Benötigte Ports und Remote-Zugriff

Eine weitere Möglichkeit ist, in alfred_public.js nachzuschauen (siehe auch nodes.js) – das sind die Daten, aus denen die Karte gebaut wird. Da kann man kurz „Ctrl-F Knotenname“ machen. [Kleiner Stolperstein: Der hostname steht ganz unten, man muss also ein bisschen hochscrollen für die IPv6-Addr.]

Hallo,

Welche Ports sollten denn nun hier in AC freigeschaltet werden?
Ich hab hier auch eine vorgeschaltete Firewall, in der alles explizit genehmigt werden müsste…

Gruß,
Heinz-Josef

Als wir noch bei Rheinufer waren, gab es auch in der alten Karte einen Reiter „Alfred“, mit dem man die IPv6-Adresse der Router rausfinden konnte. Ist leider beim Umzug in die Domäne Aachen irgendwie verloren gegangen.

Laut der site.conf sollten es die Ports 30001 bis 30007 UDP sein. Und, damit er die Namen der Super-Nodes auflösen kann, wohl noch 53 UDP für DNS.

Danke!
Würde ein Ff-Router auch hinter einem DualWAN-Router funktionieren; auch in einem loadbalancing Szenario?
Gruß,
Heinz-Josef

Theoretisch schon. Je nachdem wie das Loadbalancing arbeitet wirst du aber vermutlich nie die Gesamtbandbreite dem Freifunk zur Verfügung stellen können.

O.K., war auch eher eine theoretische Frage; hab hier dt. Glasfaser mit einem 100er Anschluß und zur Zeit als Fallback ein T-Com 6er.
Da der DualWan-Router kaskadiert hinter dem „noch“ aufgezwungenen Glasfaser-Router eingesetzt wird, dieser aber kein prefix delegetion unterstützt, kann ich meinen Subnetzen keine IPV6 anbieten, außer lokale; aber das ist vermutlich egal?

Gruß,
Heinz-Josef

IPv6 ist nicht zwingend nötig um einen Freifunk Knoten zu betreiben.

Das hätte ich auch gedacht, aber zusätzlich zu den Ports 30001-30007 versucht mein Freifunk-Knoten auch eine Verbindung zu 5.61.84.134 (01.nodes.freifunk-aachen.de) auf Port 10000 aufzubauen. Da ich das der Config so nicht entnehmen kann, warte ich hier auf eine Aussage eines der Admins.

Im Moment scheint die site.conf anders auszusehen als es da im Git drin steht.

Bei mir steht da:

aachen01 = {
     key = '4d6e3cb352c991b93e8e19e174570f621a5805f21ab812f44df5602cc89c9e8a',
     remotes = {'"01.nodes.freifunk-aachen.de" port 10000'},
},
aachen02 = {
       key = 'c73c4b030f4b79c448d7a5127a49b2002ddfacb30304f95de41bb3ededa0dcd9',
       remotes = {'"02.nodes.freifunk-aachen.de" port 30002'},
},

etc.

Ich hab die Admins mal angestupst. Ich vermute mal, das war der Fix für den Domänenwechsel, aber die site.conf im Git ist out-of-sync geraten (wenn man selber baut, braucht man den Port 10000 dann ja nicht).

Der 01.nodes.freifunk-aachen.de sollte aber auch auf 30001 lauschen, aber ohne Gewähr.

3 Likes

Wow, das geht ja schlag auf Schlag hier. Wir Supernode Admins hatten alle übers verlängerte Wochenende kaum Zeit fürs Forum.

Wir verwenden für jeden Supernode einen eigenen Port. Immer 30.000±Supernode Nummer. Das erlaubt uns im Ernstfall mehrere fastd Instanzen auf einem Supernode zu betreiben.

Der Port 10.000 auf Node01 ist momentan noch in der Firmware konfiguriert. Mit der nächsten Version wird auf 30.001 umgestellt. Der Supernodes hört bereits auf beide Ports.

Die neue Karte ist eine Möglichkeit einfach an die IPv6 Adresse zu kommen, eine weitere ist die Link local Adresse: http://10.5.255.254/

Mit dieser erreicht man stets den lokalen Knoten.

Wenn ihr es hinbekommen würdet, zumindest einen einzigen als Port53 (ja wirklich!) laufen zu lassen, der eine oder andere „Hotelgast“ wird Euch dankbar sein.

Was läuft denn auf 137.226.111.227:8001 für ein Dienst? Laut meiner Firewall versucht mein Knoten dazu auch immer wieder eine Verbindung aufzubauen.

Das ist einer unserer Update-Server.

Grundsätzlich kriegt man die Updates aber auch von einem anderen über Port 80 oder durch den Tunnel.

Alles klar. Also zusammengefasst wird dann aktuell genutzt:

53/tcp,udp
80/tcp
123/udp
8001/tcp
10000/udp
30001-30007/udp

Irgendwas vergessen?

10000 ist definitiv optional und es wird in Zukunft nicht mehr möglich sein, darüber Verbindungen aufzubauen.

8001 und 80 ist optional, wenn man den Router immer schön angeschlossen und eingeschaltet lässt sodass man kein Autoupdate verpasst (oder es deaktiviert hat). Sonst könnte es sein, dass man eine Änderung verpasst und sich nicht mehr per Tunnel verbinden kann. Daher muss man das Update in dem Fall auch von außerhalb des Tunnels ziehen können.

123 ist optional, wenn man den Router immer mit Tunnel betreibt. (Zeit kann auch durch Tunnel bezogen werden)

Es werden also nur 53/tcp,udp und 30001-30007/udp benötigt um den Tunnel aufzubauen.

Kann das ein Admin verifizieren?

3 Likes

Ganz genau so ist es.

Super, danke für die Infos!

Ich fände es toll, wenn genau diese Infos auf der Config-Wizard-Infoseite angezeigt würden. Denn der Router kennt diese Dinge und wer eine zugeklöppelte Firewall/DMZ betreibt kann genau dann schauen bei der Einrichtung, das der Router mit der aktuellen FW gleich brauchen wird.
Das insteressiert mich zu mindest mehr als 3 verschiedene Schreibweisen der gleichen MAC-Adresse und eine HW-Revision, die ich auch durch Blick auf’s Typenschild herausfinden könnte.

Das könnte man vermutlich mit überschaubarem Aufwand in die Info Seite bei den erweiterten Funktionen unterbringen.

2 Likes

Durch die Segmentierung des Netzes in der Regio Aachen ist dies nicht mehr aktuell, die jeweils gültigen Ports finden sich hier:
https://wiki.freifunk.net/Freifunk_Aachen/Firmware#Ben.C3.B6tigte_Ports

(Ausgegraben da aufgrund der Infos hier unvollständig konfiguriert wurde)

1 Like