Fortsetzung der Diskussion von Änderung von Tunnelendpunkt-IP-Adressen:

Ich probier’ mich mal am Threadabspalten, denn mit dem orginären Thema hat das ja wirklich nicht mehr viel zu tun.

Nunja. Da gehen IMHO verschiedene Ebenen durcheinander:

• BNetzA: Anbieter von blablabla müssen sich (kostenlos) registrieren, wobei die Registrierung lt. BNetzA keinen Status (aka „Ihr seid jetzt Provider im Sinne des Gesetzes XYZ“) mit sich bringt.

• Abuse-Handling/selbst ausleiten: Wenn man „selbst ausleitet“, tut man das über IP-Adressen, die auf einen selbst eingetragen sind (d. h. zu z. B. 203.0.113.0/24 steht in der RIPE-DB, daß diese oder jene Organisation Inhaber ist) — im Gegensatz zu den VM-IPs, die eben i. d. R. auf den Hoster eingetragen sind. Nächste Hürde: viele Prozesse/Tools adressieren nicht mehr den Nutzer, sondern den ISP, d. h. den Anbieter, über dessen ASN das Netz geroutet wird.
  Bekanntes Beispiel ist der BUND-Spam-Bot: hört CERT BUND von z. B. von einem offenen portmapper in einem deutschen IP-Netz, ›informiert‹ CERT BUND nicht etwa die Verantwortlichen für jenes Netz, sondern die Verwantwortlichen, die dieses Netz gen Internet konnektieren. Das heißt: Falls man also das nicht über ein eigenes AS routet, behelligt CERT BUND den Upstream-Provider.

Das mit »selbst ausleiten auf IPs, die auf unsere $LegalEntity eingetragen sind« könnte somit funktionieren, wird es praktisch aber nicht: Abuse- u. dgl. -Anfragen landen erfahrungsgemäß weiter beim »ISP«, also dem Anbieter, über dessen ASN – Autonomous System Number – das Freifunk-Netz mit dem Internet verbunden wird. Und der ist ggf. schnell genervt von diesem Kunden, der Arbeit erzeugt und, aufgrund der erzeugten Bandbreite, nichtmal anständige Marge erwarten läßt.

Also will man, beschreitet man diesen Weg, eigentlich auch schnell eine AS-Nummer zugewiesen bekommen — kostet aktuell einmalig(!) 50 EUR + Steuer (MwSt-Aufschlag RIPE NCC) + Steuer (deutsche MwSt).

Für eine ASN (»ein AS«) wiederum braucht es eine juristische Person, wenn man nicht mit seinem eigenen Namen gelistet werden will. Der deutsche nichteingetragene Verein kann zwar bei manchen Dingen »quasi« eine solche sein — das stört das RIPE NCC aber nicht, ohne Amtsgerichtseintrag (e. V.) oder Handelsregisterauszug (UG, GmbH usw.) ist der Inhaber eine Privatperson, ausgewiesen durch seinen/ihren PA.

Sofern diese dem Antragssteller nicht kommuniziert wurden, und vom Gegenteil habe ich nichts gelesen, macht das die Sache um keinen Deut besser.

Feel free.

It’s for free, pal!

Wahrscheinlich, allwissende Müllhalde befragen; hat mit dem Backbone-/ISP-Thema aber nichts zu tun.

Klingt interessant. Was muss man dafür tun, um ein eigenes Backbone-Netz aufzubauen?

Ich kann auf dem Handy nicht mit einem verknüpften Thema antworten daher möge jemand das abspalten.

Letztendlich kommt es ja nur drauf an, das man selber direkt Ausleiten kann.

Das ist relativ simpel, Verein oder andere Institution gründen, bei der BNetzA als Provider registrierten, IT-Sicherheitskonzept einreichen, fertig.

Alles was dann noch fehlt ist ein Serveranbieter mit einem Kundenfreundlichen Abuse Handling, dann kann es auch schon losgehen.

