Freifunk-Gateway aufsetzen/babeld: Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
Zeile 71: Zeile 71:


# List of interfaces on which the protocol should operate
# List of interfaces on which the protocol should operate
INTERFACES="IFNAME1 IFNAME2 IFNAME3"
INTERFACES=""


# Additional arguments
# Additional arguments

Version vom 7. September 2019, 16:05 Uhr

Babel

Funktion

Babel wird als Layer 3 Routingprotokoll in der Freifunk Franken Backbone verwendet. So werden alle Gateways über das Protokoll direkt oder indirekt miteinander verbunden. Babel tauscht gegenseitig die Routen der Gateways aus, so das jedes Gateway weiß über welchen Weg es eine andere Hood erreichen kann. Das eigentliche Routing übernimmt der Linuxkernel. Babel ist nur für den Austausch der Informationen zuständig.

Vorsicht

ACHTUNG:

IP Adressen dürfen nur announced werden, wenn sie auch erreicht werden können. Wer das Subnetz für eine Hood announced, muss diese Hood auch erreichen können.

Installation

babeld kann direkt aus der Distribution installiert werden.

apt install babeld

Debian liefert mit stretch allerdings eine recht alte Version aus.
Es ist daher sinnvoll, babeld selbst aus den Sourcen zu kompilieren und installieren.

Empfohlen ist aktuell die Version 1.8.5.

Alles danach (git master oder 1.9.0) sollte zum aktuellen Zeitpunkt noch nicht verwendet werden, da sich dort einiges in Sachen Source Specific routen geändert hat und nicht kompatibel ist.

Kurzanleitung fürs bauen und installieren der aktuell empfohlenen Version:

git clone https://github.com/jech/babeld
cd babeld
git checkout babeld-1.8.5

make
sudo make install

Dafür sind in Debian die Pakete git und build-essential nötig.

Änderungen ab Babel 1.8.0

  • Die Option 'wired true' gibt es nicht mehr, dafür gibt es jetzt Interface-Typen. Am sinnvollsten für GRE oder wireguard Tunnel ist wohl 'type tunnel'
  • Die neueste Version von BabelWeb (0.4.0) ist nicht mit Babel 1.8.0 kompatibel. Daher muss BabelWeb aus dem develop Branch installiert werden oder man nutzt Simple-Babelweb (Eigenentwicklung aus der Community in PHP geschrieben).

systemd service für babeld

Bei Debian Stretch wird babeld noch mit einem SysVinit Skript ausgeliefert. Es kann sinnvoll sein, dieses durch einen passenden systemd Service auszutauschen. Wird babeld ausschließlich aus den Quellen installiert (siehe oben), ist kein init-Skript installiert, in diesem Fall muss dieser systemd Service verwendet werden.

Die Service Datei wird unter /etc/systemd/system/babeld.service abgelegt.

[Unit]
Description=babeld Routing Daemon
After=network.target

[Service]
Type=simple
EnvironmentFile=/etc/default/babeld
ExecStart=/usr/local/bin/babeld $DAEMON_ARGS $INTERFACES
Restart=on-abort

[Install]
WantedBy=multi-user.target


Ggf. muss die Datei /etc/default/babeld manuell angelegt werden:

# Defaults for babeld initscript
# sourced by /etc/init.d/babeld

# List of interfaces on which the protocol should operate
INTERFACES=""

# Additional arguments
DAEMON_ARGS="-S /var/lib/babeld/state"

Beispielkonfiguration

Diese Beispielkonfiguration kann so übernommen werden.

/etc/babeld.conf

# For more information about this configuration file, refer to
# babeld(8)

# Überschneidung der Tabellen für Source-Specific IPv4 Routing und der fff-Tabelle verhindern
first-table-number 100

# Defaultwerte für die Schnittstellen setzen:
default type tunnel max-rtt-penalty 128

#Schnittstellenspezifische Optionen setzen:
#interface <IFNAME> type wired rxcost 4096

export-table 10
import-table 10

# redistribute rules
## Filter für lokalen Routen (siehe ip route show tab local), die im Babel announced werden.
redistribute local ip 10.50.0.0/16
redistribute local ip 10.83.0.0/16
redistribute local ip fd43:5602:29bd::/48
redistribute local deny
## Filter für Routen aus fff, die announced werden sollen.
redistribute ip 10.50.0.0/16
redistribute ip 10.83.0.0/16
redistribute ip fd43:5602:29bd::/48

local-port 33123

Die Interfaces, die babeld verwenden soll, müssen auch in der /etc/default/babeld eingetragen werden - durch Leerzeichen getrennt.

/etc/default/babeld

...
# List of interfaces on which the protocol should operate
INTERFACES="IFNAME1 IFNAME2 IFNAME3"
...

