[Anleitung] Gateway aufsetzen mit Ansible für Neulinge

Vogelbecker · 5. Januar 2018 um 07:41

Was kann man fürs NAT noch testen?

root@host2 ~ # birdc6 show proto
BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   ffnet    up     2018-01-04
radv1    RAdv     master   up     2018-01-04
bfd1     BFD      ffnet    up     2018-01-04
device1  Device   master   up     2018-01-04
ospf1    OSPF     ffnet    up     2018-01-04  Running
static_Gesamtnetzwerk Static   ffnet    up     2018-01-04
static_domaene01 Static   ffnet    up     2018-01-04
kernel_master Kernel   master   up     2018-01-04
static1  Static   master   up     2018-01-04
direct1  Direct   ffnet    up     2018-01-04
ibgp_host1 BGP      ffnet    up     2018-01-04  Established
ffrl_ber1 BGP      ffnet    up     2018-01-04  Established
ffrl_fra1 BGP      ffnet    up     2018-01-04  Established
ffrl_dus1 BGP      ffnet    up     2018-01-04  Established
ffrl_ber2 BGP      ffnet    up     2018-01-04  Established
ffrl_fra2 BGP      ffnet    up     2018-01-04  Established
ffrl_dus2 BGP      ffnet    up     2018-01-04  Established

Was brauchst du als 2. Ausgabe?

Danke aber nochmal, das du mir hier so gu hilfst, das kann ich garnicht wieder gutmachen

MPW · 5. Januar 2018 um 22:14

Ob die Routen exportiert werden. Siehe:

Vogelbecker · 12. Januar 2018 um 09:33

Moin,

sorry war einige Tage unterwegs, daher die verspätete Antwort.

root@host2 ~ # birdc6 show route export ffrl_dus2 table ffnet
BIRD 1.6.3 ready.
2a03:2260:3000::/56 unreachable [static_domaene01 2018-01-04] * (200)

Hab mir dann mal die /etc/bird/bird6.conf angeschaut, da war wirklich eine falsche IP drin.
Hab das angepasst.

root@host2 ~ # birdc6 show route export ffrl_dus2 table ffnet
BIRD 1.6.3 ready.

Jetzt kommt keine weitere Ausgabe. Ist das gut oder schlecht?

Hab gerade keinen Knoten in der nähe zum Testen.

Wie bekommen die Clients eigentlich eine IPv6 Adresse? Müsste da nicht ein radvd oder ähnliches laufen oder macht das der Bird mit?

Viele Grüße

MPW · 12. Januar 2018 um 09:54

Moin,

diese Zeile bedeutet, dass alles aus 2a03:2260:3000:0000::/56 zu deinem Server geleitet werden könnte.

Du hast dich glaube ich selbst ausgetrickst. Von der Länge her ist 2a03:2260:3000 ein /48, du kündigst es aber als /56 an. Dadurch werden die Nullen ergänzt.

Wenn du das ganze /48er haben möchtest, musst du auch /48 schreiben. Wir kündigen jedes /56 separat an und haben /48 nur als Reservelösung drin.

Jetzt ist ganz kaputt, da wird überhaupt nichts exportiert, somit wird die BGP-Sitzung nicht verwendet. Zumindest nicht eingehend.

Und bist du sicher, dass das Präfix stimmt? Das 2a03:2260:3000::/36 ist eigentlich für den Backbonestandort in Düsseldorf reserviert, zumindest laut Whois-Eintrag. Kann es sein, dass der dritte Block ein anderer wäre? Die zählen das normaler Weise hoch und bei 3000 Communities, egal ob hexadezimal oder dezimal gezählt, sind wir denke ich noch nicht.

Viele Grüße
Matthias

Vogelbecker · 12. Januar 2018 um 12:02

Moin,

wo die 2a03:2260:3000::/56 herkommt, kann ich garnicht so genau sagen. Die hab ich eig. garnicht konfiguriert.

Ich glaube ich habe einen Fehler in meinen Config. Ich habe quasi versucht nur eine Domin zu konfigurieren und somit für v6_network und ffv6_network die gleichen Einträge. Das ist so nicht richtig oder? Siehe:
http://vpn1.freifunk-einbeck.de/txt/all.txt
http://vpn1.freifunk-einbeck.de/txt/gateways.txt
http://vpn1.freifunk-einbeck.de/txt/host1.txt

viele Grüße!

MPW · 12. Januar 2018 um 22:22

Hallo @Vogelbecker,

das Gateway soll doch am FFRL-Backbone angebunden sein? Guck doch bitte mal, welches IPV6-Präfix ihr bekommen habt.