Sprengt wohl etwas den Rahmen dieses Threads; aber in https://www.youtube.com/watch?v=DcdYWxGWY-c findet sich ein grober Überblick zur FFRL-Backbone-Entstehung, ein Blick nach Unterstützer | Freifunk Rheinland e.V. macht deutlich, daß das ohne Sponsoren durchaus teuer werden kann.

Wir nehmen (alte) HPE-Server, die liegen mit 2 4-Kern-Xeon oder besser und ab 32 GB bei ~150 EUR, Dual-Port-10-GBit-Karte dafür nochmal bei ca. 100-300 (jenachdem, ob uralt oder jünger, SPF+ oder Kupfer), für das reine Unterstellen (Rack, Klima, Strom, ggf. ISP-Uplink) kann man Pi mal Daumen 50 EUR ansetzen, pro Server. („Echte“ Router sind evtl. günstiger, weil evtl. weniger energiehungrig; so können wir aber auch noch ein paars VM dort laufen lassen).

Doch, das geht!
Oben rechts auf die „Uhrzeit/Datum“ des Postings tippen („7h“), dann „neues Thema“ anwählen und los geht’s.

Was die eigentlichen Bearbitungszeiten von Tickets anbelangt im FFRL:

1. wichtig ist, die richtige Mailadresse zu verwenden. „Backbone@freifunk-rheinland.net“ ist aber wohl definitiv richtig. (siehe Vorstandsmumble-Protokolle. Tickets in „info@“ werden wohl schonmal versehentlich(?) geschlossen, wenn es die falsche Qeueue ist, statt sie in die korrekte zu schieben.)
2. Eine Bearbeitungszeit von etwa 8 Wochen ist -wenn man es historisch betrachtet- eher als Regel statt als Ausnahme zu sehen. Wobei der aktuelle Fall auch in meinen Augen ein Ausreisser zu sein scheint.
   Ich unterstelle einfach, dass es hier Gründe gibt, warum diesem Wunsch nicht entsprochen wird, die hier aus Gründen seitens der Beteiligten nicht offen genannt werden können/dürfen.
3. Der Themenaspekt „Self Service Portal de Backbones“ sollte auch von hier in einen der zwei Nachbarthreads umgelagert werden, damit es auffindbar ist, falls mal wieder jemand sucht.

Das hört sich zunächst simpel an, wirft aber weitere Fragen auf. Einen Verein haben wir schon.

• Was kostet eine Providerregistrierung bei der BNetzA ? Ich habe bisher dort nur ein Meldeformular gefunden, allerdings ohne Angabe von Gebühren.
• Gibt es eine Vorlage für ein IT-Sicherheitskonzept ?

Die aber wirklich alle mit diesem Thread (und mit dem FFRL) nichts zu tun haben.
(Oder anders: Ich könnt schlecht im Bereich des FFRL-Backbones diskutieren, eine wie ihr eine Parallel-Veranstaltung aufmachen könntet.)

Nichts.

Google mal Freifunk und IT Sicherheitskonzept.

IMHO schon, denn es ist ja keine Konkurrenzveranstaltung im klassischen Sinn, eher ein Nebeneinander. Anyway, neuer Thread dazu wurde erstellt.

Ich verstehe nicht, warum ihr hier den Thread derailed.
Es wird schwer, Euch nicht unterstellen zu wollen, dass es nur darum geht, davon abzulenken, dass -aus welchen Gründen auch immer- die Ticket-Bearbeitung im FFRL-Backbone derzeit besonders schlecht nicht funktioniert. (mehrere Monate Bearbeitungszeit für eine eigentlich in wenigen Minuten zu erledigten Aufgabe)

Oder aber Tickets durchaus bearbeitet werden (und z.B. abschlägig beschieden werde) und

1. der Ticket-Ersteller uns hier erfolgreich eine Nase dreht (oder schlicht misskommuniziert)
   und gleichzeitig
2. niemand aus dem FFRL-Backbone-Team zudem Vorgang Stellung bezieht und für Aufklärung sorgt, um dem Eindruck der Dyfunktionalität öffentlich entgegenzutreten.

