Dezentrale Hoods planen

[freifunk at beibecks.de]

Hi,

Am 13. Februar 2019 um 20:20:01 +01:00, hat Tim Niemeyer <tim at tn-x.org> geschrieben:

> Moin
> 
> On Wed, 2019-02-13 at 10:54 +0100, <freifunk at beibecks.de> wrote:
> 
> > > Das dezentrale Gateway wird über Richtfunk und/oder VPN
> > > Verbindungen über den Internetanschluss mit dem "normalen" FFF Netz
> > > verbunden und ist somit ein Teil des großen Ganzen
> > > Einsatz von effizienten VPN Tunneln
> > > Ein Peeringpartner wird benötigt, welcher einem die Gegenstelle
> > > bereitstellt
> > > Durch mehrere Peerings mit unterschiedlichen Leuten besteht quasi
> > > immer eine Notfallroute, selbst wenn ein oder mehrere Gateways im
> > > Internet ausfallen
> > > Klartext: Wenn das Gateway genügend Hardwareleistung hat, bekomme
> > > ich fast die ganze Geschwindigkeit die dort ankommt hinten wieder
> > > raus!
> > > Hier ist vielleicht noch wichtig zu verstehen, dass wir zwar echtes
> > > Routing machen, aberda wir ohne Full-Table arbeiten, sehen die
> > > Router meistens nicht die optimalen Routen. Das führt dazu, dass
> > > man nur die anderen Freifunker über mehrere Verbindungen zeitgleich
> > > erreichen kann. Das Internet ist aber immer nur über eine
> > > Verbindung zur gleichen Zeit erreichbar. (Bricht die Verbindung
> > > weg, wird auf eine alternative ausgewichen, aber es findet kein
> > > "Load-Balancing" statt!).
> > > 
> > 
> > Das ist aufgrund des aktuell eingesetzten Babel so?!
> > 
> Tatsächlich ist das ein sehr spannender Punkt. Ich denke theoretisch
> sollte man das hinbasteln können. Linux sollte eigentlich multipath
> routing beherrschen. Wenn babel die passenden Routen in den Kernel
> schreiben würde, dann müsste es eigentlich gehen. Zu beachten ist dabei
> natürlich, dass das je auf den unterschiedlichen Protokollen (v4/v6)
> ggfs anders funktioniert.
> 
> Letztlich laufen aber die meisten Verbindungen ins Internet dann aber
> nicht mehr korrekt ab, weil bei IPv4 NAT und bei IPv6 Source-Specifics
> verwendet werden. Bei IPv6 bricht es wenigstens nicht kaputt, aber
> bringt auch für einzelne Verbindungen keine Vorteile.
> 
> IPv6: Jedes Endgerät bekommt mehrere IPs zugeteilt und pro IP ein
> entsprechendes Gateway. Die Gateways werden nach Absender IP passend
> gewählt.
> Was ja kein Problem wäre und ne feine Sache