Laut icvpn-meta habt ihr einen IP-Bereich von den Berlinern:

2001:bf7:360::/44

Das andere Präfix 2a03:2260: gehört dem FFRL. Ich denke einfach, dass du da beim Abschreiben einen kleinen Fehler eingebaut hast. Wenn man das korrigiert, wird es wahrscheinlich laufen.

Dort steht in Zeile sieben noch ein anderes Präfix:

ffv6_network: 2a03:2260:3018::/48

Guck das am Besten nochmal in deiner Emailkorrespondenz mit dem FFRL-Backboneteam nach. Wenn wir das richtige Präfix haben, klappt auch das Rest.

Das scheint mir gerade kein technisches Problem zu sein. Wenn du ein falsches Präfix ankündigst, wird das vom FFRL-Backboneserver einfach ignoriert, bzw. weggefiltert.

Viele Grüße
Matthias

Vogelbecker · 13. Januar 2018 um 09:26

Moin

Wir haben das zugewiesen bekommen:

Eure IPv4: 185.66.193.62/31
Eure IPv6: 2a03:2260:3018::/48

Wie der Falsche Bereich da ins icvpn-meta kommt, ist mir gerade nicht klar, das batte damals mein Kollege gemacht. Das stammt noch aus Zeiten, als wir via Openvpn in Schweden ausgeleitet haben (ohne externe IPv6 Konnektivität). Das sollte aber definitiv falsch sein.
Ich werd gleich nochmal überall drüberschauen, ob da irgendwie die falsche/alte IPv6 Adresse drin steht

MPW · 13. Januar 2018 um 09:58

Gut, dann lies dir nochmal das zur Präfixlänge oben durch und mach es länger oder entscheide dich für ein /48. So ist es recht verwirrend.

Grüße
Matthias

Vogelbecker · 13. Januar 2018 um 11:12

Moin,

habe das jetzt nochmal analog zum Beispiel oben gemacht, siehe
http://vpn1.freifunk-einbeck.de/txt/all.txt
http://vpn1.freifunk-einbeck.de/txt/host1.txt

Ansible scheint da aber ein /56 raus zu machen?

root@host1 ~ # birdc6 show route export ffrl_dus1
BIRD 1.6.3 ready.
2a03:2260:3018:100::/56 unreachable [static_domaene01 11:56:32] * (200)
2a03:2260:3018::/48 unreachable [static_Gesamtnetzwerk 11:56:32] * (200)

scheint so noch immer nicht zu funktionieren
Danke aber nochmals für deine Hilfe

MPW · 13. Januar 2018 um 14:14

Das ist aber richtig so. Falls du das Präfix noch an einem anderen Gateway verwendest, welches nicht mit diesem verbunden ist, können die Pakete dort natürlich in eine Sackgasse geraten und werden dann verworfen.

Welche IP (damit meine ich V6) hast du dem Batman-Interface auf diesem Gateway gegeben?

Und wie sieht ein Traceroute von außen auf diese IP aus?

Vogelbecker · 22. Januar 2018 um 13:59

Moin,

ich bin noch eine Rückmeldung schuldig.

Batman hat die 2a03:2260:3018:100::2/64 bekommen. Trace auf diese Adresse läuft auch.
Habe jetzt mal ein paar Test-Nodes drangehängt. Sieht schon viel besser aus.

Hab jetzt noch das Problem, das Android-Geräte immer wieder kurz die Verbindung verlieren. Windows, Linux und iOS funktionieren soweit gut. Das kann aber auch an ganz was anderem liegen. Werd mal schauen wo ich da ansetzten kann.

Vielen, vielen Dank aber nochmal für deine Hilfe!

MPW · 22. Januar 2018 um 14:10

Welche Androidversion? 5.0 und älter von Samsung hat ziemliche Probleme mit dem Roaming.

Gerne. Freut mich, dass es (fast) läuft.

Vogelbecker · 22. Januar 2018 um 14:24

Das müsste ich mal in der Erfahrung bringen. Ist da was bekannt?
In der Tat empfängt das Gerät mehrere Knoten.
Lässt sich das irgendwie auf unserer Seite irgendwie lösen oder ist das eher ein Client-Problem.

Werde mal google bemühen.

MPW · 22. Januar 2018 um 20:01

Also mir ist nur bekannt, dass man Samsung-Geräte mit Android <= 5.0 im Freifunk und auch in vielen Uni-WLAN-Netzen vergessen kann, weil die das Roaming nicht gebacken bekommen und dann oft offline sind. Seit ich Android 6.0 Cyanogenmod auf mein S4 aufgespielt habe, ist Ruhe. Das war aber nicht nur bei mir so, hatten noch mehr Probleme damit.