Da stellt sich für mich ganz simpel die Frage, wo du denn den Stecker für das Mesh-on-WAN reinstecken willst. 
1 „Gefällt mir“
Die Verschlüsselung hat doch nicht den Zweck, es unleserlich zu machen, wird doch bei Einlieferung ins Internet wieder entschlüsselt, und ist auch vor dem VPN in der Mesh nicht verschlüsselt, sondern nur den Sinn, die Störerhaftung auszuhebeln.
Ob ich also ein Mesh über 1000 m unverschlüsselt habe, oder da noch 500 km per Draht zukommen, ist doch dann egal.
Ich hab oben gelesen, brauche keine 2 LAN, geht über ein LAN, und 1 LAN hat jeder VServer. Wenn es also in einer VBox auf dem Notebook mit 1 LAN klappt, muss es theoretisch auch auf einem VServer klappen, jedenfalls unter diesen Gesichtspunkten.
Die FRITZ!Box unterstützt VPN-Verbindungen.
Natürlich hat die Verschlüsselung auch ein unkenntlich machen zum Ziel, sonst könnte man auch VPN ohne jegliche Verschlüsselung fahren und hätte das Problem mit der hohen CPU-Last erst garnicht in dem Maße.
Wenn der Traffic beim ISP des Knotenaufstellers unverschlüsselt durch läuft, ist er doch direkt in Visier möglicher Ermittler.
Es darf kein Traffic unverschlüsselt vor der Rheinland-Infrastruktur ins Internet, sonst funktioniert das ganze Konstrukt aus „ich weiß nicht, wer der Verursacher ist“ nicht.
So unglaublich viel schneller ist die „null-Verschlüsselung“ allerdings auch nicht.
LAN meint hier wirklich ein lokales Netzwerk - Offloader vor Ort, Freifunkrouter vor Ort, keine Tunnelung notwendig.
Sobald deine Router wieder verschlüsselte Verbindungen entschlüsseln müssen, hast du den Vorteil eines Offloaders verloren.
Die wiederum von der CPU der Fritz!Box berechnet werden müssen, womit du wieder den Flaschenhals hättest. Die Werte, die ich beim schnellen googlen gefunden habe, liegen irgendwo bei 15-20 Mbit/s für die 7490.
- so weit mir bislang alle, die ich gefragt habe, antworteten, hat die einfache Verschlüsselung für den Tunnel nur idie Funktion, die Ursprungs-IP also das Problem der Störerhaftung zu killen.
Vor dem Uplink ist alles unverschlüsselt, also ist alles in einer Mesch unverschlüsselt. Habich in einer Fußgängerzone 100 Mesh, können tausende das bequem lesen, so sie wollen. Eben genauso, wie ein unverschlüsseltes WLAN zu Hause.
-
Wenn ein VServer die Funktion des Offloaders übernimmt, verschlüsselt dieser und erst von dort wird an einen Supernode weitergeleitet, ist also diesbezüglich nicht anderes, als würde der Offloader 10 km von der Fritzbox des ISP entfernt stehen und ein 10km-LAN-Kabel dazwischen sein.
-
Da die Fritzbox VPN-Verbindungen unterstützt (und Router anderer Hersteller vermutlich auch) kann also eine VPN-Verbindung zum VServer = Offloader theoretisch geschaffen werden. Damit wäre der VServer als Offloader in der selben Position, wie ein mit LAN an der Fritzbox über Port 2 (z.B.) angeschlossener Offloader (mein Notebook), das die Offloader-Rolle mit Hilfe von 2 virtuellen Maschinen bei demselben LANanschluss zur Fritzbox ausfüllt. Die LAN-Verbindung zum ersten funkenden (WLAN-) Router ginge da ja auch über Port 4 der Fritzbox.
Der einzige Unterschied wäre, dass nun anstelle einen 2 m - LAN zwischen Offloader und Firtzbox Port 2 der Weg über ein virtuelles Netz zwischen Fritzbox und VServer genommen würde, das dieselbe Internetleitung benutzt. Entspräche der Konfiguration eines grösseren Firmennetzes.