[Ich kopiere einen Beitrag aus einem anderen Thread, um mit dem Thema hier weiterzumachen.]

Naja, wie schon mal kurz angerissen vor ~1,5 Jahren, der Aufwand, dann weiterzugehen, ist nicht soo groß:

• Ein IPv6-PI-Netz (typischerweise ein /48 als kleinesten routebaren Prefix) kostet jährlich 50 EUR netto ans RIPE; wenn das eine deutsche LIR – als sog. Sponsoring LIR – einer deutschen natürlichen oder juristischen Person weiterberechnet, kommen da ggf. 20% niederländische und darauf 19% deutsche MwSt. obendrauf.

Tipp: tatsächlichen Adressbedarf zusammenstellen und PI in einem Rutsch (z. B. 2-4 /48 für 2 bis 4 Standorte (== RZen)) anfordern, und auf viel Diskussionsbedarf gefaßt sein, wenn man statt 4 x /48 ein /46 bekommen möchte.
Effektiv zahlt man nicht per /48, sondern pro Assignment (was 4 /48 oder ein /32 sein kann (für letzteres würde mich die akzeptierte Begründung interessieren ) die 50 EUR/Jahr.

Netzpolitischer Hinweis: PI-Adressraum ist von der Idee her an den Endnutzer zugewiesen; an sich darf diese Adressen also nur z. B. der Verein Freies Funken Niederelbe e. V. nutzen, konkret einzig dessen Mitglieder — nicht aber z. B. ein zu einer Besprechung anwesender Gast (dem hätte strenggenommen nur eine Adresse aus einem nicht-PIv6-Bereich, oder eben gar kein IPv6, gegeben werden dürfen).
Dank einer Initiative von @Barbarossa vor ein paar Jahren ist die Policy geändert worden, sodaß man mit PIv6-Adressraum per WLAN auch Außenstehenden einen Internetzugang ermöglichen darf.

• Derzeit kostet eine AS-Nummer (ASN) seitens des RIPE NCC: nichts. (Das habe ich seinerzeit fälschlich auch mit 50 EUR benannt; leider kann ich den Beitrag nicht mehr editieren. ) Ob und was Euch die Sponsoring LIR Eures Vertrauens dafür berechnet, ist ein anderes Thema. LIRs – Local Inter­net Re­gis­tries, also quasi lokale In­ter­net-Res­sour­cen-Ver­ga­be-In­sti­tu­tio­nen – sind offen­sichtlich frei in dem, was sie für ihre Dienste berechnen.

Frage: bietet der FFRL sich eigentlich als Sponsoring LIR für Freifunk-Communities an?

Achtung, Voraussetzung für die Zuweisung einer AS-Nummer ist derzeit Multihoming, sprich: Euer AS-in-spe braucht >1 Upstream AS, deren Kontaktdaten im Antrag auch ans RIPE kommuniziert werden müssen (AFAIK aber von dort nicht weiter geprüft werden — wäre auch etwas zu viel des Guten, würde das RIPE NCC in Zeiten der DSGVO bei einem ISP anrufen und fragen, welche Vertragsbeziehungen bestehen …). Praktischerweise bieten sowohl Hurricane Electric als auch NetAssist neben IPv6-via-Tunnel auch IPv6-BGP-via-Tunnel an …

Ok, wie sieht der einfachste Weg zur eigenen ASN mit eigenem IPv6-PI-Adressraum also aus?

