Freifunk-Gateway aufsetzen: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
K (→‎Aufsetzen des Freifunk-GW: pool und nicht einfach pgp.mit.edu benutzen)
K (Seite gibt es nicht mehr)
 
(858 dazwischenliegende Versionen von 27 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
__TOC__
__TOC__
[[Kategorie:Technik]]


== How to: Freifunk-Gateway aufsetzen ==
= Preface =
Für das Aufsetzen eines Freifunk-Gateway gibt es kein universelles Kochrezept. Auch erfahrene Admins erfahren bei der Installation kleinere und grössere Herausforderungen, die es zu überwinden gilt. Unterschiedliche Softwareinstallationen, Netzwerkkonfigurationen, Hoster und VPN Anbieter können Anpassungen zu der hier präsentierten Vorgehensweise notwendig werden lassen, z.B. indem Pakete nach installiert werden oder Netzwerkkonfigurationen angepasst werden müssen. Um dies zu erleichtern, versucht der Artikel nicht nur die Konfiguration darzulegen, die in diesem spezifischen Fall funktioniert hat ("Know-How"), sondern versucht auch kurz auf die Hintergründe einzugehen, um ggf. eine Anpassung zu erreichen ("Know-Why").


[Quellen:http://wiki.freifunk.net/Freifunk_Hamburg/Gateway https://wiki.mag.lab.sh/wiki/Freifunk_Fulda/Gateway]
Die Anleitung dient dazu, den Einstig zu erleichtern.</br>
Viele der Dinge können später auf die eigenen Bedürfnisse angepasst und zugeschnitten werden.


== Anforderungen an Gateways ==
Die Anleitung hat keine Garantie auf Vollständigkeit und wird stetig verändert und verbessert.</br>
Die Anforderungen an das Gateway sind an sich niedrig. Wichtig ist, dass die Möglichkeit besteht, eigene Kernel-Module zu laden und das monatliche Traffic-Kontingent nicht zu niedrig ist. Entsprechend sind OpenVZ, Linux-vServer und ähnliche Containerlösungen nicht geeignet.
Wenn du beim Installieren auf Probleme oder Fehler stößt: Der nächste freut sich, wenn er auf diesen Fehler nicht mehr stößt oder eine entsprechende Anmerkung im Wiki findet. :-)


Hardware:
Freifunk Franken ist "Development in Progress", d.h. eine Konfiguration die heute funktioniert, wird morgen durch eine andere und vielleicht sogar bessere abgelöst. Ein einmal aufgesetztes Gateway muss sich so der Entwicklung anpassen.
* CPU: 1x (64Bit)
* RAM: 1GB
* HDD: 5-8GB
* NIC: 1x


Software:
Für Rat und Tat empfiehlt sich die Freifunk Franken Development und die Freifunk Franken Gateway Mailingliste.
* Debian Wheezy (7) 64Bit Kernel ([http://www.sysadminslife.com/linux/howto-upgrade-debian-6-squeeze-zu-debian-7-wheezy/ Anleitung zum migrieren von 6 auf 7])
* [https://projects.universe-factory.net/projects/fastd fastd]
* [http://www.open-mesh.org/projects/batman-adv batman-adv-Kernelmodul]


Pauschal gibt es keine Mindestanforderungen für den Trafficverbrauch, folgende Staffelung könnte aber dabei helfen, sich eine Vorstellung davon zu machen, was in etwa pro Monat notwendig ist:
'''Referenzen / Andere Freifunk HowTo's'''
* Dauerlast von 2 Mbit/s: ~633 GB
* [http://wiki.freifunk.net/Freifunk_Hamburg/Gateway Gateway FF-Hamburg]
* Dauerlast von 6 Mbit/s: ~1.9 TB
* Dauerlast von 10 Mbit/s: ~3.2 TB
* Dauerlast von 25 Mbit/s: ~8 TB


Nach den Erfahrungen vom Lübecker Freifunk-Projekt liegt der Traffic-Verbrauch bei zwei Gateways bei ca. 2TB im Monat je Gateway. Auf unserem derzeitigen Gateway haben wir in den letzten Monaten derartige Werte gehabt, wobei sich das Projekt noch aufbaut:
* Januar '13: 243 GB
* Februar '13: 309 GB


=== Anonymisierung (Störerhaftung) ===
== Voraussetzungen ==
Sofern der Server nicht über einen Uplink verfügt, wo es egal ist was durchgeht (unseriöse Bulletproof-Hoster), möchte man vermutlich den Traffic aus dem Freifunk-Netz durch ein VPN ins Internet schieben.


Auf längere Sicht, wäre es natürlich wünschenswert, wenn die Problematik der Störerhaftung in ihrer derzeitigen Form wegfällt um beispielsweise eine dezentralere Infrastruktur zu erlauben.  
=== Was der Betreiber mitbringen sollte ===
* Grundlegende Kenntnisse mit IP-Routing (IPv4 und IPv6)
* Motivation, etwas ''[jede Menge]'' dazuzulernen und sich aktiv mit der Materie auseinanderzusetzen.
* Das Freifunk Netz ist der optimale Ort, um sich in dieser Richtung neue Kenntnisse anzueignen - zumindest wenn man sich dann auch damit (und. v.a. mit den auftretenden Problemen) auseinandersetzt.
* Es gibt viele nette Leute im [[Kommunikation | IRC]], die immer gerne helfen, wenn die Motivation da ist, sich auch selbst mit dem Problem zu befassen.
* Für die schnelle Abstimmung unter den GW Betreibern sollte sich jeder Betreiber auf der [[Mailinglisten#freifunk-gateway| freifunk-gateway]] Mailingliste setzen. Die "große" [[Mailinglisten#franken-freifunk| Liste]] und die [[Mailinglisten#freifunk-dev| dev-Liste]] sind ebenfalls hilfreich.
* Ohne Vorkenntnisse ist es schwierig, aber ganz und gar nicht unmöglich ein Gateway aufzusetzen. Auch hier gilt wieder: Es wird gerne geholfen, wenn man sich mit Problemen einigermaßen selbstständig auseinandersetzt und konkrete Fragen stellt.
* Bereitschaft mitzuhelfen, das Wiki aktuell zu halten, damit die Ressourcenplanung (IPs!) funktioniert und für Notfälle die wichtigsten Infos und Ansprechpartner zu den Servern vorhanden sind. Die wichtigsten Seiten sind [[Server]], [[Portal:Netz]] und [[Portal:Netz/IPv6]].
* Ein wenig Zeit - sowohl fürs Aneignen des Verständnisses als auch fürs Aufsetzen an sich. Gehe erstmal von ganz grob 5-20 Stunden Arbeitszeit aus, um von einem "nackten" Server zu einem voll funktionstüchtigen GW zu kommen, das ja doch aus recht vielen verschiedenen Diensten besteht. Nach der Ersteinrichtung sollte man regelmäßig ein wenig Zeit investieren, um zu schauen, ob alles in Ordnung ist, Updates zu fahren, Änderungen in der Infrastruktur nachzupflegen, sich tiefergend mit der Materie zu beschäftigen, etc.