Für die Sicherheit und für Schutz vor Störerhaftung macht es keine Unterschied, ob das beim Supernode ankommende alles auf einem lokalen Offloader an Port 2 der Fritzbox, oder von einem VServer in einem DC stammt.
Einzig für die Map sollte keine Ortsposition des VServers eingetragen werden, aber im Graphen wäre dieser als der VPN identitifziert, und alle Router hinter der Fritzbox als damit verbunden gezeigt.
gut, mag sein, weis ich nicht, aber zunächst mal sollte das Konstrukt auch möglich sein.
[quote=„Pinky, post:122, topic:5431“]
Nun ist meine Test-Zielvorgabe ja immer noch die 50Mbit/s, und wenn ich sie erreichen kann, zu verstehen, was wie beeinflusst wird und optimierbar ist. PetaByteBoy hat mir die Bratwurst an die Decke gehängt, mit seinen 50Mbit/s.Also: will ich auch können/haben[/quote]
Das ist, wie gesagt, einfach: laß’ die VPN-Geschichte von einer ausgewachsenen CPU statt eines auf Stromsparen und geringe Kosten optimierten Rechenwerkes verrichten.
Ja, ich weiß, daß Du mit den Erklärungen haderst, aber DAS ist es nun einmal, was @PetaByteBoy gemacht hat und was in anderen Threads thematisiert wird/wurde.
Nein, Du verkennst das Problem: Deine kleine 20-Euro-Plaste-Kiste hat nicht genug Wuppdizität, den 100+ MBit/sec Datenstrom vom WLAN in Echtzeit in batman_adv-Packete umzupacken, geschweige denn, diese eh’ schon übergroßen Pakete (batman_adv-MTU ist >1500, was die Ethernet-MTU ist => batman_adv-Paket >1500 Byte (abzüglich Overhead) wird zu 2 Paketen á ca. 770 Byte) zu fragmentiern und dann noch jedes einzelne zu verschlüsseln. (Von den Einbußen auf der Luftschnittstelle durch Ad-Hoc/Multicast ganz zu schweigen.)
Was Du machen könntest wäre, fastd auf dem 841 auszuschalten und den per direkter Ethernet-Verbindung an Deinen VServer im RZ anzuchließen. Bei jedem, der nicht auf/unter einem RZ wohnt, eher unpraktikabel. Also ersetzt Du das 500km-Ethernet-Kabel durch eine Box vor Ort, die das einpacken in den VPN-Tunnel performanter erledigen kann: den Offloader. Der ersetzt die für den Einsatzzweck untaugliche CPU der WLAN-Access-Points für die VPN-Tunnelung, nicht mehr, nicht weniger.
Du kannst Dir einen x86-PC hinstellen. Selbst Atom-Kisten drehen um die Router-CPUs qualmende Schleifen. Du kannst auch Experimente mit Raspberry Pi 2, Banana Pi, ODROID U3 oder Intel NUC machen, die sind ob ihrer Kompaktheit weniger offensiv, als wenn Du beim Hotelier mit einem Big-Tower unterm Arm ankommst, dafür ggf. deutlich teurer. Ein i3-NUC liegt bei 200-400 EUR, was der bei fastd schafft: keinen Schimmer. Ein Rapsberry Pi 2 liegt bei ca. 40 EUR(?), dürfte für ca. 25 - 35 MBit/sec mit fastd gut sein (25 schafft er jedenfalls bei 70% CPU mit OpenVPN). Die anderen genannten Systeme liegen in etwa der genannten Reihenfolge dazwischen — wobei das überwiegend Annahmen aufgrund der Specs sind, ich habe noch keinen ODROID U3 als Offloader gesehen.
Beim x86-System hast Du den Vorteil daß es mittlerweile ein Gluon-KVM-Target gibt, d. h. ein KVM-Image, welches updatefähig ist, gebaut werden kann. Man kann also VMs als „Knoten“ laufen lassen; macht mangels WLAN wenig Sinn, außer eben als Offloader mit Mesh-on-WAN/LAN.