> 
> IPv4: Das Endgerät bekommt eine private IP, welche ins Internet hinter
> NAT "versteckt" wird. Würden Pakete auf ein anderes Gateway gelenkt
> werden, würde sich aus Sicht des ggü die Absender IP ändern, womit die
> Verbindung bricht.
> 
> In kurz: Es ist kompliziert..
> 
> 
> > > Man kann an sein dezentrales Gateway sowohl Router mit FFF-Firmware
> > > anschließen...
> > > Identischer Funktionsumfang wie vorher
> > > Wie ist hier die Bandbreite im vergleich zu einem v2 Setup? Es ist
> > > kein FastD mehr nötig, aber gibt es noch immer eine Bremse??
> > > 
> > > Das war mal so eine Idee, ja.
> > > 
> > > Die Tendenz geht heute ganz klar gegen das Hoodfile und gegen
> > > Batman-Adc. Dieses wird es vermutlich so nicht geben.
> > > 
> > > ...oder Router mit der originalen Hersteller Firmware
> > > Größere Auswahlmöglichkeit
> > > -> Eventuell mehr Updates, je nach Hersteller
> > > -> Outdoorfähig mit 5GHz, unserer FFF-Firmware fehlt die DFS-
> > > Zertifizierung
> > > Unveränderter Datendurchsatz, da das Gerät einfach nur als
> > > AccessPoint arbeitet
> > > 
> > > Das Verständnis ist heute so, dass es mit WDS, 802.11s sowie div.
> > > propritären "Meshing-Protokollen" genügend Möglichkeiten gibt sich
> > > eine "WLAN Wolke" zu bauen. In dem Sinne ist das von dir
> > > aufgezeigte Vorgehen absolut gut und korrekt. Freifunk Firmware für
> > > Knoten ist nicht mehr nötig.
> > > 
> > 
> > Was ja in sehr vielen Fällen total verständlich ist, gerade mit DFS
> > usw.
> > Aber es ist halt dennoch schade, dass wir diese coole Plug'n'Play
> > Funktionalität mit unserer FW aufgeben müssen ;)
> > Für den "Hotspot" Gedanken der sicherlich hier und da ganz nett ist,
> mag das so sein. Trotzdem ist es für eine Freifunk Community schwer,
> wenn das Verhältnis zwischen Netzwerkern und Hotspotaufstellern nicht
> mehr passt. In meinen Augen passt das bei uns ganz und gar nicht mehr,
> von daher finde ich es total okay wenn das Plug'n'Pray
> ;)

> nicht mehr so
> einfach ist. Wir werden damit vielleicht weniger Leute abholen, aber
> diejenigen welchen werden sich sicherlich deutlich stärker mit der
> Community identifizieren. Letztlich ist das aber auch eigentlich total
> egal weil die Hotspots können ja mit der "v2 Technologie" gut betrieben
> werden.
> 
> Anders gesagt: Für jemanden, der sich nicht mit Freifunk und der
> Freifunk Community beschäftigen will, für den ist ein "dezentrales
> Setup" eh das absolut falsche!
> Stimm ich zu

> 
> 
> > > Man ist eigentlich gar nicht mehr von der Firmware Entwicklung der
> > > Freifunker abhängig
> > > Nötig ist lediglich ein Gerät (Router, Mini-Rechner, PC, Server,
> > > VM, ...), welches Verbindungen irgend einer Art zu einem anderen
> > > Gerät im Freifunknetz herstellt
> > > Ansatz: Linux Installation analog zu v2-Gateway
> > > Ohne fastd VPN für Knoten
> > > Mit Wireguard VPN zu zentralen Gateway
> > > Ja. Ich persönlich favorisiere natürlich GRE über Wireguard, aber
> > > das ist halt meine Geschmacksrichtung, die einfach nur um ein
> > > vielfaches schneller ist.
> > > 
> > 
> > Warum machst du denn den Tunnel im Tunnel?
> > Was ist der Vorteil?
> > Das wäre ein Nachteil! Gemeint ist, dass ich auf jeden Fall eher einen
> GRE Tunnel machen würde, als einen Wiregaurd Tunnel.
> Verstanden.

> 
> 
> > > Es gibt Stand heute privat entwickelte Firmwares für die "üblichen"
> > > von FFF unterstützen Router Modelle
> > > Benutzung auf eigene Gefahr!
> > > Wird bereits von vielen Freifunkern genützt und getestet (auch von
> > > mir, läuft super!)
> > > Man hat alles in einem Gerät, inklusive WLAN
> > > Es ist eine offizielle FFF-Firmware für dezentrale Gateways in
> > > Arbeit, ebenfalls für die "üblichen" Modelle
> > > Es gibt kein festes Datum, die Entwickler arbeiten daran
> > > Wer Firmware bauen kann ist immer gerne als Unterstützung
> > > willkommen!
> > > 
> > > Richtig, aber mit den oben erwähnten Tendenzen.
> > > 
> > 
> > Ich würde hier keine Einschränkungen machen und jeden willkommen
> > heißen, der überhaupt Interesse hat =)
> > Natürlich, da hast du absolut Recht.
> 
> Gemeint war: Es ist eine offizielle FFF-Firmware "mit oben erwähnten
> Tendenzen" für dezentrale Gateways in Arbeit.
> Sehr gut =)

