[WLANware] Zugang zu VPN-Server vom Förderverein

[Linus Lüssing]

continued:

# Bisherige, informelle Policy bei FFHL

Zur Starthilfe bieten wir gerne allen Communities an, unsere
Ressourcen von Freifunk Lübeck mitzunutzen. Auch unterstützen und
erklären wir gerne, wie man seine eigenen Gateways an den Start
bekommt.

So hatte es auch damals bei Freifunk Hamburg, Freifunk Lüneburg,
Freifunk Flensburg und Freifunk Ostholstein gut geklappt, denke
ich (Freifunk Kiel hatte glaube ich gleich mit eigenen Ressourcen
angefangen, wenn ich mich nicht vertue).

Dieser Ansatz verhindert zumindest, dass man sich bundesweit auf
wenige Ressourcen / Vereine / Personen zentralisiert. Es ist uns
wichtig, das langfristig jede Community eigene Infrastruktur
aufbaut.


# Förderverein als vertraglicher Exit-Betreiber

Bin zwar nicht vom Förderverein, trotzdem ein paar Worte dazu, was
bei mir von den Gesprächen und Voträgen von/mit Leuten vom
Freie Netze e.V. hängengeblieben ist:

Auch unsere Überlegung in Lübeck war 2013 die, ob das nicht ein
Konzept für alle Communities in DE sei: Selber einen Server
besorgen, einrichten und finanzieren und dann auf den Freie Netze
e.V. umschreiben. Das wurde zwischen dem Freie Netze e.V. und FFHL
so zum ersten mal ausprobiert.

Das es diesen Deal und Sonderstatus so auch nach einem halben Jahr
nur einmal gibt und vermutlich keine weiteren geben wird, liegt an
folgendem: Schon bei Gesprächen beim 30c3 wurde die Vermutung
geäußert, dass das kein Konzept ist, das auf alle Communities
skaliert: Die magische "10.000 Teilnemer Grenze" würde einen
irgendwann dazu veranlassen, Schnittstellen zur Abhörung der
Regierung zur Verfügung zu stellen und dass das nicht mit den
Freifunk-Idealen vereinbar ist. Auch sei es sehr zentralistisch,
das alles auf einen Verein auszulagern.

Beim Vortrag von Sven-Ola, Jürgen und Bluse beim letzten Wireless
Community Weekend in Berlin war es dann auch offiziell: Das würden
sie so nicht wieder machen wollen.


Weil so ein Sonderstatus natürlich sehr unfair gegenüber anderen
Communities ist - dessen sind wir uns bewusst -, sind wir zur Zeit
dabei, den Exit-Server und dessen Abuse-Handling, wieder auf einen
lokalen Verein hier in Lübeck zu übertragen.

Cheers, Linus


On Sat, Aug 30, 2014 at 09:03:09PM +0200, Linus Lüssing wrote:
> Moin,
> 
> sorry für die späte Antwort, war bis gerade eben nicht auf
> WlanWare eingeschrieben. Wie das generell momentan zwischen
> Freifunk Lübeck und dem Förderverein hangehabt wird, hat Sven-Ola
> schon gut beschrieben.
> 
> Was nicht stimmt, dass der nicht genutzt werden würde / im
> Probebetrieb sei. Rund ein Viertel unserer Freifunk-Knoten nutzen
> den seit Monaten (aktuell: 112 FFHL Router). Ich surfe auch gerade
> wunderbar über einen Freifunk Router über diesen Exit :).
> 
> 
> # Technische/Architektonische Erläuterung
> 
> Unsere vier Gateways haben monatlich jeweils ca. 0.7-1.5TB an
> Datenvolumen an Nutzdaten ins Internet. Das kann man auch sehr
> schön hier über das Intercity-VPN nachvollziehen
> (ist auch bei uns im Wiki verlinkt):
> 
> Gateway-Server                     Exit-Server
> ---------------------------------------
> http://muehlentor.ffhl/vnstat/  -> ipredator
> http://burgtor.ffhl/vnstat/     -> mullvad
> http://holstentor.ffhl/vnstat/  -> hideio (jetzt: hide.me)
> http://huextertor.ffhl/vnstat/  -> ffexit (= Server über Förderverein)
> 
> Liegt da evtl. ein Missverständnis bzgl. unserer Architektur vor?
> Das ffexit nur eine VPN-Verbindung hat, ist so gedacht:
> 
> Ein FFHL Router verbindet sich mit zwei zufälligen Gateways. Die
> Gateways sind jeweils mit genau einem, fixen Anon-VPN/Exit-Server
> verbunden:
> 
>              /--- GatewayA --- ExitX
> FFHL-Router -
> 	     \--- GatewayB --- ExitY
> 
> Dadurch machen wir zwar insgesamt mehr Internettraffic. Aber
> versprechen uns davon, flexibler/robuster/ausfallsicherer zu sein.
> Gateways werden dann i.d.R. von vertrauten, privaten Leuten
> geführt, das Gateway-Netz ist somit auch nicht von einer Person
> oder Institution abhängig.
> 
> Die Exit-Server sind durchaus von zentraleren
> VPN-Anbietern/Organisationen geführt/finanziert. Dafür aber
> hingegen auch sehr einfach aufgebaut (i.d.R. nur ein OpenVPN) und
> somit bei Problemen leicht austauschbar.
> 
> 
> Exit-Server sind hingegen sehr einfach aufgebaut (i.d.R. nur
> ein OpenVPN) und daher leicht austauschbar. Aber durchaus von
> verschiedenen Organisationen geführt/finanziert.
> 
> Wenn ich richtig informiert bin, ist das bei FFHH und FFKI quasi
> auch so von der Architektur (nur das die zur Zeit ausschließlich
> Anon-VPN-Anbieter benutzen).
> 
> ---
> 
> # Auslastung
> 
> Für Mullvad und Ipredator war Ende 2013 / Anfang 2014 aber mit
> ~1-1.5TB pro Monat ein Ende der Fahnenstange in Sicht. Nutzer
> beschwerten sich regelmäßig, dass sie oft nur 0.5-1MBit/s
> bekamen. Der ffexit über den Förderverein kam genau zur richtigen
> Zeit.
> 
> FFKI+FFHH scheinen ähnliche Erfahrungen gemacht zu haben,
> zumindest scheinen auch die immer ~1 Anon-VPN pro 100
> Freifunk-Router gehabt zu haben.
> 
> Eigentlich war ich am Überlegen, ob wir demnächst, wenn wir bei
> 350 Knoten ankommen, einen 5. Gateway+Exit dazu schalten müssten.
> Habe die ganze Zeit in Anzahl an Anon-VPNs gerechnet :).
> 
> Aber du hast recht, Sven-Ola, eigentlich haben wir auf dem ffexit
> ja mehr Kapazitäten (vermutlich ungefähr 5x so viel wie für einen
> Anon-VPN). Also ja, eigentlich müssten da zur Zeit noch
> Kapazitäten übrig sein.
> 
> Unser bisheriges Handhaben seitens FFHL folgt in der nächsten eMail.
> Ob wir da was sharen können weiß ich noch nicht genau. Könnte auch
> eine für FFHL zweckgebundene Spende dazwischen stehen, müssen wir
> intern nochmal bereden.
> 
> Cheers, Linus