Folgende VPN-Anbieter sind zu diesem Zeitpunkt jedoch empfehlenswert:
=== Was der Server können muss ===
* Öffentliche IPv4 und IPv6 Adresse
** Leider aktuell noch zu viele IPv4 Anschlüsse, um IPv4 außen vor zu lassen. :-(
** IPv6 ist pflicht.
* Kernelmodule laden (Bestimmte Virtualisierungslösungen wie OpenVZ sind daher nicht möglich)
* Nur relativ wenig CPU und RAM nötig
* dafür relativ viel Traffic (Je nach Größe und Anzahl der Hoods durchaus im ein- bis niedrigen zweistelligen TB Bereich)


* [https://mullvad.net/en/ Mullvad] (Schweden, Niederlande)
** Bis zu drei gleichzeitige Verbindungen
** Kann man anonym mit Bitcoin bezahlen
** Serverauswahl über die ausgelieferte OpenVPN-Konfiguration
*** Server in den Niederlanden sind abends oft stark ausgelastet
**(Gute Erfahrungen in Lübeck)


* [https://integrityvpn.com/ Integrity VPN] (Schweden, Port80)
* fastd VPN
** Drittes Oktett durch Auswahl des normalerweise per round.robin-dns ausgewählten OpenVPN-Servers bestimmbar, das letzte Oktett ist immer gleich. Somit muss man sich keine dynamisch vergebenen IP-Adressen mit anderen teilen. Verbindungen daher durch die Anzahl der OpenVPN-Server (derzeit 3; unterschiedliche Ports nicht ausprobiert) beschränkt.
* Batman ''(Compat15)''
**Hat eine überaus seriöse Webseite und eine Ltd. erfunden.™
* DHCP
**Hat schon mal was von IPv6 gehört. Nutzt es zurzeit jedoch nur für SEO.
* Router Advertisements
**Blockiert Port 25 derzeit nicht.
* Routing
**Ist ein ein neuer Anbieter, der _bisher_ unausgelastet wirkt.
* Babel Routing Protokoll
** sind derzeit noch nicht nicht overselled und haben ihren Krams scheinbar halbwegs sauber konfiguriert
* Webserver für Hoodfiles


* [https://ipredator.se/ Ipredator] (Schweden, Niederlande, Deutschland)
== Anbindung an andere Netze ==
** (Glänzen nicht durch Kompetenz, da sie lange Zeit nur PPTP angeboten haben)
Neben unserem eigenen Freifunknetz gibt es weitere Netzwerke mit denen sich ein Peering lohnt:
** Mögen schnelle Reconnects nicht -> manchmal muss man OpenVPN ein paar Stunden deaktivieren, bevor es wieder funktioniert.
** Möchten bald auch IPv6 anbieten.
** Angeblich Reseller von relakks
 
Ungetestet:
* [https://www.anonine.com/en Anonine VPN] (Portlane)
* [https://privacy.io/ privacy.io] (Portlane)
* [http://prq.se/?p=tunnel&intl=1 prq.se] (Eigenes Netz, teuer)
* [http://arethusa.su/vpn.html Arethusa VPN] (Loggen in Frankreich, andere Server angeblich nicht)
 
Einige Freifunknetze mieten auch VMs in Osteuropa. Da die VMs noch nicht an ihre Grezen stößt könnte man diese auch mitnutzen. Ansprechpartner wäre s0ma.
 
=== Anbindung an andere Netze ===
Es gibt drei relativ relevante Netzwerke bei denen es sich lohnt, das lokale Netz damit zu  verbinden:


* InterCity-VPN zwischen den meisten Freifunknetzen
* InterCity-VPN zwischen den meisten Freifunknetzen
** BGP
** BGP
** kleine Übsicht der http://www.ddmesh.de/topology/ic-vpn-verbindungen.html
** kleine Übsicht der [http://www.ddmesh.de/topology/ic-vpn-verbindungen.html IC-VPN-Verbindungen]
** Mehr Infos http://wiki.freifunk.net/IC-VPN
** Mehr Infos: [[ICVPN]]


* DN42
* DN42
** BGP
** BGP
** Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
** Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
** Hat Routen ins ChaosVPN und IC-VPN, <strike>wer faul ist bei der Konfiguration deckt damit also alles™</strike> ab nicht alle Routen vom IC-VPN oder ChaosVPN werden im DN42 verteilt, ob man das will kann ggf nochmal besprechen.


* ChaosVPN
* ChaosVPN
** Tinc
** Tinc
** Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.
** Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.
<br>
== Server-Anbieter==
=== Hoster, bei denen gute Erfahrungen gemacht wurden ===
Diese unvollständige, nicht abschließende Liste von Hostern dient nur der Orientierung.
Solange ein Hoster die weiter oben genannten Voraussetzungen erfüllt, ist er für ein Freifunk Gateway geeignet.


=== vServer-Anbieter die empfehlenswert sind ===
Umso mehr verschiedene Hoster im Freifunknetz, umso besser.
* [https://www.de-punkt.de/vserver.html de-punkt] (Databurg, FFM)
 
** Schneller Speicher, gut bezahlbar, KVM, nur Traffic-Flat™® das übliche.
* [https://www.hetzner.de/hosting/produktmatrix_vserver/vserver-produktmatrix Hetzner] (Nürnberg, Falkenstein, Helsinki)
* [http://www.hetzner.de/hosting/produktmatrix_vserver/vserver-produktmatrix Hetzner] (Falkenstein)
** Cloud Server, 20TB Traffic 2,96€/Monat
** Bezahlbar, 6.90€/TB Extratraffic, KVM
** Wird bedingt des vielen verfügbaren Traffics fürs Geld sehr viel genutzt
* [http://colorhost.de/server/vserver/ colorhost] (über 23media, Global Switch, FFM)
** Hetzner-interner Traffic wird nicht berechnet
* Untersagt Nutzung für Freifunk (http://colorhost.de/server/vserver/kvm/small/)
 
** Achtung: Nur Xen oder Xen HVM funktionieren
* [https://www.xirra.net/en/v-server/productmatrix/ xirra] (Core-Backbone, NBG)
* [http://www.xirra.net/en/v-server/productmatrix/ xirra] (Core-Backbone, NBG)
** KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.
** KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.
* [http://buyvm.net/ BuyVM]
** Begrenztes Angebot, das in Stößen rausgegeben wird. 2.50$/TB Extratraffic. Nur KVM ist brauchbar für diesen Zweck. USA Ost- und Südküste. TOS sagt, dass man da theoretisch kein weiteres VPN ins Netz brauchen würde.
* [http://webhod.de webhod]
** 9,99 € für die kleinste KVM im Monat[https://www.webhod.de/de/vserver/kvm.html]


* [https://www.netcup.de/ netcup]


== Grundinstallation des Servers ==
= Installation =
Die Installation des Betriebssystems, Absicherung des Servers, Installieren von Updates usw. sind '''NICHT''' Gegenstand dieser Anleitung. Trotzdem kurz einige Hinweise:


Die Anleitung bezieht sich auf ein KVM Server Paket alpha von webhod für 9,99 €/Monat und den VPN-Dienst Mullvad für 5,-/Monat. Somit hätten wir für 15,-€ im Monat schon alles was wir brauchen.
* Empfohlenes Betriebssystem: Debian
** Die Anleitung basiert aktuell auf '''Debian 10 (Buster)'''. Für Einsteiger wird dringend empfohlen mit dieser Version anzufangen.
* Sicherheit
** [https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierung_unter_Ubuntu SSH Login nur mit Keys, Login per Passwort abschalten]
** root-Login per SSH höchstens per Key, besser abschalten
** Hier bekommst du weitere Tipps zur [http://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers Absicherung eines Debian Servers]


Die Zugangsdaten werden per mail verschickt und die Einrichtung und Bereitstellung unseres Servers braucht am Werktag nur wenige Stunden.
== Vorbereitung ==
=== IP-Adressen und DHCP Range des Gateway ===


Dann kann es ja losgehen:
Um Doppelbelegungen zu vermeiden, müssen diese auch im Wiki eingetragen werden.


Zuerst wird über PROXMOX (Zugangsdaten findet man im eigenen Acccount von Webhod) ein Debian 7 WHEEZY installiert [https://www.debian.org/releases/wheezy/amd64/], falls es nicht schon vorinstalliert ist. Am besten nur die Minimal-Installation,alles andere was dann wirklich gebraucht wird, kann per apt-get nachinstalliert werden.
An dieser Stelle sollte man sich unbedingt mit Subnetzen und der [[CIDR|CIDR-Notation]] vertraut machen, falls einem das (noch) Fremdworte sind.<br>


Als erstes bringen wir das System auf den neuesten Stand
==== Private FFF IPs ====
Für jede Hood reserviert man sich einen [[Portal:Netz|IPv4]] bzw. [[Portal:Netz/IPv6|IPv6]] Adressbereich, mit welchem die Knoten und Clients versorgt werden.