> 
> 
> > > ...
> > > 
> > > Was für mich jetzt vor allem interessiert, welche Geräte lohnen
> > > sich für was?
> > > Was sind die Vor- und Nachteile?
> > > Für welche Leitung benötige ich welche Leistungsklasse?
> > > "übliche" Router Modelle mit spezial Firmware für dezentrale
> > > Gateways
> > > Man hat die "fertige" Firmware von den Profis
> > > Jein. Das ist zwar einerseits fertig, andererseits ist es bitte
> > > noch ordentlich zu konfigurieren und man muss sich natürlich seine
> > > Peering/Transit Partner suchen.
> > > 
> > > Das Dezentrale Setup ist _kein_ Ersatz für das zentrale Zeugs. Es
> > > gibt im Moment keine Tendenzen das Setup "so einfach wie möglich"
> > > zu machen, damit es jeder einfach so verwenden kann. Wer da
> > > mitmachen will muss sich mit den Sachen auch beschäftigen. Schwer
> > > ist das alles absolut nicht und jeder wird in der Lage sein sich
> > > einzuarbeiten, dafür ist die Community ja jederzeit da und kann
> > > Hilfe geben. Aber am Ende baut man sich selber ein Netzwerk und
> > > verbindet sich mit anderen. Das eigene Netzwerk muss von einem
> > > selbst gepflegt werden, da gibt es kein Fransel mehr, der das für
> > > einen macht, so wie das jetzt aktuell bei den zentral verwalteten
> > > Hotspots ist.
> > > 
> > > Man hat ein Gerät für alles (Gateway, WLAN, Router, Switch)
> > > Es ist deutlich schneller als ein normaler v2 Knoten
> > > Es ist (noch) deutlich komplizierter zu konfigurieren als ein v2
> > > Knoten
> > > Relativ billig, geringer Stromverbrauch
> > > 
> > > Geräte:
> > > TP-Link WDR4900 v1
> > > Standardempfehlung,
> > > Starke CPU -> Schnelle VPN Verbindung
> > > 802.11n auf 5GHz mit 3x3MiMo -> gutes WLAN (nur indoor!)
> > > Gemessener Bandbreitenrekord: 190 Mbit/s (bitte ändern, wenn
> > > jemand mehr hat!)
> > > Ins Internet habe ich mit etwas über 190 MBit/s gemessen. Da lag
> > > das Limit aber nicht am Gerät.
> > > 
> > > Das besondere an den Dinger ist die PowerPC Architektur die einfach
> > > unschlagbar ist.
> > > 
> > > TP-Link 1043ND
> > > Standard Freifunk Router
> > > Nur 2.4GHz WLAN
> > > Gemessener Bandbreitenrekord: x Mbit/s (bitte ändern, wenn jemand
> > > mehr hat!)
> > > TP-Link Archer C60
> > > Verfügbar
> > > 802.11ac auf 5 GHz mit 2x2 MiMo -> schnelles WLAN (nur Indoor)
> > > Gemessener Bandbreitenrekord: x Mbit/s (bitte ändern, wenn jemand
> > > mehr hat!)
> > > 
> > > Ich würde am ehesten zu Geräten ohne WLAN raten.
> > > 
> > 
> > Diesen Punkt versteh ich immer noch nicht richtig,
> > Ok, wenn ich ein cooles Setup bauen will, mit Hochleistungs-APs, dann
> > macht dies Sinn.
> > Oder wenn das Gateway an einem Ort seht, an dem ich einfach kein WLAN
> > brauche.
> > Wenn ich aber einfach in meiner Mietswohnung dezentralen Freifunk
> > haben, dann ist so ein Kombigerät das perfekte.
> > Ich denke, von den Setups, wo ein "dezentrales Setup" gemacht werden
> sollte, da ist das Szenario mit der Mietswohnung eher die Minderheit.
> Und die Leute die das machen, machen das weniger weil sie ein Gäste-
> WLAN haben wollen (vllt auch, aber sicher nicht nur), sondern weil Sie
> ihr eigenes Netzwerk mit Freifunk verbinden wollen. Es bietet sich also
> in so einem Fall eher an kein "Freifunk WLAN" zu machen, sondern das
> auf den eh vorhandenen APs ggfs einfach per VLAN eine zusätzliche SSID
> raus zu lassen.
> Das würde ich jetzt gar nicht mal so unterschreiben.
Du musst dich eben in mich hineinversetzen, ich bin einer von denen, die sich von unten vorarbeiten.
Zuerst der v2 Knoten, dann als nächsten Schritt ein Router mit dezentraler Gatewayfirmware und jetzt als nächstes dezentrale auf Linux Basis.
Mein alter DSL Router konnte auch noch keine VLANs, dedizierte APs habe ich keine.
(Der neue könnte all das ;) )