• Wir definieren die Anzahl der Rechenzentren/auf Netzebene disjunkten Orte, an denen wir Server mieten [1/2/3/4 /…] oder aufstellen (wegen Community-IX ) wollen.
• Wir haben uns eine Sponsoring LIR gesucht, zum Beispiel einen befreundeten ISP oder eines der Angebote am Markt, um eine AS-Nummer und unsere PIv6-Netze zu beantragen.
• Wir holen uns v6-Tunnel von Hurricane Electric und NetAssist, geben deren Kontaktdaten für die Multihoming-Anforderung des RIPE NCCs an, schicken alle Daten für PIv6 und ASN an unsere Sponsoring LIR.
• Parallel überlegen wir, ob ein /44 aus dem Fördervereins-Fundus nicht praktisch wäre.

Am Ende des Prozesses haben wir eine zugewiesene AS-Nummer (wie FFRL, FFNW, 4830.org und andere), ein oder mehrere (v6-) Netze — und ein Verständnis, daß jetzt die Arbeit erst losgeht (hinting @collimas)

Denn nun muß man sehen, wie man seine Netze tatsächlich geroutet bekommt, natürliche Anlaufstelle wäre für mich der FFRL (auch wenn wir es in Eigenregie realisiert haben) und/oder andere Freifunk-Organisationen (wichtiger Baustein ist auch der Community-IX ).

Kurzum: man kann sich einer anderen Organisation hingeben, man kann aber auch komplett sein eigenes Ding fahren oder eine Kombination davon — die Kosten pro Monat oder Jahr sind nicht exorbitant hoch.

Hi

Kleiner Tipp bei https://vserver.site bekommt man VMs oder Server mit direkten Access zu Internet Exchanges.

Betreibe da selbst mein AS205165 dran und nutze das ausgiebig für Freifunk. Allerdings mit einem /44 PA space.

Gruß

Christian

Ich würde das nicht als ent-oder-weder sehen. An einem Standort haben wir nur v4, da hole ich v6 über einen HE-Tunnel (um dann von anderen Standorten per v6 hinzutunneln; wir haben nur 2 /24, das ist etwas doof).

Der Hinweis auf HE & NA dient primär dem Bootstrapping der AS-Nummer; wenn Du ohne eigenes AS und/oder ohne eigene Adressen die Zusage von 2 ISPs bekommst, Dir IP-Transit zu geben, kannst Du natürlich auch direkt jene Ansprechpartner angeben. Für mein eigenes AS war es so einfacher; heute könnte ich mehrere Transitprovider nennen (auch einen, der mit VMs BGP-Peering ermöglicht), aber damals war das schon ein Henne-Ei-Problem, sodaß ich über die Angebote von HE & NA glücklich war.

Siehe oben … Meine Anfrage nach Aktivierung eines BGP-Tunnels durch NA ist in den letzten Jahren wiederholt ohne Antwort geblieben — bestimmt nur ein bedauerlicher Einzelfall.

Da wir etwas privilegiert gestartet sind, stellten sich solche Probleme nicht Aber BGP-TB würde das ja lösen, Ihr announced über 2 Tunnel den gleichen Prefix, entfällt ein Tunnel, bleibt einer übrig … Stichwort PIv6.

Vielleicht interessanter für Freifunker: bei Interwerk ist durch Kooperation von Community-IX, Interwerk und vserver.site ein Zugang zum Community-IX FRA – und darüber ggf. zum DE-CIX FRA – möglich. Und zwei Community-IX-Sponsoren sind schon in FRA angebunden, d. h. es kann auch Traffic lokal in FRA übergeben werden (ohne den »Umweg« nach Berlin).

Hatte das irgendwann mal zusammengeschrieben als die Hannoveraner mehr dazu wisen wollten. Kein Anspruch auf Korrektheit oder Vollständigkeit.