<code>
Für die Hoods muss bei IPv4 noch ein Bereich festgelegt werden, aus dem dann später Adressen verteilt werden. Dieser muss:
sudo vi /etc/apt/sources.list
* innerhalb des Subnetzes der Hood liegen.
</code>
* innerhalb der Hood eindeutig sein. (Darf sich nicht mit dem Adressbereich überschneiden, den andere DHCP Server in der Hood verwalten)
* vollständig außerhalb des statischen Bereichs der Hood liegen.


und folgende Quellen hinzufügen:
Gleichzeitig teilt der DHCP-Server den Clients mit, welchen DNS-Server und welches Default-Gateway die Clients verwenden sollen. Die Gesamtgröße aller verwalteten DHCP-Bereiche des Servers hat so direkten Einfluss auf die Arbeitslast, die der den Clients zugeteilte DNS-Server und der zugeteilte Internet-Gateway später sehen.


<pre>
Bei IPv6 wird nur Gateway, DNS-Server und Subnetz per Router Advertisement in der Hood bekannt gemacht, den Rest erledigen die Clients.
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main


deb http://ftp.de.debian.org/debian/ wheezy main contrib non-free
==== Peering-IPs ====
deb-src http://ftp.de.debian.org/debian/ wheezy main contrib non-free
Für die Peerings verwenden wir Adressen aus einem speziell dafür vorgesehenen [[Portal:Netz#10.83.252.0.2F22_.28Master_IPs_for_use_as_.2F32_routed_IPs_withing_L3_network.29|Bereich]].<br>
Die Adressen werden mit einer /32 Netzmaske an die Peering-Interfaces gehängt, um die entsprechenden Routen kümmert sich dann babel. <br>
So spart man sich ein paar IPv4 Adressen, da nicht immer ein /31 Subnetz für ein Peering drauf geht und (wenn auch unsauber) für jedes Peeringinterface die gleiche Adresse genutzt werden kann.<br>


deb http://ftp.de.debian.org/debian/ wheezy-updates main
Bei IPv6 genügen die Link-Local Adressen.
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main
</pre>


danach speichern und 
Möchte man auf seinem Gateway Dienste unabhängig von den Hoods anbieten, kann dafür die Peering-IP (für IPv6 ist daher ebenfalls ein [[Portal:Netz/IPv6#Transfer-IPs|Bereich]] dafür vorgesehen) gut verwendet werden.


<code>
==== Öffentliche Adressen ====
sudo apt-get update
Damit das Internet erreicht werden kann, sind öffentliche IP Adressen nötig, die im Internet bekannt sind.


sudo apt-get upgrade
Diese können von verschiedenen Freifunkern bezogen werden, siehe [[IPv6]]
</code>


Den SSH-Zugang besser schützen durch:
=== OS Settings ===
* Änderung des Ports
==== IP-Forwarding ====
* login nur mit key
Per default leitet Debian keine Pakete weiter, die unser Gateway erreichen. Deswegen muss IP-Forwarding aktiviert werden.
* Siehe [http://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers hier] für genaue Anleitung:


<code>
Manuell (nur bis zum reboot aktiv):
sudo apt-get install fail2ban
<pre>
</code>
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv6/conf/all/forwarding
</pre>


und [http://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban_absichern einrichten]


So,nun sollte der Server ausreichend abgesichert sein.
sysctl Einstellungen können in der Datei '''/etc/sysctl.conf''' dauerhaft eingestellt werden.


== Aufsetzen des Freifunk-GW ==
Dort gibt es für das Forwarding bereits die passenden Zeilen, die nur einkommentiert werden müssen:
<pre>


Als erstes sollte man unter [[Portal:Netz]] schauen, welche IP-Adressen belegt sind und sich eine unbenutzte aussuchen und auch gleich im Wiki eintragen, damit es keine Probleme mit anderen Benutzern gibt.
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1


Genauso sollte man gleich den DHCP-Bereich für die jeweilige Hood, die der GW bedienen soll reservieren, so dass es keine Überschneidungen mit bestehnden DHCP-Servern gibt. Ist das gemacht, haben wir ja schon die IP im Freifunknetz.
# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
net.ipv6.conf.all.forwarding=1


Dann können wir jetzt die Netzwerk-Interfaces anlegen.
</pre>


<code>
==== ICMP Fehlerpakete für IPv4 ====
sudo vi /etc/network/interfaces
Damit ICMP hinter unserem NAT korrekt funktioniert, müssen die ICMP Fehler passend geroutet werden, dass sie beim NAT-Server landen. Das kann in Linux mit der Option "net.ipv4.icmp_errors_use_inbound_ifaddr = 1" erreicht werden.
</code>


folgende interfaces dazuschreiben:
Analog zu oben sollte diese Einstellung in sysctl.conf eingetragen werden, damit sie rebootfest ist:
<pre>
<pre>
auto bat0
net.ipv4.icmp_errors_use_inbound_ifaddr = 1
iface bat0 inet manual
post-up ifconfig $IFACE up
    post-up ip addr add "ip des GW im Freifunknetz mit netmask präfix z.B: 10.50.56.3/22" dev $IFACE
    post-up ip rule add iif $IFACE table fff
    post-up ip rule add from "ip des subnetzes z.B.:10.50.56.0/22 table fff
    post-up ip rule add to 10.50.56.0/22  table fff
    post-up ip route add 10.50.56.0/22 dev $IFACE table fff
    post-up invoke-rc.d isc-dhcp-server restart
    post-down ip route del 10.50.56.0/22 dev $IFACE table fff
    post-down ip rule del from 10.50.56.0/22 table fff
    post-down ip rule del to 10.50.56.0/22 table fff
    post-down ip rule del iif $IFACE table fff
    post-down ifconfig $IFACE down
 
auto fffbeispielhoodVPN
iface fffbeisbielhoodVPN inet manual
    post-up batctl -m bat0 if add $IFACE
    post-up ifconfig $IFACE up
    post-up ifup bat0
    post-down ifdown bat0
    post-down ifconfig $IFACE down
</pre>
</pre>


Speichern.
Außerdem landen dann keine ICMP Pakete mit internen Adressen als Absender auf dem Uplink [dem Hoster].


Nun werden wir noch iptables zum routen des traffics benötigen.
Siehe auch [[MTU]]


<code>
==== Routing Tabelle für Freifunk ====
sudo apt-get install iptables
Für die Routen im Freifunk Franken Netz muss eine eigene Routingtabelle angelegt werden.
</code>


<code>
Damit die Tabelle auch mit Name aufrufbar ist, sollten Tabellennummer und Name in /etc/iproute2/rt_tables eingetragen werden:
sudo vi /etc/iproute2/rt_tables
</code>
 
und folgendes einfügen:


<pre>
<pre>
Zeile 204: Zeile 173:
</pre>
</pre>


Speichern.
Der Inhalt der Routingtabelle kann später mit
 
 
Jetzt brauchen wir eine neue Quelle:
 
<code>
vi /etc/apt/sources.list
</code>
 
und folgende hinzufügen:
 
<pre>
<pre>
deb http://repo.universe-factory.net/debian/ sid main
ip route show table fff
deb-src http://repo.universe-factory.net/debian/ sid main
bzw.
ip -6 route show tab fff
</pre>
</pre>
angezeigt werden.
<br>


danach die PGP Schlüssel holen:
Die Konfiguration wird exemplarisch für das Einrichten eines GW's in der Fürther Hood beschrieben, wobei erläutert wird, welche Anpassungen für nicht-Fürther Hoods gemacht werden müssen. 
<br>


<code>
== Layer-3 ==
gpg --keyserver hkp://pool.sks-keyservers.net --recv-key 16EF3F64CB201D9C
=== Generelle Layer-3 Routing Regeln ===
Damit Pakete vom Gateway selbst passend in das Freifunk Netz geroutet werden, sind einige Regeln nötig.


gpg -a --export 16EF3F64CB201D9C | apt-key add -
Diese können an die Debian Interfacekonfiguration des Loopback Interfaces hinzugefügt werden, damit sind sie direkt nach dem Boot des Servers verfügbar.
</code>


<code>
'''prio''' legt fest, in welcher Reihenfolge die Regeln abgearbeitet werden.
sudo apt-get update
Hier sollte sich zunächst an die im Wiki vorgegebene Reihenfolge gehalten werden, später kann man diese auf die eigenen Bedürfnisse anpassen.
</code>


Nun können wir das B.A.T.M.A.N.-Modul und fastd laden
Außerdem können auch FFF-interne IP Adressen (10.x.x.x, fd43:5602:29bd:ffff::xx) an das Loopback Interface gehängt werden.


