Babel - Gluon community gesucht

Aiyion.Prime · 11. März 2022 um 11:06

Hey zusammen,
in den vergangenen zwei Jahren fiel mir immer häufiger auf, wie schwer es ist, eine Babel-Gluon-Community zu finden, deren letztes Release nicht Monate wenn gar Jahre alt ist.

Um Bugfixes in gluon auch gegen den babel-code darin zu testen, wäre es praktisch, einer solchen firmware mal wieder über den Weg zu laufen.

In Hannover nutzen wir batman-adv, und haben einen nightly branch. Haben also jede Nacht ein neues Image, dass gluons aktuellen Entwicklungszustand abbildet.

Wenn irgendjemand eine Community benennen kann, die das babel-pendant dazu betreibt, wäre das die größte Hilfe für mich.

Ansonsten würde ich mich freuen, wenn wir in diesem Thread möglichst frische Gluon-Babel-Releases sammeln könnten.

Name der Community; Firmware-Version; Gluon-Version; evtl. Site Version; wenn verfügbar, Commit-Datum des letzten enthaltenen Commits; Link zum Fimware-Ordner; Link zur verwendeten Site.

Das sollte helfen zu jeder Zeit möglichst neue Babel Firmwares zum Testen zu Verfügung stehen zu haben. Vielen Dank für eure Mihilfe!

Aiyion.Prime · 11. März 2022 um 11:27

Ein Beispiel anhand unserer Bremer Nachbarn:

Freifunk Bremen (ffhb.de)
gluon-ffhb-2018.2~babel215
gluon-2018.2.?
keine genau site-version verfügbar, vmtl. um diesen commit herum
Dec 29, 2018 (Release v2018.2 · freifunk-gluon/gluon · GitHub)
Index of /firmware/babel/sysupgrade

Nach meinem letzten Stand hat ffffm seine Babel Infrastruktur nicht mehr im Betrieb, und die von Bremen funktionierte nicht, als ich sie das letzte mal vor einem halben Jahr mit @genofire getestet hatte. Ich lass’ mich da aber gerne korrigieren.

genofire · 7. Mai 2022 um 10:38

In der Kürze hat es mit dein Router wirklich nicht hingehauen.

Gerade bin ich umgezogen und hab die virtuellen Maschinen (unter anderem den alten Babel Gluon von FFHB ) gestartet:

http://[2a06:8782:ffbb:bab0:5054:ff:fe3a:555d]

Doch ja, die wireguard-broker waren damals noch nicht ganz ausgereitzt und inzwischen ist gluon selbst auch etwas davon ab …

Einige Komponenten sind auch relativ waklig damals gewesen …
doch in Bremen herrscht gerade auch etwas stillstand … wenn man sich die aktuellen Gluon-Batman-Firmware anschaut, sind die prioritäten etwas verlagert …

Ich interessiere mich weiterhin für babel und freue mich über den aktuellen Entwicklungsstand (und eine Lösung, bei der die wireguard keys ohne extra Nutzeraufwand verteilt werden)

wusel · 7. Mai 2022 um 12:50

Inwiefern ist das bei Babel anders als bei Batman-Adv? Sprich: kann nicht der Mechanismus verwendet werden, der bei VXLAN-über-Wireguard Anwendung findet?

awlnx · 7. Mai 2022 um 23:08

Hier ein Wireguard Broker ohne Nutzer Interaktion. GitHub - freifunkMUC/wgkex

genofire · 8. Mai 2022 um 08:15

ist aus Babel sicht VXLAN einfach nur MTU und Router-Ressourcen verschwendener extra Layer.
Gibt es meines Wissens nach kein gluon-package, ohne Batman darin verbaut existiert (gerne belehrt mich eines Besseren, wäre echt wünschenswert).
- community-packages/ffmuc-mesh-vpn-wireguard-vxlan at master · freifunk-gluon/community-packages · GitHub hier fehlt eigentlich noch batman im Namen:
  - community-packages/checkuplink at 917dafc07a10794efbf62385e1572e17db7e56a7 · freifunk-gluon/community-packages · GitHub
  - community-packages/checkuplink at 917dafc07a10794efbf62385e1572e17db7e56a7 · freifunk-gluon/community-packages · GitHub

genofire · 8. Mai 2022 um 08:20

Jep, gibt es hierzu ein Package ohne VXLAN und Batman (ggf. schon mit Babel)?
Oder andere Implementierungen als community-packages/ffmuc-mesh-vpn-wireguard-vxlan at master · freifunk-gluon/community-packages · GitHub ?