Deswegen ist das für mich ein sehr normaler Ansatz auf der Reise, einfach mal den v2 gegen ein dezentrales auszutauschen, um erste Erfahrungen für mögliche Installationen vor der Haustüre zu sammeln.

> 
> 
> > Er ist ein leichter Anfang durch die "fertig" FW, er macht mir ein
> > Gäste-WLAN, er braucht wenig Strom, und sobald ich mehr als den WAN-
> > Port anschließe, hab ich auch den vollen Funktionsumfang.
> > Ich sehe da wenig Sinn drin ein "dezentrales Setup" zu machen, nur um
> einen einzelnen Hotspot zu bedienen! Das kann man genauso gut auch ohne
> Routing machen, in dem man sich ein Tunnel zu einem Gateway legt.
> 
> Der Vorteil entsteht erst, wenn die mehrere Peerings machen möchtest,
> oder wenn du mehrere Netze announcen möchtest oder weil du da einfach
> tiefer einsteigen willst.
> 
> Der Nachteil eines Routers mit integriertem WLAN ist die höhere
> Komplexität. Immerhin hast du ein AP und einen Router in einem Gerät,
> wenn du nur eines von beidem Updaten möchtest, hast du gleich die
> doppelte Arbeit.
> Ok, das war natürlich zu plump ausgedrückt.
Natürlich habe ich mehr Ansprüche als nur einen Hotspot zu betreiben.

Ich hab damit ein Gerät was alles für mich erledigt, den Hotspot, den Zugang ins FFF Netz, was man halt so alles anstellen will und wird in der Zukunft.
Außerdem ist es noch deutlich leichter zu Installieren als ein komplett eigenes Seutp.
Also das perfekte Mittelstück.

Und ja, für mich gehört bei FreiFUNK irgendwo auch ein Wlan dazu. Ob das am Schluss alles aus meinem eigenen Router oder 2 Geräten kommt ist zwar der Airtime innerhalb der Wohnung egal, aber die Leute die meinen Hotspot benutzen freuen sich, wenn dieser eben weiterhin am Fenster stehen bleibt und nicht weiter nach hinten wandert.