<code>
<pre>
sudo apt-get install batctl batman-adv-dkms fastd
iface lo inet static
address 10.83.252.x/32


sudo modprobe batman-adv
up ip -4 rule add to 10.0.0.0/8 prio 500 lookup fff
</code>
down ip -4 rule del to 10.0.0.0/8 prio 500 lookup fff


da das Kernelmodul B.A.T.M.A.N. bei Neustart des Systems geladen werden soll
        #DN42
up ip -4 rule add to 172.20.0.0/14 prio 500 lookup fff
down ip -4 rule del to 172.20.0.0/14 prio 500 lookup fff


<code>
iface lo inet6 static
sudo vi /etc/modules
address fd43:5602:29bd:ffff::xx/128
</code>


und folgendes hinzufügen:
up ip -6 rule add to fc00::/7 prio 500 lookup fff
down ip -6 rule del to fc00::/7 prio 500 lookup fff
</pre>
 
Für Pakete die auf Interfaces, welche für Freifunk verwendet werden (z.b. Clientnetz oder alle Babelverbindungen), ankommen muss auch expliziet in die fff table geguckt werden, dies muss für IPv4 und IPv6 gesetzt werden und sollte sinnvollerweise direkt an das entsprechende Interface geschrieben werden. Diese Regeln sollten eine möglich hohe Priorität haben (niedrige Zahl) damit Transit auf jeden Fall immer funktioniert.


<pre>
<pre>
batman-adv
[...]
up ip -6 rule add iif $IFACE prio 200 table fff
up ip rule add iif $IFACE prio 200 table fff
[...]
</pre>
</pre>


Dann erstellen wir eine Datei in ''/etc/fastd'' mit dem Befehl:
=== Layer-3 Tunnelprotokolle ===
Für Babel ist eine direkte Verbindung mit dem Nachbar nötig (Ethernet, WiFi, ..). Wenn keine direkte Verbindung besteht, kann mithilfe eines Layer-3 Tunnels eine direkte Verbindung durch ein bestehendes Netzwerk (z.B. das Internet) hergestellt werden.


<code>
==== GRE ====
touch fff_beispiel_fastd.sh
GRE benötigt an beiden Enden eine feste IP-Adresse, da die Konfiguration komplett statisch ist.
</code>
Außerdem unterstützen viele NATs GRE nicht, ggf. muss bei IPv4 eine passende Portweiterleitung angelegt werden.


danach öffnen wir diese:
Dafür ist es ein sehr einfaches Protokoll, leicht zu debuggen, sehr leightgewichtig und dadurch extrem schnell.


<code>
Es wird daher meist zwischen Servern in Rechenzentren eingesetzt. Der Traffic ist nicht verschlüsselt.
vi /etc/fastd/fff_beispiel_fastd.sh
</code>


und folgendes [https://www.hidrive.strato.com/lnk/QVCVp477 Skript] einfügen:
[[Freifunk-Gateway_aufsetzen/gre]]
<pre>
#!/bin/sh


SERVER="yes"
==== wireguard ====
SERVERNAME="beispiel"
Wireguard benötigt nur an einem Ende eine feste IP Adresse. Außerdem kann es leicht hinter NAT betrieben werden, da UDP verwendet wird.


hood="hood eintragen"
Dafür ist das Protokoll etwas komplizierter (und verschlüsselt) und dadurch auch etwas langsamer.
project="fff"
Dennoch lassen sich je nach Hardware einige hundert MBit/s erreichen.
port=10004


SERVERNAME="$SERVERNAME.$hood"
[[Freifunk-Gateway_aufsetzen/wireguard]]


hostname=$SERVERNAME
=== Babel Routingprotokoll ===


if [ ! -d /etc/fastd ]
Zwischen den Routern werden Routen über ein Routingprotokoll ausgetauscht.
then
        mkdir /etc/fastd
fi


if [ ! -d /etc/fastd/$project.$hood ]
Bei Freifunk Franken verwenden wir dafür aktuell '''Babel'''.
then
        mkdir /etc/fastd/$project.$hood
        mkdir /etc/fastd/$project.$hood/peers


        echo "# Log warnings and errors to stderr" >> /etc/fastd/$project.$hood/$project.$hood.conf
Babel tauscht die erreichbaren IP-Bereiche zwischen den Routern aus, sodass jeder Router weiß über welchen Weg er andere IP-Bereiche erreichen kann.
        echo "log level error;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Log everything to a log file" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "log to syslog as \"${project}${hood}\" level info;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface name" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "interface \"${project}${hood}VPN\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"xsalsa20-poly1305\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"aes128-gcm\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "method \"null\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Bind to a fixed port, IPv4 only" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "bind any:${port};" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Secret key generated by \"fastd --generate-key\"" >> /etc/fastd/$project.$hood/$project.$hood.conf
              echo "secret \"$(fastd --generate-key | grep -i Secret | awk '{print $2}')\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# (see MTU selection documentation)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "mtu 1426;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on up \"/etc/fastd/${project}.${hood}/up.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on post-down \"/etc/fastd/${project}.${hood}/down.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Include peers from the directory 'peers'" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "include peers from \"/etc/fastd/${project}.${hood}/peers\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "secure handshakes no;" >> /etc/fastd/$project.$hood/$project.$hood.conf


        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/down.sh
Es gibt aktuell 2 Implementierungen für Babel, aktuell wird noch mehrheitlich babeld verwendet aber auch bird2 kann verwendet werden.
        echo "/sbin/ifdown \$INTERFACE" >> /etc/fastd/$project.$hood/down.sh
        chmod +x /etc/fastd/$project.$hood/down.sh


        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/up.sh
[[Freifunk-Gateway_aufsetzen/babeld]]
        echo "/sbin/ifup \$INTERFACE" >> /etc/fastd/$project.$hood/up.sh
        chmod +x /etc/fastd/$project.$hood/up.sh
fi


pubkey=$(fastd -c /etc/fastd/$project.$hood/$project.$hood.conf --show-key --machine-readable)
[[Freifunk-Gateway_aufsetzen/bird2]]
port=$(grep ^bind /etc/fastd/$project.$hood/$project.$hood.conf | cut -d: -f2 | cut -d\; -f1)


# fire up
=== Routing ins Internet ===
if [ "$(/sbin/ifconfig -a | grep -i ethernet | grep ${project}${hood}VPN)" = "" ]
Es gibt verschiedene Möglichkeiten Traffic ins Internet zu routen.
then
* Einen anderen Router ins Internet routen lassen und dessen angebotene Route nutzen.
/bin/rm /var/run/fastd.$project.$hood.pid
* Direkt am eigenen Server ins Internet routen
fastd -c /etc/fastd/$project.$hood/$project.$hood.conf -d --pid-file /var/run/fastd.$project.$hood.pid
* Über einen VPN Anbieter ins Internet routen
fi


# register
[[Freifunk-Gateway_aufsetzen/Routing-ins-Internet]]
wget -T15 "http://mastersword.de/~reddog/fff/?name=$hostname&port=$port&key=$pubkey" -O /tmp/fastd_${project}.${hood}_output
if [ "$?" != "0" ]
then
        echo "Update failed"
        echo "Exiting, no clean up, no refresh"
        exit
fi


touch /tmp/fastd_${project}.${hood}_starting
== Layer-2 ==
=== B.A.T.M.A.N. Advanced ===
Zwischen den zentralen Knoten und dem dazugehörenden Gateway wird mithilfe von Tunneln und batman-adv ein großes Layer-2 Netz aufgebaut. Dieses kann man sich vorstellen wie einen großen Switch zwischen dem Gateway und allen zentralen Knoten.