Routen die man manuell in die fff Table einträgt und redistributen (announcen) möchte, müssen mit proto static eingetragen werden. Dies gilt z.B. für die Routen in das Netz einer Hood oder auch für die default Route, so man diese announcen möchte. Beispiel:

...
up ip route replace 10.x.x.x/yy dev $IFACE proto static table fff
down ip route del 10.x.x.x/yy dev $IFACE proto static table fff
...

Abschließend muss der babeld-Dienst aktiviert und gestartet werden.

systemctl enable babeld
systemctl start babeld

IP Adressen für Peering

IPv4

Es sollte für jedes Interface die selbe Adresse verwendet werden, um IP Adressen zu sparen. Die Adressen sollten in folgendem Netz liegen und reserviert werden: https://wiki.freifunk-franken.de/w/Portal:Netz#10.83.252.0.2F22_.28Master_IPs.29

Dabei ist es am sinnvollsten die Adresse als /32 an das Interface zu hängen und Babel die Routen übernehmen zu lassen. Hierbei ist es dann auch egal, aus welchem der beiden Prefixe die Adresse stammt (10.83.x.y bzw. 10.50.x.y). Außerdem ist es bei dieser Konfiguration ebenfalls nicht nötig, die Adresse des Partners als Pointopoint anzuhängen.

ACHTUNG: Es ist dann ebenfalls (erstmal) nicht möglich, den Partner direkt zu pingen, da bei dieser Konfiguration keine passende Route in der main-Tabelle existiert!

IPv6

Für IPv6 gilt in etwas das gleiche. Für das Routing ist eine Link Local Adresse nötig. Bei Ethernet und Layer2 Tunneln wird diese automatisch aus der Mac Adresse gebildet. Bei Layer3 Tunneln muss diese ggf. manuell generiert und als /64 an das Interface gehangen werden.

Damit ein Router sinnvoll auf ICMPv6 antworten kann, ist außerdem eine Adresse aus dem fc00::/7 oder eine öffentliche IPv6 nötig. Dafür kann beispielsweise eine IP aus diesem Netz verwendet werden.

Diese Adresse kann dann einfach an das Loopback Interface (oder ein anderes passendes Interface) gehängt werden. Für die Peeringinterfaces genügt die Link Local Adresse.

macvtap

Ist das Interface in einer VM, die macvtap auf dem Host verwendet, um ein physikalisches Interface zu verwenden, kann es Probleme mit Multicast geben. (gilt nicht bei GRE (das verwendet ja auch kein macvtap :P) in einer VM sondern nur wenn das physikalische Interface verwendet wird, also eth0 oder eth1.6 oder... in den meisten Standardfällen daher uninteressant).

Näheres hier

In libvirt kann die Option trustGuestRxFilters='yes' an das entsprechende Interface gepackt werden, damit Multicast funktioniert:

    <interface type='direct' trustGuestRxFilters='yes'>
      <source dev='enp1s0' mode='vepa'/>
      <model type='virtio'/>
      [..]
    </interface>

local-port

Mithilfe der Option "local-port" kann babeld einen lokalen TCP Socket öffnen, über den von babeld Statusinformationen abgefragt werden können. Dieser Socket ist dann unter ::1 (IPv6 Localhost) erreichbar.

Mithilfe von netcat kann eine TCP Verbindung aufgebaut werden. Vorsicht: netcat muss IPv6 unterstützen, um sich mit ::1 verbinden zu können. netcat-traditional kann das nicht. Daher muss ggf. netcat-openbsd installiert werden.

$ nc ::1 33123
BABEL 1.0
version babeld-1.8.5
host aquarius.sgstbr.de
my-id 50:7e:d5:d3:7b:46:59:7a
ok

Schickt man ein "dump" an den Server, antwortet der Server mit allem, was er so weiß.

$ nc ::1 33123
BABEL 1.0
version babeld-1.8.5
host aquarius.sgstbr.de
my-id 50:7e:d5:d3:7b:46:59:7a
ok
dump
add interface ens7 up true ipv6 fe80::5054:ff:fe81:f31b
add interface gre_nue2gw1 up true ipv6 fe80::a04b:9c94:2ab9:555e ipv4 10.83.252.31
[..]
  • interface beschreibt Interfaces, für die babeld konfiguriert ist
  • neighbour beschreibt Nachbarn, die babeld auf einem Interface sieht
  • xroute beschreibt Routen, die babeld selbst announced
  • route beschreibt Routen, die babeld von einem Nachbar sieht

Mehr zum local-port kann in der man-Page nachgelesen werden.

Selbstverständlich kann man auch die Ausgabe von netcat in ein anderes Programm wie "grep" pipen. Die Eingabe von "dump" (auf stdin) funktioniert wie gewohnt.