DRAFT: how to … ASN 4 FF

1. Sponsoring LIR finden

2. RIPE Objekte anlegen, an die Ressourcen gebunden werden können, und an den LIR kommunizieren

   • Zunächst Account bei RIPE NCC Access anlegen: https://access.ripe.net/
   • Dann die folgenden Objekte anlegen
     • MNTNer, regelt Schreibrechte auf Objekte
     • PERSON, beschreibt eine Person
     • ORG, beschreibt eine Organisation

3. Mit LIR „End User Assignment Agreement“ abschließen, damit die LIR dann bei RIPE Ressourcen beantragen:

   • ASN [kostenfrei]
     • benötigt Multihoming, d.h. zwei ASN müssen bei Beantragung als Upstreams angegeben werden
   • IPv6 PI address space [EUR 50/Jahr + Steuern je Ressource]
     • Addressnutzungsplan entwerfen, um die Allokation zu rechtfertigen

   (via RIPE Charging Scheme for 2018: RIPE NCC Charging Scheme 2018 — RIPE Network Coordination Centre)

   Was nicht geht:

   • IPv4 PI: gibt es nicht mehr
   • IPv4 PA: gibt es nur noch einmal für LIRs

   Wenn man also kein eigenes IPv4 Netz besitzt dann hilft einer der Upstreams oder der Sponsoring LIR ggf. mit einem IPv4 Netz aus seinen eigenen PA Ressourcen aus (z.B. als SUB ALLOCATED PA)

   IPv6 PI Adressraum darf seit dem 20. März 2018 auch für WLAN Adressierung („Kundenanbindung“) benutzt werden. (IPv6 Sub-assignment Clarification — RIPE Network Coordination Centre)
   Wichtig im Adressnutzungsplan ist die Angabe, dass eine Zuweisung an die Nutzer als einzelne Adresse (/128) und dynamisch erfolgt.

4. Auf Zuteilung der Ressourcen durch die RIPE NCC warten

   • Die LIR erhält Info von RIPE NCC wenn und welche Ressourcen zugeteilt wurden

5. Weitere RIPE Objekte anlegen:

   • ROUTE(6), um die Verbindung zwischen ASN (Origin) und Prefix zu beschreiben, oftmals notwendig damit Prefixe im Internet akzeptiert werden
   • DOMAIN, für DNS Reverse Lookups (PTR)
   • Supercool: RPKI & ROAs für eigene Ressourcen anlegen
     • README: Managing ROAs — RIPE Network Coordination Centre
     • Einrichtung: My RIPE NCC — RIPE Network Coordination Centre

6. Infrastruktur in Colocation aufbauen

   • Server
   • Router (bei FF meist ebenso x86 Server)
   • Switch?
   • Out-of-Band-Access?

7. Interconnects zu Upstreams organisieren

8. BGP Peering mit Upstreams aufbauen

   • Darüber die zugeteilten Ressourcen aggregiert announcen
   • Grundlegende Filter: https://bgpfilterguide.nlnog.net/
     • Nicht die eigenen Prefixe akzeptieren
     • Prefixgrößen: IPv4 <=/24, IPv6 <=/48
     • Keine Bogon-Netze akzeptieren (Bogon Prefixes – BGP Filter Guide – Guidance on BGP Filtering)
     • Durch IGP gelernte Routen denen die über EGP gelernt wurden bevorzugen
   • Notnagel-Peer „Galore“: Hurricane-Electric per Tunnel

9. Best Common Practices

   • Source Address Spoofing verhindern: https://tools.ietf.org/html/bcp38

Begriffe

• RIPE: Réseaux IP Européens, Arbeitsgemeinschaft zur Koordination des Internets
  • RIPE NCC: RIPE Network Coordination Centre, zuständig für die Vergabe von IP-Adressbereichen und AS-Nummern in EMEA
• LIR: Local Internet Registry, Organisation, die berechtigt ist einen oder mehrere IP-Adresseblöcke und ASN zu beziehen von einer RIR
  • sponsoring LIR: LIR, die im Namen des Kunden ASN oder IPv6 PI bei der RIR beantragt
• AS: Autonomes System, abgeschlossenes Netzwerk mit internem Routing, das via BGP mit anderen AS Routen austauscht
  • ASN: Nummer eines Autonomen Systems
• PI: Provider Independent, kann auch bei Wechsel des Provider weitergenutzt werden
• PA: Provider Allocated, fest einem bestimmten Provider zugewiesen. Ein daraus genutztes Subnetz kann nur so lange genutzt werden, wie der Provider dies gestattet