filenames=$(cat /tmp/fastd_${project}.${hood}_output| grep ^#### | sed -e 's/^####//' | sed -e 's/.conf//g')
Für '''dezentrale Gateways''' ohne batman-adv gilt dennoch der "Konfigurationsabschnitt" von batman-adv für das Clientinterface, nur dass die batman-adv spezifischen Einstellungen weggelassen werden.
for file in $filenames
do
grep -A100 ^####$file.conf$ /tmp/fastd_${project}.${hood}_output | grep -v ^####$file.conf$ | grep -m1 ^### -B100 | grep -v ^### | sed 's/ float;/;/g' > /etc/fastd/$project.$hood/peers/$file
echo 'float yes;' >> /etc/fastd/$project.$hood/peers/$file
done


echo "Lösche alte:"
[[Freifunk-Gateway_aufsetzen/Batman-adv]]


find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print
=== VPN für die Knoten ===
find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print | xargs /bin/rm /tmp/fastd_${project}.${hood}_starting


#reload
Um das batman-adv der Knoten mit dem des Gateways zu verbinden, sind Layer-2 Tunnel nötig.
kill -HUP $(cat /var/run/fastd.$project.$hood.pid)


exit 0
Dafür gibt es aktuell zwei verschiedene Möglichkeiten. Es wird in der aktuellen Firmware immer nur eine der beiden Varianten verwendet.
</pre>
Derzeit empfehlen wir aber trotz der deutlich langsameren Verbindungen fastd, da l2tp auf dem Server häufig instabil läuft.


Speichern
==== fastd ====
+ wird von fast allen Gateways eingesetzt</br>
+ relativ einfach zu Konfigurieren</br>
- Läuft im Userspace, daher recht performancehungrig</br>


Nun müssen wir einen Cronjob anlegen, der das Skript alle 5 Minuten ausführt:
[[Freifunk-Gateway_aufsetzen/VPN/fastd]]


<code>
==== l2tp mit Tunneldigger ('''Nicht mehr unterstützt''') ====
sudo crontab -e
+ Läuft im Kernel, daher sehr schnell</br>
</code>
- Läuft scheinbar instabil</br>
- Aktuell kennen sich nur wenig Leute mit dieser Konfiguration aus</br>


nun folgendes eingeben:
'''Achtung: Ab dem nächsten Firmware-Release (Stand: 07/2019) wird L2TP nicht mehr von der Router-Firmware unterstützt!'''


<pre>
[[Freifunk-Gateway_aufsetzen/VPN/l2tp]]
*/5 * * * * sh /etc/fastd/fff_beispiel_fastd.sh
</pre>


speichern und
=== vpn via vxlan ===


<code>
[[Freifunk-Gateway_aufsetzen/VPN/vxlan]]
/etc/init.d/cron restart
</code>


=== OpenVPN-Tunnel einrichten ===
=== B.A.T.M.A.N Gateway Selection ===


als nächstes werden wir Mullvad mit der gelieferten OpneVPN Config konfigurieren
Um zu steuern, von welchem der Gateways Clients Adressen und damit auch das Default-Gateway beziehen, setzen wir einen weiteren großen Pfusch ein: Die Batman Gatewayselection


Zip-Datei nach der Bezahlung von 5,-€ herunterladen.
Diese filtert DHCP Offers von den Gateways und lässt nur die Offers eines bestimmten Gateways bis zum Client durch. Dies funktioniert natürlich nur für IPv4. Batman-adv bleibt dennoch mit jedem Gateway verbunden, hier werden ausschließlich nur die DHCP für IPv4 Anfragen verändert.


Die Zip-Datei entpackt man in das Verzeichnis ''/etc/openvpn/'' auf dem Server
[[Freifunk-Gateway_aufsetzen/Batman-Gatewayselection]]


Wie man Dateien auf einen Server kopiert steht z.B. [http://www.hypexr.org/linux_scp_help.php hier]
== Dienste ==
=== SLAAC ===
Bei IPv6 funktioniert die automatische Adresszuweisung über SLAAC.</br>
Dafür ist ein Dienst nötig, der die Router Advertisements mit den passenden Subnetzen sendet.


nun sollte man seine Kundenummer sehen.
[[Freifunk-Gateway_aufsetzen/radvd]]


Jetzt kopieren wir den Inhalt des Ordners mit unserer Kundenummer in den Ordener ''/etc/openvpn/''
=== DHCP Server ===
Die automatische Adresszuweisung funktioniert bei IPv4 mit DHCP.
Es muss ein DHCP Server installiert werden, der die Adressen passend an die Clients verteilt.


Sollte dann so aussehen:
[[Freifunk-Gateway_aufsetzen/DHCP]]


<pre>
=== DNS Server ===
123XXXXXXXXX  crl.pem  mullvad.conf  mullvad.key
Die Clients möchten Domains auflösen können, deshalb ist ein DNS-Server nötig.
ca.crt       mullvad  mullvad.crt  mullvad-up
Zwar könnte einfach einer der öffentlichen {Google,Cloudflare,Quad9} DNS Server ausgeliefert werden, aber wir wollen die Anfragen ja nicht an große Unternehmen senden. :-)
</pre>


Nun bearbeiten wir noch Mullvad folgendermaßen:
Außerdem können mit einem eigenen (rekursiven) DNS-Server auch die IC-VPN DNS Server erreichbar gemacht werden.


<code>
Es kann entweder selbst ein DNS-Server betrieben werden, oder in DHCP und Router Advertisement auf einen (oder mehrere) der gemeinsam betriebenen DNS Server verwiesen werden.
sudo /etc/openvpn/mullvad-up
</code>


und ändern die Zeilen in:                                                                                 
[[Freifunk-Gateway_aufsetzen/DNS]]


<pre>
=== http Server für Hoodfile ===
/sbin/ip route replace 0.0.0.0/1 via $5 table fff
Das Gateway muss ein aktuelles Hoodfile an Meshknoten ausliefern können. Dafür ist ein HTTP Server nötig.
/sbin/ip route replace 128.0.0.0/1 via $5 table fff
</pre>


speichern
Dies ist nur nötig, wenn der zentrale keyxchange verwendet wird.


<code>
[[Freifunk-Gateway_aufsetzen/http]]
sudo vi /etc/openvpn/mullvad.conf
</code>


dort nur den Server einkommentieren über den der Traffic gehen soll.
=== Alfred Master (Monitoring) ===
Die Nodewatcher-Daten aller Knoten werden in einem Alfred Server gesammelt und am Gateway dann gemeinsam ans Monitoring übertragen.


z.B:
[[Freifunk-Gateway_aufsetzen/Alfred]]


<pre>
Für dezentrale Gateways wird auf der Firmware layer3-20191214-beta ist alfred bereits integriert und aktiviert. Die Infos werden aus der GWConfig gezogen.
#remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 443
#remote openvpn.mullvad.net 53
#remote se.mullvad.net # Servers in Sweden
remote nl.mullvad.net # Servers in the Netherlands
#remote de.mullvad.net # Servers in Germany
#remote us.mullvad.net # Servers in the USA
</pre>


nun sollte alles über Holland gehen.
=== ntp Server ===
Ein Dienst, der den Routern die aktuelle Uhrzeit bereitstellt.
Ist nicht für jedes Gateway zwingend nötig, es kann auch der NTP eines anderen Gateways verwendet werden.


So, fast fertig.
[[Freifunk-Gateway_aufsetzen/ntp]]


=== DHCP Server ===
=== gwinfo (optional, Gateway-Daten für Monitoring) ===
gwinfo ist ein Zusätzliches Script, das Informationen vom Gateway sammelt und ebenfalls ans Monitoring sendet.
Das ganze ist optional.