$ nc ::1 33123 | grep xroute
dump
add xroute 10.83.252.0/32-::/0 prefix 10.83.252.0/32 from ::/0 metric 0
add xroute fd43:5602:29bd:ffff::42/128-::/0 prefix fd43:5602:29bd:ffff::42/128 from ::/0 metric 0

Testen der Konfiguration

Es kann in der Routingtabelle geguckt werden ob hier bereits Routen vorhanden sind:

ip route show tab fff
ip -6 route show tab fff


Wie oben beschrieben kann mithilfe des local-port der aktuelle Status von babeld abgefragt werden. Dabei sollte vor allem geschaut werden, ob

  • alle Interfaces, auf denen babeld Routen austauschen soll gelistet sind
  • alle Nachbarn gelistet sind und deren rx/txcost und "reach" normal sind
  • alle Routen gelistet sind, die selbst announced werden sollen
  • Routen von Nachbarn sichbar sind.

Richtlinien für Babel Penalty (rxcost)

  • Tunnel zwischen Routern in Rechenzentren: 96
  • Ethernet: 96
  • Richtfunk
    • >100Mbit: 256
    • 30-100Mbit: 512
    • 10-30Mbit: 1024
    • bis 10Mbit: 4096
  • Tunnel: 4096 - 16384

Je nach Situation können Links auch schlechter hier angegeben bewertet werden. Auf eine Aufwertung sollte jedoch verzichtet werden. Pro Link sollte maximal 16384 verwendet werden, damit auch bei vielen Hops das Maximum von 65535 nicht erreicht wird.


Begründung:

Wir wollen Richtfunkverbindungen (z.B. Marterlach -> St. Markus -> Hardhöhe -> Neunhof) gegenüber VPN (z.B. Marterlach -> per VPN zu einem HetznerGW -> per VPN nach Neunhof) bevorzugen, obwohl der Weg mehr Hops hat.

Metriken anpassen

Default Route auf einen Server bevorzugen

Die Kosten für eine Route können nicht per Filter verringert werden, sonst wäre das System nicht mehr Loopfrei. Es können aber stattdessen alle anderen Routen entsprechend teurer gemacht werden.

Dies erreicht man durch einen Filter in der Babel Config.

Es wird ein Inputfilter benötigt, der auf ip 0.0.0.0/0 eq 0 greift. Das bedeutet, dass der Filter für alle Routen gilt, die innerhalb von 0.0.0.0/0 liegen (also _alle_ Routen) und die Prefixlänge 0 haben.

Dann muss das zu bevorzugende Interface ohne zusätzliche Penalty (== Kostenerhöhung) hinzugefügt werden.

Die Regeln werden analog zu iptables von oben nach unten abgearbeitet, beim ersten Match die passende Aktion ausgeführt.

in ip 0.0.0.0/0 eq 0 if IFNAME1 allow
in ip 0.0.0.0/0 eq 0 if IFNAME2 metric 384
in ip 0.0.0.0/0 eq 0 metric 2048

Weitere Details finden sich in der Babeld Man-Page: man babeld

Route die man announced abwerten

Es ist auch möglich, routen die man extern announced abzuwerten um darüber weniger wahrscheinlich ausgewählt zu werden.

out ip 10.83.x.x/22 eq 22 metric 512

Bedeutung: Routen die innerhalb 10.83.x.x/22 liegen und exakt Prefixlänge 22 haben, die an Nachbarn weitergegeben werden sollen (out), bekommen 512 Kosten zusätzlich und werden dann weitergegeben.

Filter Regeln

Public IPv6

Auch öffentliche IPv6 Adressen, die innerhalb des Freifunks verwendet werden, müssen im Babel Netz announced werden. Dazu müssen sie im Filter freigeschaltet werden. Dies kann z.b. mit folgenden Abschnitt in der /etc/babeld.conf gemacht werden:

[...]
redistribute local ip 2001:db8:aaaa::/56
..
redistribute ip 2001:db8:aaaa::/56
[...]

Es handelt sich hier nur um Filterregeln. Alles was innerhalb das hier eingetragenen Subnetzes als "proto static" in die Routingtabelle eintragen wird, wird Babel an seine Nachbarn announcen.

WebUI für Babel

Die Installation eines WebUIs ist nicht für den Betrieb eines Gateways nötig, kann aber hilfreich sein

Simple-Babelweb

Simple-Babelweb ist eine sehr einfache PHP Seite, die den Babeld local-port auswertet und die Routen als Webseite darstellen kann. Das PHP Script findet man hier: https://github.com/rohammer/Simple-Babelweb

Die Installation funktioniert analog zu jeder anderen PHP-basierten Webseite.

Simple-Babelweb ist eine Eigenentwicklung der Freifunk Franken Community. Es wird aktiv dran weiter entwickelt.

