
> > ausgelegt
> > Durch Image-Backup relativ unproblematisch, da Karten billig sind
> > und 2-5 Jahre halten sollten (keine pauschale Aussage möglich)
> > Geräte:
> > Raspberry 3B+
> > 1 LAN Port, via USB 2.0 -> 240 Mbit/s brutto
> > schwache Hardware
> > Gemessener Bandbreitenrekord: ca 150 Mbit/s, stark schwankend
> > (bitte ändern, wenn jemand mehr hat!)
> > ODROID-XU4(Q)
> > 1x Gigabit LAN
> > USB 3.0
> > eMMC Speicher
> > Viel Rechenleistung für ein ARM-System
> > Gemessener Bandbreitenrekord: x Mbit/s  (bitte ändern, wenn jemand
> > mehr hat!)
> > Das Ding ist ziemlich teuer. Performance ist total geil, wenn man
> > keine Crypto braucht. Hier hilft also z.B. GRE.
> > 
> > Hier läuft ein Tor-Exit auf so einem Teil:
> > http://185.220.100.255/
> 
> Gut aufgepasst! 
> Lass mich raten, die haben keinen AES Beschleuniger auf der CPU und 
Korrekt

> Wireguard könnte diese Beschleuniger nutzen??
Wireguard kann leider kein AES benutzen, sondern setzt auf eine
Software Implementierung, die von generic CPUs besser berechnet werden
kann. Mehr Details auf der Wireguard Projekt Webseite.

> Oder was war die Anspielung?
Nein. Auf was?

> > Du kannst jedes beliebige VPN nutzen, was L3 oder L2 (etwas
> > langsamer) kann. Das verwendete VPN wird zwischen den Peering-
> > Partner ausgehandelt.
> > 
> > Ich würde dir GRE empfehlen.
> 
> Jawoll, für L3 bin ich da flexibel. Aber ohne Babel komme ich ja
> trotzdem nicht weiter, korrekt?

Naja, wenn du eh nur ein Hotspot betreiben willst, brauchst du
eigentlich nicht zwingend Babel. Da würde es eigentlich reichen, wenn
du ein Tunnel zu einem Gateway machst und das Gateway dein IP-Netz dann
für dich im Babel announced.

Aber ja, wenn du in der Lage sein möchtest selber Netze zu announcen
oder mehrere Peerings einzugehen, dann brauchst du Stand heute
eigentlich ein Babel.

Ich experimentiere zur Zeit damit Babel abzulösen, aber da ich da sehr
wenig Zeit für habe kann ich noch keine tollen Ergebnisse zeigen.

> > Dann hier noch n Tipp für GRE:
> > * benötigt feste IPs auf beiden Seiten, alternativ kann man sich
> > mit Scripten behelfen, die die IP Config nach einem IP-Wechsel
> > entsprechend aktualisieren.
> 
> Wenn der GRE Server im Babelnetz hängt, könnte man dann für den
> Client einen DNS Namen benutzen, der im FFF Netz gültig ist? Damit
> wäre das Thema ganz einfach erledigt.

Die "Freifunk IP" im DNS eintragen um auf deine "Public IP" ein Tunnel
zu machen? Entweder ich hab das jetzt komplett verdreht, oder du warst
es.. ;)

Grüße
Tim

> > * Geht in aktuell DOCSIS 3.0 Modems kaputt (entweder ein ganz altes
> > Cisco oder ein DOCSIS 3.1 Gerät nehmen; VF kann die auf
> > hartnäckiger-Anfrage tauschen)
> > 
> > Tim
> > 
> 
> Grüße,
> Sebastian
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20190213/30a75f31/attachment.sig>