Nun noch den DHCP Konfigurieren:
[[Freifunk-Gateway_aufsetzen/gwinfo]]


<code>
=== xlat464 (optional, falls man kein IPv4 mehr in der Backbone routen möchte) ===
sudo apt-get install isc-dhcp-server
Mit xlat464 ist es möglich, den Clients ein ganz normales DualStack Netzwerk anzubieten aber in der Backbone kein IPv4 mehr routen zu müssen. Wir nutzen dazu clatd auf den Gateways
</code>


Konfiguration öffnen:
[[Freifunk-Gateway_aufsetzen/xlat464]]


<code>
= Einbringen des Gateways in die Hood / Keyserver =
sudo vi /etc/default/isc-dhcp-server
Dieser Schritt ist nur nötig, wenn du ein Gateway in einer zentralen v2 Hood betreiben möchtest. Für reine Layer 3 Router o.ä. Setups ist dieser Schritt nicht nötig.
</code>


und Interface eintragen:
Abschliessend kann das Gateway im Keyserver als Gateway der entsprechenden Hood eingetragen werden. Hierfür benötigt man einen Keyserver-Administrator => [[KeyXchange#fff-netmon2]]. Alternativ kann die Hood natürlich auch mit festen Hoodfiles betrieben werden


<pre>
Bevor man das Gateway der Hood zuordnet, empfiehlt sich ein persönliches Review durch einen erfahrenen Gateway-Admin. Das neue Gateway kann auch versuchsweise zunächst einer Test-Hood zugeordnet werden, um es erstmal auf korrekte Funktion zu überprüfen.
INTERFACES="bat0"
</pre>


= Optimierungen =
* ARP Cache
* nf_conntrack
[[Freifunk-Gateway_aufsetzen/Optimierungen]]


<code>
= Statistik =
sudo vi /etc/dhcp/dhcpd.conf
</code>


und folgendes einfügen:
== MRTG ==
[[Freifunk-Gateway_aufsetzen/Statistik/mrtg|Statistik MRTG]]


<pre>
= Fehlersuche =
option domain-name "freifunk-franken.de";
Zum finden von Fehlern, die erst Auftreten, wenn die Konfiguration schon einmal funktioniert hat, kann folgende Seite hilfreich sein:
option domain-name-servers 10.50.16.1;
authoritative;
# beispielhood
subnet 10.50.56.0 netmask 255.255.252.0 {
        range 10.50.59.0 10.50.59.254;
        option routers 10.50.56.3;
        option domain-name-servers 10.50.56.3;
}
</pre>


die ip und die range muss natürlich in die bereits ,am Anfang im Wiki reservierten, ausgetauscht werden ;-)
[[Freifunk-Gateway_aufsetzen/Fehlersuche]]


So, nun werden wir am besten einen reboot durchführen und schauen ob alles läuft.
= Einzelne IPs oder Services über anderen Server routen =


wird fast nie benötigt, war für mich aber immer ein schönes Nachschlagewerk deshalb lass ich das ganz unten stehen:


[[Freifunk-Gateway_aufsetzen/spezielles_routing]]


[[Kategorie:Technik]]
[[Kategorie:Technik]]
[[Kategorie:Hoods-V2]]
[[Kategorie:Gateways]]

Aktuelle Version vom 14. März 2023, 17:54 Uhr

Preface

Für das Aufsetzen eines Freifunk-Gateway gibt es kein universelles Kochrezept. Auch erfahrene Admins erfahren bei der Installation kleinere und grössere Herausforderungen, die es zu überwinden gilt. Unterschiedliche Softwareinstallationen, Netzwerkkonfigurationen, Hoster und VPN Anbieter können Anpassungen zu der hier präsentierten Vorgehensweise notwendig werden lassen, z.B. indem Pakete nach installiert werden oder Netzwerkkonfigurationen angepasst werden müssen. Um dies zu erleichtern, versucht der Artikel nicht nur die Konfiguration darzulegen, die in diesem spezifischen Fall funktioniert hat ("Know-How"), sondern versucht auch kurz auf die Hintergründe einzugehen, um ggf. eine Anpassung zu erreichen ("Know-Why").

Die Anleitung dient dazu, den Einstig zu erleichtern.
Viele der Dinge können später auf die eigenen Bedürfnisse angepasst und zugeschnitten werden.

Die Anleitung hat keine Garantie auf Vollständigkeit und wird stetig verändert und verbessert.
Wenn du beim Installieren auf Probleme oder Fehler stößt: Der nächste freut sich, wenn er auf diesen Fehler nicht mehr stößt oder eine entsprechende Anmerkung im Wiki findet. :-)

Freifunk Franken ist "Development in Progress", d.h. eine Konfiguration die heute funktioniert, wird morgen durch eine andere und vielleicht sogar bessere abgelöst. Ein einmal aufgesetztes Gateway muss sich so der Entwicklung anpassen.

Für Rat und Tat empfiehlt sich die Freifunk Franken Development und die Freifunk Franken Gateway Mailingliste.

Referenzen / Andere Freifunk HowTo's


Voraussetzungen

Was der Betreiber mitbringen sollte

  • Grundlegende Kenntnisse mit IP-Routing (IPv4 und IPv6)
  • Motivation, etwas [jede Menge] dazuzulernen und sich aktiv mit der Materie auseinanderzusetzen.
  • Das Freifunk Netz ist der optimale Ort, um sich in dieser Richtung neue Kenntnisse anzueignen - zumindest wenn man sich dann auch damit (und. v.a. mit den auftretenden Problemen) auseinandersetzt.
  • Es gibt viele nette Leute im IRC, die immer gerne helfen, wenn die Motivation da ist, sich auch selbst mit dem Problem zu befassen.
  • Für die schnelle Abstimmung unter den GW Betreibern sollte sich jeder Betreiber auf der freifunk-gateway Mailingliste setzen. Die "große" Liste und die dev-Liste sind ebenfalls hilfreich.
  • Ohne Vorkenntnisse ist es schwierig, aber ganz und gar nicht unmöglich ein Gateway aufzusetzen. Auch hier gilt wieder: Es wird gerne geholfen, wenn man sich mit Problemen einigermaßen selbstständig auseinandersetzt und konkrete Fragen stellt.
  • Bereitschaft mitzuhelfen, das Wiki aktuell zu halten, damit die Ressourcenplanung (IPs!) funktioniert und für Notfälle die wichtigsten Infos und Ansprechpartner zu den Servern vorhanden sind. Die wichtigsten Seiten sind Server, Portal:Netz und Portal:Netz/IPv6.
  • Ein wenig Zeit - sowohl fürs Aneignen des Verständnisses als auch fürs Aufsetzen an sich. Gehe erstmal von ganz grob 5-20 Stunden Arbeitszeit aus, um von einem "nackten" Server zu einem voll funktionstüchtigen GW zu kommen, das ja doch aus recht vielen verschiedenen Diensten besteht. Nach der Ersteinrichtung sollte man regelmäßig ein wenig Zeit investieren, um zu schauen, ob alles in Ordnung ist, Updates zu fahren, Änderungen in der Infrastruktur nachzupflegen, sich tiefergend mit der Materie zu beschäftigen, etc.

Was der Server können muss

  • Öffentliche IPv4 und IPv6 Adresse
    • Leider aktuell noch zu viele IPv4 Anschlüsse, um IPv4 außen vor zu lassen. :-(
    • IPv6 ist pflicht.
  • Kernelmodule laden (Bestimmte Virtualisierungslösungen wie OpenVZ sind daher nicht möglich)
  • Nur relativ wenig CPU und RAM nötig
  • dafür relativ viel Traffic (Je nach Größe und Anzahl der Hoods durchaus im ein- bis niedrigen zweistelligen TB Bereich)


  • fastd VPN
  • Batman (Compat15)
  • DHCP
  • Router Advertisements
  • Routing
  • Babel Routing Protokoll
  • Webserver für Hoodfiles

Anbindung an andere Netze

Neben unserem eigenen Freifunknetz gibt es weitere Netzwerke mit denen sich ein Peering lohnt:

  • DN42
    • BGP
    • Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
  • ChaosVPN
    • Tinc
    • Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.


Server-Anbieter

Hoster, bei denen gute Erfahrungen gemacht wurden

Diese unvollständige, nicht abschließende Liste von Hostern dient nur der Orientierung. Solange ein Hoster die weiter oben genannten Voraussetzungen erfüllt, ist er für ein Freifunk Gateway geeignet.