Beispiel: http://fff-jupiter.fff.community/Simple-Babelweb/

Es ist auch ein einfaches Looking Glass https://de.wikipedia.org/wiki/Looking_Glass_(Internet) integriert.

Babelweb 0.4.0

Babelweb wird nicht mehr gepflegt und ist relativ langsam. Wenn ein WebUI für die Anzeige von Routen gewünscht ist, sollte die PHP Version von oben verwendet werden.

Für Babel gibt es ein WebUI. Quellen: https://github.com/kerneis/babelweb

Hinweis: Laut E-Mail von Gabriel Kerneis wird babelweb nicht mehr gepflegt, stattdessen wird der Nachfolger BabelWeb2 https://github.com/Vivena/babelweb2 weiter entwickelt! (Der folgende Text bezieht sich noch auf das ursprüngliche Babelweb 0.4.0.)

Installation:

apt install nodejs-legacy npm
npm install -g babelweb


/etc/systemd/system/babelweb.service:

[Unit]
Description=babelweb

[Service]
ExecStart=/usr/local/bin/babelweb
Type=simple

[Install]
WantedBy=multi-user.target


Der Dienst wird registriert und gestartet mit

systemctl enable babelweb
systemctl start babelweb


Modifikationen (optional):

Die Dokumentation von Babelweb empfiehlt, das Programm nicht als "root" laufen zu lassen. Manche möchten die Webseiten lieber über einen anderen Port als 8080 erreichen, zum Beispiel über Port 80. Leider benötigt BabelWeb root Rechte, um auf Ports < 1024 zuzugreifen (ein Linux-Feature). Beispiel, hier für einen eingeschränkten Benutzer "normalo" und Port 7070:

[Unit]
Description=babelweb

[Service]
ExecStart=/usr/local/bin/babelweb port=7070
User=normalo
Type=simple

[Install]
WantedBy=multi-user.target

Die Webseite optisch umgestalten ist auch möglich, der Einstiegspunkt ist

vi /usr/local/lib/node_modules/babelweb/static/index.html


Nach Änderungen in der Datei "babelweb.service" muss diese neu eingelesen werden mit

systemctl daemon-reload
systemctl restart babelweb

Remote Server einbinden

Es muss ein SSH forwarding zu dem remote Gerät eingerichtet werden, gut erklärt in der Babel Doku: https://github.com/kerneis/babelweb/blob/develop/README.md unter "Monitoring remote babel instances". Danach die Datei server.js anpassen z.b.

[...]
    "routers" : "[::1]:33123,[::1]:33124,[::1]:33125",
[...]

Achtung, keine Leerzeichen vor oder nach dem Komma benutzen!

Problem mit dem neuen Node

In Debian 9 wird keine vollwertige Node Version mehr angeboten, und das Node 0.x aus Debian 8 ist voller Sicherheitslücken. Abhilfe schafft der Download einer aktuellen Version aus Git, hier Node.js 8 LTS (Support bis mindestens Dezember 2019).

apt-get install curl
curl -sL https://deb.nodesource.com/setup_8.x | sudo -E bash -
apt-get install -y nodejs
npm install -g babelweb

Hinweis: Der Startlink ist nach dieser Installation "/usr/bin/babelweb", dies muss in /etc/systemd/system/babelweb.service gegenüber der Beschreibung im Absatz "WebUI für Babel" geändert werden.

Die letzte Babelweb Version 0.4.0 wurde bereits an die akuellen Node Versionen (>= 7) angepasst, aber eine Programmzeile vergessen. Deshalb muss eine Quellcode-Datei bearbeitet werden. Weiter entwickelt wird jetzt BabelWeb2, s.o.

vi /usr/lib/node_modules/babelweb/node_modules/policyfile/lib/server.js

Dort muss Zeile 254 geändert werden. Vorher:

Object.keys(process.EventEmitter.prototype).forEach(function proxy (key){

Nach Korrektur:

Object.keys(require('events').prototype).forEach(function proxy (key){

Quelle: https://github.com/LearnBoost/websocket.io/issues/55

Animation los werden

Ohne Animation lädt die Seite wesentlich schneller und auf schwachen Rechnern/Handys läuft die nicht gut. In

/usr/local/lib/node_modules/babelweb/static/index.html

folgende Zeilen auskommentieren:

  </head>
  <body>
      <h1>BabelWeb</h1>
<!--      
      <h2>Routers</h2>
      <div id="fig">
      <p class="legend">
      <span class="legend-title">Legend</span>
      <span class="legend-current">Current</span>
      <span class="legend-neighbour">Neighbours</span>
      <span class="legend-other">Others</span>
      </p>
      </div>
-->
    <h3>Configuration</h3>