> 
> 
> > Ebenso für ein kleines Büro, Laden, etc.
> > 
> > > Mini-Rechner
> > > Geringer Platz- und Strombedarf
> > > Relativ günstig
> > > Meist wenig Leistung, wenig Anschlüsse
> > > Oft nur 1 LAN-Port
> > > Oft kein Wlan
> > > Anschlüsse teils über USB 2 angesteuert -> langsam
> > > fast alles kann (per USB) nachgerüstet werden
> > > Wenn SD-Karten als Festplattenersatz eingesetzt werden, sollten
> > > hochwertige verwendet werden
> > > Diese sind tendenziell nicht auf viele Lese-/Schreibvorgänge
> > > ausgelegt
> > > Durch Image-Backup relativ unproblematisch, da Karten billig sind
> > > und 2-5 Jahre halten sollten (keine pauschale Aussage möglich)
> > > Geräte:
> > > Raspberry 3B+
> > > 1 LAN Port, via USB 2.0 -> 240 Mbit/s brutto
> > > schwache Hardware
> > > Gemessener Bandbreitenrekord: ca 150 Mbit/s, stark schwankend
> > > (bitte ändern, wenn jemand mehr hat!)
> > > ODROID-XU4(Q)
> > > 1x Gigabit LAN
> > > USB 3.0
> > > eMMC Speicher
> > > Viel Rechenleistung für ein ARM-System
> > > Gemessener Bandbreitenrekord: x Mbit/s (bitte ändern, wenn jemand
> > > mehr hat!)
> > > Das Ding ist ziemlich teuer. Performance ist total geil, wenn man
> > > keine Crypto braucht. Hier hilft also z.B. GRE.
> > > 
> > > Hier läuft ein Tor-Exit auf so einem Teil:
> > > <http://185.220.100.255/>
> > > 
> > Gut aufgepasst!
> > Lass mich raten, die haben keinen AES Beschleuniger auf der CPU und
> > Korrekt
> > Wireguard könnte diese Beschleuniger nutzen??
> > 
> Wireguard kann leider kein AES benutzen, sondern setzt auf eine
> Software Implementierung, die von generic CPUs besser berechnet werden
> kann. Mehr Details auf der Wireguard Projekt Webseite.
> 
> > Oder was war die Anspielung?
> > 
> Nein. Auf was?
> Nichts, wir meinten beide das selbe.

> > > Du kannst jedes beliebige VPN nutzen, was L3 oder L2 (etwas
> > > langsamer) kann. Das verwendete VPN wird zwischen den Peering-
> > > Partner ausgehandelt.
> > > 
> > > Ich würde dir GRE empfehlen.
> > > 
> > 
> > Jawoll, für L3 bin ich da flexibel. Aber ohne Babel komme ich ja
> > trotzdem nicht weiter, korrekt?
> > 
> 
> Naja, wenn du eh nur ein Hotspot betreiben willst, brauchst du
> eigentlich nicht zwingend Babel. Da würde es eigentlich reichen, wenn
> du ein Tunnel zu einem Gateway machst und das Gateway dein IP-Netz dann
> für dich im Babel announced.
> 
Ja stimmt.Dazu muss ich entweder ein eigenes Gateway betreibe oder einen Gatewaybetreiber bitten mir dieses Setup aufzusetzen.

> 
> Aber ja, wenn du in der Lage sein möchtest selber Netze zu announcen
> oder mehrere Peerings einzugehen, dann brauchst du Stand heute
> eigentlich ein Babel.
> 
> Ich experimentiere zur Zeit damit Babel abzulösen, aber da ich da sehr
> wenig Zeit für habe kann ich noch keine tollen Ergebnisse zeigen.
> 
> 
> > > Dann hier noch n Tipp für GRE:
> > > * benötigt feste IPs auf beiden Seiten, alternativ kann man sich
> > > mit Scripten behelfen, die die IP Config nach einem IP-Wechsel
> > > entsprechend aktualisieren.
> > > 
> > 
> > Wenn der GRE Server im Babelnetz hängt, könnte man dann für den
> > Client einen DNS Namen benutzen, der im FFF Netz gültig ist? Damit
> > wäre das Thema ganz einfach erledigt.
> > 
> Die "Freifunk IP" im DNS eintragen um auf deine "Public IP" ein Tunnel
> zu machen? Entweder ich hab das jetzt komplett verdreht, oder du warst
> es.. ;)
> Lassen wir das lieber, das diskutieren wir mal privat :D

Kurzfassung:
Mit fester Public IP -> GRE

Ohne feste Public IP -> Wireguard
> 
> Grüße
> Tim
> 
> 
> > > * Geht in aktuell DOCSIS 3.0 Modems kaputt (entweder ein ganz altes
> > > Cisco oder ein DOCSIS 3.1 Gerät nehmen; VF kann die auf
> > > hartnäckiger-Anfrage tauschen)
> > > 
> > > Tim
> > > 
> > 
> > 
Grüße,
Sebastian


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20190214/b5cc8a7e/attachment-0001.html>