Umso mehr verschiedene Hoster im Freifunknetz, umso besser.

  • Hetzner (Nürnberg, Falkenstein, Helsinki)
    • Cloud Server, 20TB Traffic 2,96€/Monat
    • Wird bedingt des vielen verfügbaren Traffics fürs Geld sehr viel genutzt
    • Hetzner-interner Traffic wird nicht berechnet
  • xirra (Core-Backbone, NBG)
    • KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.

Installation

Die Installation des Betriebssystems, Absicherung des Servers, Installieren von Updates usw. sind NICHT Gegenstand dieser Anleitung. Trotzdem kurz einige Hinweise:

Vorbereitung

IP-Adressen und DHCP Range des Gateway

Um Doppelbelegungen zu vermeiden, müssen diese auch im Wiki eingetragen werden.

An dieser Stelle sollte man sich unbedingt mit Subnetzen und der CIDR-Notation vertraut machen, falls einem das (noch) Fremdworte sind.

Private FFF IPs

Für jede Hood reserviert man sich einen IPv4 bzw. IPv6 Adressbereich, mit welchem die Knoten und Clients versorgt werden.

Für die Hoods muss bei IPv4 noch ein Bereich festgelegt werden, aus dem dann später Adressen verteilt werden. Dieser muss:

  • innerhalb des Subnetzes der Hood liegen.
  • innerhalb der Hood eindeutig sein. (Darf sich nicht mit dem Adressbereich überschneiden, den andere DHCP Server in der Hood verwalten)
  • vollständig außerhalb des statischen Bereichs der Hood liegen.

Gleichzeitig teilt der DHCP-Server den Clients mit, welchen DNS-Server und welches Default-Gateway die Clients verwenden sollen. Die Gesamtgröße aller verwalteten DHCP-Bereiche des Servers hat so direkten Einfluss auf die Arbeitslast, die der den Clients zugeteilte DNS-Server und der zugeteilte Internet-Gateway später sehen.

Bei IPv6 wird nur Gateway, DNS-Server und Subnetz per Router Advertisement in der Hood bekannt gemacht, den Rest erledigen die Clients.

Peering-IPs

Für die Peerings verwenden wir Adressen aus einem speziell dafür vorgesehenen Bereich.
Die Adressen werden mit einer /32 Netzmaske an die Peering-Interfaces gehängt, um die entsprechenden Routen kümmert sich dann babel.
So spart man sich ein paar IPv4 Adressen, da nicht immer ein /31 Subnetz für ein Peering drauf geht und (wenn auch unsauber) für jedes Peeringinterface die gleiche Adresse genutzt werden kann.

Bei IPv6 genügen die Link-Local Adressen.

Möchte man auf seinem Gateway Dienste unabhängig von den Hoods anbieten, kann dafür die Peering-IP (für IPv6 ist daher ebenfalls ein Bereich dafür vorgesehen) gut verwendet werden.

Öffentliche Adressen

Damit das Internet erreicht werden kann, sind öffentliche IP Adressen nötig, die im Internet bekannt sind.

Diese können von verschiedenen Freifunkern bezogen werden, siehe IPv6

OS Settings

IP-Forwarding

Per default leitet Debian keine Pakete weiter, die unser Gateway erreichen. Deswegen muss IP-Forwarding aktiviert werden.

Manuell (nur bis zum reboot aktiv):

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv6/conf/all/forwarding


sysctl Einstellungen können in der Datei /etc/sysctl.conf dauerhaft eingestellt werden.

Dort gibt es für das Forwarding bereits die passenden Zeilen, die nur einkommentiert werden müssen:


# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
net.ipv6.conf.all.forwarding=1

ICMP Fehlerpakete für IPv4

Damit ICMP hinter unserem NAT korrekt funktioniert, müssen die ICMP Fehler passend geroutet werden, dass sie beim NAT-Server landen. Das kann in Linux mit der Option "net.ipv4.icmp_errors_use_inbound_ifaddr = 1" erreicht werden.

Analog zu oben sollte diese Einstellung in sysctl.conf eingetragen werden, damit sie rebootfest ist:

net.ipv4.icmp_errors_use_inbound_ifaddr = 1

Außerdem landen dann keine ICMP Pakete mit internen Adressen als Absender auf dem Uplink [dem Hoster].

Siehe auch MTU

Routing Tabelle für Freifunk

Für die Routen im Freifunk Franken Netz muss eine eigene Routingtabelle angelegt werden.

Damit die Tabelle auch mit Name aufrufbar ist, sollten Tabellennummer und Name in /etc/iproute2/rt_tables eingetragen werden:

10     fff

Der Inhalt der Routingtabelle kann später mit

ip route show table fff
bzw.
ip -6 route show tab fff

angezeigt werden.

Die Konfiguration wird exemplarisch für das Einrichten eines GW's in der Fürther Hood beschrieben, wobei erläutert wird, welche Anpassungen für nicht-Fürther Hoods gemacht werden müssen.

Layer-3

Generelle Layer-3 Routing Regeln

Damit Pakete vom Gateway selbst passend in das Freifunk Netz geroutet werden, sind einige Regeln nötig.

Diese können an die Debian Interfacekonfiguration des Loopback Interfaces hinzugefügt werden, damit sind sie direkt nach dem Boot des Servers verfügbar.

prio legt fest, in welcher Reihenfolge die Regeln abgearbeitet werden. Hier sollte sich zunächst an die im Wiki vorgegebene Reihenfolge gehalten werden, später kann man diese auf die eigenen Bedürfnisse anpassen.

Außerdem können auch FFF-interne IP Adressen (10.x.x.x, fd43:5602:29bd:ffff::xx) an das Loopback Interface gehängt werden.

iface lo inet static
	address 10.83.252.x/32

	up ip -4 rule add to 10.0.0.0/8 prio 500 lookup fff
	down ip -4 rule del to 10.0.0.0/8 prio 500 lookup fff

        #DN42
 	up ip -4 rule add to 172.20.0.0/14 prio 500 lookup fff
	down ip -4 rule del to 172.20.0.0/14 prio 500 lookup fff

iface lo inet6 static
	address fd43:5602:29bd:ffff::xx/128

	up ip -6 rule add to fc00::/7 prio 500 lookup fff
	down ip -6 rule del to fc00::/7 prio 500 lookup fff

Für Pakete die auf Interfaces, welche für Freifunk verwendet werden (z.b. Clientnetz oder alle Babelverbindungen), ankommen muss auch expliziet in die fff table geguckt werden, dies muss für IPv4 und IPv6 gesetzt werden und sollte sinnvollerweise direkt an das entsprechende Interface geschrieben werden. Diese Regeln sollten eine möglich hohe Priorität haben (niedrige Zahl) damit Transit auf jeden Fall immer funktioniert.

[...]
up ip -6 rule add iif $IFACE prio 200 table fff
up ip rule add iif $IFACE prio 200 table fff
[...]

Layer-3 Tunnelprotokolle

Für Babel ist eine direkte Verbindung mit dem Nachbar nötig (Ethernet, WiFi, ..). Wenn keine direkte Verbindung besteht, kann mithilfe eines Layer-3 Tunnels eine direkte Verbindung durch ein bestehendes Netzwerk (z.B. das Internet) hergestellt werden.

GRE

GRE benötigt an beiden Enden eine feste IP-Adresse, da die Konfiguration komplett statisch ist. Außerdem unterstützen viele NATs GRE nicht, ggf. muss bei IPv4 eine passende Portweiterleitung angelegt werden.

Dafür ist es ein sehr einfaches Protokoll, leicht zu debuggen, sehr leightgewichtig und dadurch extrem schnell.

Es wird daher meist zwischen Servern in Rechenzentren eingesetzt. Der Traffic ist nicht verschlüsselt.

Freifunk-Gateway_aufsetzen/gre

wireguard

Wireguard benötigt nur an einem Ende eine feste IP Adresse. Außerdem kann es leicht hinter NAT betrieben werden, da UDP verwendet wird.