Gut, im Kontext IT ohne Englischkenntnisse etwas erreichen zu wollen, ich würde es als mutig bezeichnen. LMGTFY, „vpn durchsatz 1043ndv2“ und „fastd durchsatz 1043ndv2“ brachten brauchbare Ergebnisse, einmal einen Wert von 25 MBit/sec (wobei ich die Herleitung in Frage stellen würden), einmal https://projects.universe-factory.net/projects/fastd/wiki/Benchmarks – die Liste ist zwar Murks, weil ohne wirkliche Gluon-Infrastruktur dazwischen gemessen (muß man leider wissen, weil’s da nicht steht, sondern nur über die Gluon-Liste lief, IIRC), aber in Relation zum 841 kann man die Werte schon nutzen: „1043v2 ist deutlich schneller“.
[quote=„Pinky, post:128, topic:5431“]
3) Da die Fritzbox VPN-Verbindungen unterstützt (und Router anderer Hersteller vermutlich auch) kann also eine VPN-Verbindung zum VServer = Offloader theoretisch geschaffen werden.[/quote]
Genauso theoretisch, wie ich ein Kabel quer durch die Republik ziehen lassen kann vom 841 zum vServer: ja.
VPN heißt „Virtual Private Network“. Das sagt nichts(!) über das Protokoll/die konkrete Umsetzung aus. Und die ist bei IPSec (FB) und fastd (Gluon) grundlegend inkompatibel. Konkret: Du redest Chinesisch. Ich verstehe nur deutsch per Gebärdensprache. Beide können wir kommunizieren. Nur nicht wirklich untereinander.
Und, wie schon geschrieben wurde: auch eine 7490 dürfte einen 100/40-Vectoring-Anschluß nicht in Echtzeit verschlüsseln können. Eine 7570 kann z. B. ohne Tricks nicht einmal die 100 MBit/sec, die sie per VDSL2 symetrisch transportieren könnte, in PPPoE ein- und auspacken, einfach, weil die CPU zu lahm für die gestellte Aufgabe ist (mit Tricks kann man die 100 MBit/sec erreichen — aber das ist, wie gesagt, noch ohne Verschlüsselung).
OK, das mit dem Hasenfuß beim VServer hab ich gegessen. War auch nur eine Randidee.
Also mein Notebook, hab leider vor 3 Monaten zwei alte XP Notebooks verschenkt, weil dort kein 64 bit drauf ging. Könnt ich nun gut gebrauchen. Egal, also ein WIn65 Notebook, vermutlich also Überkapazität, aber zum Testen OK.,
Steh momentan vor dem Problem, wie bekomm ich in die VBox als Machine 1 Linux installiert, ohne CD-Laufwerk, so was uraltes hab ich nämlich nicht. Rausgeworfen zugunsten SSD.
Mal drüber schlafen …
Der nächste Flaschenhals kommt dann übrigens… ChrisNo von Freifunk Straelen hat gestern seinen Offloader getestet und konnte über WLAN ca. 25mbit/s und über Kabel ca. 50mbit/s erreichen. Dabei hat sich die CPU des Offloader gelangweilt.
Wir vermuten den Flaschenhals beim physikalischen Interface des Host auf dem die ganzen Supernode-VMs laufen. Zu später Stunde hat er das aber nicht weiter durchleuchtet.
1 „Gefällt mir“
Yepp, dieses Offloading macht nur in Kombination mit dedizierten Gluon-Gateways Sinn; und da drückt dann der nächste Schuh. Wenn ‚nur‘ 100 MBit/sec Interfacebandbreite zur Verfügung stehen, sind das max. 12 841er á 8 MBit/sec oder max. 2 Offloader á 50 MBit/sec, wenn man die Geschwindigkeit ‚garantieren‘ will. Bei G.vector reduziert es sich auf 1:1.
Und da man fastd quasi nicht steuern kann, wird das Setup recht komplex …
Ich verweise nochmal gerne auf meine BananaPi Studie vom April.