Sehr schön, danke — dürfte auch @collimas interessieren

Eine Anmerkung:

Hängt ggf. auch von der LIR ab, aber bei mir – ich habe das ja für mein AS als auch für’s FF-Vereins-AS (in meinem Namen, da n. e. V.) über verschiedene LIRs aus dem LET-Umfeld durchgespielt – haben sie ggf. benötigte Objekte eigenständig und mit ihrem Maintainer angelegt. Latent nachvollziehbar, denn die LIR ist teilweise ja auch verantwortlich.

Zum C-IX muss man allerdings sagen das man dort wohl nur als Verein ran kommt. Bisschen schade wenn man sein eigenes AS aus gründen der dezentralität betreibt und es für Freifunk verwendet (und auch kostenfrei anderen Freifunkern IP Netze zur Verfügung stellt) aber da nicht dran darf.

Gruß

Christian

Hmm, »wohl«? »Community-IX by IN-BERLIN, die Connectivity-Plattform für nicht-kommerzielle Projekte, Ideen und Organisationen in Berlin« — hast Du es es probiert, als Privatmensch dort Dich anzuschließen?

Mir war’s bislang den Spaß nicht wert, privat bei IN-Berlin einen Server zu hosten und an den Community-IX anzuschließen, drum habe ich das nicht probiert — ich habe bei zwei ISP Server stehen mit Transit für mein AS, das reicht mir (auch kostentechnisch). Außerdem bildet der dadurch normalerweise längere Pfad ein optimales Setup für ein Backup-Szenario für das FF-AS.

Aber da die hiesige Freifunk-Initiative bestenfalls einen nicht eingetragenen Verein als ›fast-juristische Person‹ aufbieten kann, das AS daher meinen Namen trägt, sähe ich nicht, warum ein AS eines Hobbyisten, zumal, wenn er FF-Traffic huckepack nimmt, nicht anschließbar sein sollte. Außer man stieße sich an der Bezeichnung »Internetmarketing Christian Dresel«, die im whois wiederholt auftaucht — was weniger als »nicht-kommerzielles Projekt« klingt.

Oh, I stand corrected: »Privatpersonen mit eigenem AS sind von der Teilnahme am Community-IX ausgeschlossen. Diese wenden Sie bitte an unsere Peers oder direkt an einen unserer Sponsoren.«

P.S.: Oh, Dein /44 ist auch von Pascal?

Da ich einen Server bei vserver.site stehen habe, könnte ich mich dort wohl rein technisch anschließen. Hab mit den Jungs dort schon gesprochen da hieß es aber das es nur als Verein geht, nicht als „Privatmensch“.

Ja Internetmarketing steht am AS da es auf mein Kleinunternehmen läuft damit die BnetzA auch eine Providermeldung akzeptiert (war damit dann kein Problem).

Ja damals war es der einfachste Weg das Netz bei Pascal zu holen, mittlerweile gibt es ja viele weitere Möglichkeiten

Gruß

Christian

Ich nehm’ das mal auf die Liste …

Ist halt schwierig mit der Abgrenzung, weder ISPs noch Regierung können wollen, daß jeder sein eigener ISP wird. (Ich warte ja noch auf den Tag, an dem ich eine Überwachungsanordnung einer meiner Postfächer (auf dem seit jeher selbst gehosteten Mailserver) bekomme mit dem Hinweis, daß ich den Überwachten nicht informieren darf )

FFF hat kein eigenes AS? Vielleicht überlegenswert? Und ein n. e. V braucht 2 Unterschriften …