Dafür ist das Protokoll etwas komplizierter (und verschlüsselt) und dadurch auch etwas langsamer. Dennoch lassen sich je nach Hardware einige hundert MBit/s erreichen.

Freifunk-Gateway_aufsetzen/wireguard

Babel Routingprotokoll

Zwischen den Routern werden Routen über ein Routingprotokoll ausgetauscht.

Bei Freifunk Franken verwenden wir dafür aktuell Babel.

Babel tauscht die erreichbaren IP-Bereiche zwischen den Routern aus, sodass jeder Router weiß über welchen Weg er andere IP-Bereiche erreichen kann.

Es gibt aktuell 2 Implementierungen für Babel, aktuell wird noch mehrheitlich babeld verwendet aber auch bird2 kann verwendet werden.

Freifunk-Gateway_aufsetzen/babeld

Freifunk-Gateway_aufsetzen/bird2

Routing ins Internet

Es gibt verschiedene Möglichkeiten Traffic ins Internet zu routen.

  • Einen anderen Router ins Internet routen lassen und dessen angebotene Route nutzen.
  • Direkt am eigenen Server ins Internet routen
  • Über einen VPN Anbieter ins Internet routen

Freifunk-Gateway_aufsetzen/Routing-ins-Internet

Layer-2

B.A.T.M.A.N. Advanced

Zwischen den zentralen Knoten und dem dazugehörenden Gateway wird mithilfe von Tunneln und batman-adv ein großes Layer-2 Netz aufgebaut. Dieses kann man sich vorstellen wie einen großen Switch zwischen dem Gateway und allen zentralen Knoten.

Für dezentrale Gateways ohne batman-adv gilt dennoch der "Konfigurationsabschnitt" von batman-adv für das Clientinterface, nur dass die batman-adv spezifischen Einstellungen weggelassen werden.

Freifunk-Gateway_aufsetzen/Batman-adv

VPN für die Knoten

Um das batman-adv der Knoten mit dem des Gateways zu verbinden, sind Layer-2 Tunnel nötig.

Dafür gibt es aktuell zwei verschiedene Möglichkeiten. Es wird in der aktuellen Firmware immer nur eine der beiden Varianten verwendet. Derzeit empfehlen wir aber trotz der deutlich langsameren Verbindungen fastd, da l2tp auf dem Server häufig instabil läuft.

fastd

+ wird von fast allen Gateways eingesetzt
+ relativ einfach zu Konfigurieren
- Läuft im Userspace, daher recht performancehungrig

Freifunk-Gateway_aufsetzen/VPN/fastd

l2tp mit Tunneldigger (Nicht mehr unterstützt)

+ Läuft im Kernel, daher sehr schnell
- Läuft scheinbar instabil
- Aktuell kennen sich nur wenig Leute mit dieser Konfiguration aus

Achtung: Ab dem nächsten Firmware-Release (Stand: 07/2019) wird L2TP nicht mehr von der Router-Firmware unterstützt!

Freifunk-Gateway_aufsetzen/VPN/l2tp

vpn via vxlan

Freifunk-Gateway_aufsetzen/VPN/vxlan

B.A.T.M.A.N Gateway Selection

Um zu steuern, von welchem der Gateways Clients Adressen und damit auch das Default-Gateway beziehen, setzen wir einen weiteren großen Pfusch ein: Die Batman Gatewayselection

Diese filtert DHCP Offers von den Gateways und lässt nur die Offers eines bestimmten Gateways bis zum Client durch. Dies funktioniert natürlich nur für IPv4. Batman-adv bleibt dennoch mit jedem Gateway verbunden, hier werden ausschließlich nur die DHCP für IPv4 Anfragen verändert.

Freifunk-Gateway_aufsetzen/Batman-Gatewayselection

Dienste

SLAAC

Bei IPv6 funktioniert die automatische Adresszuweisung über SLAAC.
Dafür ist ein Dienst nötig, der die Router Advertisements mit den passenden Subnetzen sendet.

Freifunk-Gateway_aufsetzen/radvd

DHCP Server

Die automatische Adresszuweisung funktioniert bei IPv4 mit DHCP. Es muss ein DHCP Server installiert werden, der die Adressen passend an die Clients verteilt.

Freifunk-Gateway_aufsetzen/DHCP

DNS Server

Die Clients möchten Domains auflösen können, deshalb ist ein DNS-Server nötig. Zwar könnte einfach einer der öffentlichen {Google,Cloudflare,Quad9} DNS Server ausgeliefert werden, aber wir wollen die Anfragen ja nicht an große Unternehmen senden. :-)

Außerdem können mit einem eigenen (rekursiven) DNS-Server auch die IC-VPN DNS Server erreichbar gemacht werden.

Es kann entweder selbst ein DNS-Server betrieben werden, oder in DHCP und Router Advertisement auf einen (oder mehrere) der gemeinsam betriebenen DNS Server verwiesen werden.

Freifunk-Gateway_aufsetzen/DNS

http Server für Hoodfile

Das Gateway muss ein aktuelles Hoodfile an Meshknoten ausliefern können. Dafür ist ein HTTP Server nötig.

Dies ist nur nötig, wenn der zentrale keyxchange verwendet wird.

Freifunk-Gateway_aufsetzen/http

Alfred Master (Monitoring)

Die Nodewatcher-Daten aller Knoten werden in einem Alfred Server gesammelt und am Gateway dann gemeinsam ans Monitoring übertragen.

Freifunk-Gateway_aufsetzen/Alfred

Für dezentrale Gateways wird auf der Firmware layer3-20191214-beta ist alfred bereits integriert und aktiviert. Die Infos werden aus der GWConfig gezogen.

ntp Server

Ein Dienst, der den Routern die aktuelle Uhrzeit bereitstellt. Ist nicht für jedes Gateway zwingend nötig, es kann auch der NTP eines anderen Gateways verwendet werden.

Freifunk-Gateway_aufsetzen/ntp

gwinfo (optional, Gateway-Daten für Monitoring)

gwinfo ist ein Zusätzliches Script, das Informationen vom Gateway sammelt und ebenfalls ans Monitoring sendet. Das ganze ist optional.

Freifunk-Gateway_aufsetzen/gwinfo

xlat464 (optional, falls man kein IPv4 mehr in der Backbone routen möchte)

Mit xlat464 ist es möglich, den Clients ein ganz normales DualStack Netzwerk anzubieten aber in der Backbone kein IPv4 mehr routen zu müssen. Wir nutzen dazu clatd auf den Gateways

Freifunk-Gateway_aufsetzen/xlat464

Einbringen des Gateways in die Hood / Keyserver

Dieser Schritt ist nur nötig, wenn du ein Gateway in einer zentralen v2 Hood betreiben möchtest. Für reine Layer 3 Router o.ä. Setups ist dieser Schritt nicht nötig.

Abschliessend kann das Gateway im Keyserver als Gateway der entsprechenden Hood eingetragen werden. Hierfür benötigt man einen Keyserver-Administrator => KeyXchange#fff-netmon2. Alternativ kann die Hood natürlich auch mit festen Hoodfiles betrieben werden

Bevor man das Gateway der Hood zuordnet, empfiehlt sich ein persönliches Review durch einen erfahrenen Gateway-Admin. Das neue Gateway kann auch versuchsweise zunächst einer Test-Hood zugeordnet werden, um es erstmal auf korrekte Funktion zu überprüfen.

Optimierungen

  • ARP Cache
  • nf_conntrack

Freifunk-Gateway_aufsetzen/Optimierungen

Statistik

MRTG

Statistik MRTG

Fehlersuche

Zum finden von Fehlern, die erst Auftreten, wenn die Konfiguration schon einmal funktioniert hat, kann folgende Seite hilfreich sein:

Freifunk-Gateway_aufsetzen/Fehlersuche

Einzelne IPs oder Services über anderen Server routen

wird fast nie benötigt, war für mich aber immer ein schönes Nachschlagewerk deshalb lass ich das ganz unten stehen:

Freifunk-Gateway_aufsetzen/spezielles_routing