Dort kann man auch den Unterschied von Verschlüsselung vs. Nullverschlüsselung sehen.
So wie ich das beurteilen kann reicht ein BananPi gerade zum VPN auslagern aus?
Kannst du mal ein image vom Pi ziehen und online stellen?
1 „Gefällt mir“
Würde mich auch interessieren
(KURZ)Anleitung Freifunk@Virtualbox
meine VBox-Anzeige weicht von Deiner ab,
-
Bei Adaptertyp hab ich keine Vorgabe, sondern Auswahl. Ich versuch mal mit Deiner Auswahl = Paravirtualsiertess Netzwerk
-
hab noch ein bei Dir nicht existierendes Feld Promiscuous-Modus, Vorgabe ist „deny“
aber bei X86-virtualbox.vdi image - #17 von biggesee ist „erlauben für alle VMs“
und bekomme Fehler
Nach Versuchen bekomme ich mit „Angeschlossen an Host-Only-Adapter“ und Adaptertyp Intel PRO 1000 einen funktionierenden Start der ersten Maschine. Argwöhne aber, daß das falsch ist.
Edit. Argwohn war treffend,
Problem lag in der fehlenden Netzwerkbrücke zwischen LAN zur Fritzbox und VBox Host-Only Netzwerk. Jetzt bekomme ich den Start der Maschine 1 mit „Netzwerkbrücke“ und „MAC Bridge Miniport“ (als einzige Möglichkeit)
aber wie gehts nun weiter ???
so weit ich verstanden habe, müsste ich nun 192.168.1.1 aufrufen bzw. anpingen können.
Ist aber nicht, ping gibt timeout, Browser sagt nicht gefunden.
Edit
habs zwar am Laufen, aber mit erschreckendem Ergebnis:
es funktioniert, aber terrible:
Testumgebung:
Fritzbox Port 2 Offloader
Fritzbox Port 3 ein 841
Speedtest (WLAN an 841)
down 1,03 - up 0,34 - ping 655
Edit
hab das nun isoliert gesetzt, und wenn ich https://freifunk-muensterland.de/wiki/doku.php?id=technik:virtualisiertes_gluon#virtualisiertes_gluon_konfigurieren => „Abschließend muss am Freifunkrouter ebenfalls Mesh-on-Wan aktiviert werden und Mesh-on-VPN deaktiviert werden.“ das auf den 841 mache und den offloader und das 841 per switch an port 2 der Fritzbox hänge, bekommt die 8451 zwar IPs und wird im Graphen mit Verbindung zu Wupper 1 + 2 gezeigt, aber ein Client bekommt kein Internet, und der offloader ist auch nicht im Graphen.
Also stimmt mit der Offloader-Konfiguration was nicht.
übrigens zum Vergleich der Werte oben: Wenn das 841 normal per WLAN mit dem 1043 (als normaler VPN) verbunden ist, bekommt ein Client per WLAN zum 841 15.88 down - 4.93 up - 27 ms
Kriegst du mehr Bandbreite, wenn du am WR841 VPN aktivierst?
Da sind wir jetzt bei einer Grundsatzfrage. Die Berliner verschlüsseln ihre Tunnel nicht. Aber das ist nicht Thema hier.
@Steneu Die Kölner auch nicht btw
@Pinky
testest du in einem Netzwerk mit einem weiteren entfernteren Uplink? Das würde die 2 MBit/s erklären, denn eigentlich solltest du gar kein Internet haben.
Du musst bei „Name“ etwas anderes als „VirtualBox Host-Only Adapter“ auswählen. Dann einen weiteren PC ans gleiche Netzwerk anschließen und feste IP 192.168.1.2 setzen und 192.168.1.1 ansurfen. Ich kann das genaue Setup mit VBox nicht testen, hab das Programm nicht. Der Screenshot von meinem letzten Post war aus den Weiten des Internetz.
@PetaByteBoy: Mit welcher Virtualisierungstechnologie hattest du denn den guten Durchsatz gemessen?
KVM mit VirtIO und 20 Zeichen
1 „Gefällt mir“