Die Idee Persistent wireguard-keys zu speichern finde ich gut. Allerdings nicht die Single-Point-of-Failure Struktur durch Mosuitto und WGKey-Broker.
Warum wurde nichts gebaut, das auf den Gateways-/VPN-Server direkt läuft?

genofire · 8. Mai 2022 um 08:33

Hier ist der alte Broken, auf NetCat basis, der direkt auf ein Gateway connections annimmt und dort in Babel Routing einträgt:

und dem gluon-package:

github.com/freifunk-gluon/gluon

Add Wireguard Support to gluon

freifunk-gluon:master ← christf:wireguard

opened 10:51AM - 22 Sep 18 UTC

christf

+424 -16

This patchset add wireguard integration into gluon. As usual, I am raising this …early to get some feedback. Open tasks: - [x] Improve documentation for server-side broker - [x] assign ll-address based on nodeID to wg-interface on client-side should we make use of 228cdef3584b9e8f99efc83c8251a34be85e5273 and extend that functionality? => not for now. In case tatas PR gets merged before this one, then the functionality to obtain the mesh interfaces must be extended.

awlnx · 8. Mai 2022 um 09:02

Die Keys werden nicht gestored. Sie werden exakt bei Anmeldung über Mosquito an die GWs verteilt. Und wenn das GW rebooted hat es keine Keys mehr. Und alle Nodes müssen sich neu anmelden. Man kann die Komponenten auch direkt auf den Gateways laufen lassen. Unsere Struktur aus 4 Gateways die alle die selben Keys brauchen, nutzt aber den verteilten Ansatz aus broker läuft in einem Docker Container mit mehreren Webfrontends davor und mehreren Gateways die per worker zu mosquito verbinden.

Ein bisschen Hintergründe gibt es hier:

Die Packages lassen sich alle schnell anpassen auf Babel.

genofire · 8. Mai 2022 um 09:07

Danke für die Informationen:
Doch weiterhin ist Mosquito nach wie vor ein Single-Point of Failure oder?

Die Packageanpassung für Babel sehe ich auch als ein kleine Aufgabe, die nötigen Anpassungen auf wgkex und Gateway Seite sind noch etwas größer:

ohne vxlan müsste ein wireguard interface auf dem Gateway pro Node laufen, um mit AllowedIPs ::/0 laufen zu können - daher muss dem Node noch sein Port mitgeteilt bekommen - auf dem der passende Wireguard-Interface auf dem Gateway läuft
zudem möchte man villt. nich auf jeden Gateway den Port blockieren (ansonsten kann man mit mehreren Gateways nicht eine höhere Anzahl an Nodes bedienen)

Für den Betrieb verschiedenen Webfrontends des wgkex pro Gateway sehe ich folgende Probleme:
Die Konfigurations-Struktur des Packages gibt allerdings vor, das es nur eine URL für den wgkex broker für alle gateways gibt - eine Änderung um dort je nach Gateway eine anderen Frontend anzusprechen wäre etwas komplexer.

awlnx · 8. Mai 2022 um 09:23

Jup, mosquitto ist ein SPOF, könnte man aber durch ein Mosquitto Cluster reparieren. Das war bei uns aber noch nie ein Problem. Für deinen Zweck wäre eventuell der wgkex Fork von ffrgb was. GitHub - ffrgb/wgskex

awlnx · 8. Mai 2022 um 09:33

Um jeweils das Gateway direkt anzusprechen für den Key, könntest du einfach hier das gewürfelte Gateway als Variable nehmen anstatt die globale Broker URL.

github.com

freifunk-gluon/community-packages/blob/917dafc07a10794efbf62385e1572e17db7e56a7/ffmuc-mesh-vpn-wireguard-vxlan/files/lib/gluon/gluon-mesh-wireguard-vxlan/checkuplink#L93

      
        
            		PUBLICKEY=$(uci get wireguard.mesh_vpn.privatekey | wg pubkey)
            		SEGMENT=$(uci get gluon.core.domain)
            
            
		# Push public key to broker, test for https and use if supported
            		wget -q https://[::1]
            		if [ $? -eq 1 ]; then
            			PROTO=http
            		else
            			PROTO=https
            		fi
            		gluon-wan wget -q  -O- --post-data='{"domain": "'"$SEGMENT"'","public_key": "'"$PUBLICKEY"'"}' $PROTO://$(uci get wireguard.mesh_vpn.broker)
            		
            		# Bring up the wireguard interface
            		ip link add dev $MESH_VPN_IFACE type wireguard
            		wg set $MESH_VPN_IFACE fwmark 1
            		uci get wireguard.mesh_vpn.privatekey | wg set $MESH_VPN_IFACE private-key /proc/self/fd/0
            		ip link set up dev $MESH_VPN_IFACE
            
            
		# Add link-address and Peer
            		ip address add "$(interface_linklocal "$MESH_VPN_IFACE")"/64 dev $MESH_VPN_IFACE
            		if [ "$endpoint" == "" ]; then

wusel · 8. Mai 2022 um 23:28

Schon, aber es ging explizit nur um »(und eine Lösung, bei der die wireguard keys ohne extra Nutzeraufwand verteilt werden)«, und da hat die gluon-vxlan-wg-vpn-Fraktion eben einen Verteilmechanismus ersonnen — den von @awlnx ja zwischenzeitlich verlinkten wgkex. Ich habe mir das nicht weiter angesehen, wollte darauf aber hingewiesen haben; nicht mehr, nicht weniger. Daß WireGuard und Babel – effektiv zwei konkurierende L3-Routingebenen – vielleicht nicht optimal harmonieren, ist ja ein ganz anderes Thema. Allerdings eines, das die Nutzung von WireGuard in dem Kontext imho grundsätzlich in Frage stellen sollte — dennoch sollte sich die wgkex-Methodik auch für andere Schlüsselaustausche nutzen lassen. Oder als Blaupause für eine eigene Lösung.