Klingt interessant. Was muss man dafür tun, um ein eigenes Backbone-Netz aufzubauen?
F3 Netze - Der Verein
Hier findet man Informationen über den Verein F3 Netze e.V.
Klingt interessant. Was muss man dafür tun, um ein eigenes Backbone-Netz aufzubauen?
Ich kann auf dem Handy nicht mit einem verknüpften Thema antworten daher möge jemand das abspalten.
Letztendlich kommt es ja nur drauf an, das man selber direkt Ausleiten kann.
Das ist relativ simpel, Verein oder andere Institution gründen, bei der BNetzA als Provider registrierten, IT-Sicherheitskonzept einreichen, fertig.
Alles was dann noch fehlt ist ein Serveranbieter mit einem Kundenfreundlichen Abuse Handling, dann kann es auch schon losgehen.
Sprengt wohl etwas den Rahmen dieses Threads; aber in Freifunk-Rheinland Backbone - Wie funktioniert AS201701? - YouTube findet sich ein grober Überblick zur FFRL-Backbone-Entstehung, ein Blick nach Unterstützer | Freifunk Rheinland e.V. macht deutlich, daß das ohne Sponsoren durchaus teuer werden kann.
Wir nehmen (alte) HPE-Server, die liegen mit 2 4-Kern-Xeon oder besser und ab 32 GB bei ~150 EUR, Dual-Port-10-GBit-Karte dafür nochmal bei ca. 100-300 (jenachdem, ob uralt oder jünger, SPF+ oder Kupfer), für das reine Unterstellen (Rack, Klima, Strom, ggf. ISP-Uplink) kann man Pi mal Daumen 50 EUR ansetzen, pro Server. („Echte“ Router sind evtl. günstiger, weil evtl. weniger energiehungrig; so können wir aber auch noch ein paars VM dort laufen lassen).
Doch, das geht!
Oben rechts auf die „Uhrzeit/Datum“ des Postings tippen („7h“), dann „neues Thema“ anwählen und los geht’s.
Was die eigentlichen Bearbitungszeiten von Tickets anbelangt im FFRL:
Das hört sich zunächst simpel an, wirft aber weitere Fragen auf. Einen Verein haben wir schon.
Die aber wirklich alle mit diesem Thread (und mit dem FFRL) nichts zu tun haben.
(Oder anders: Ich könnt schlecht im Bereich des FFRL-Backbones diskutieren, eine wie ihr eine Parallel-Veranstaltung aufmachen könntet.)
Nichts.
Google mal Freifunk und IT Sicherheitskonzept.
IMHO schon, denn es ist ja keine Konkurrenzveranstaltung im klassischen Sinn, eher ein Nebeneinander. Anyway, neuer Thread dazu wurde erstellt.
Ich verstehe nicht, warum ihr hier den Thread derailed.
Es wird schwer, Euch nicht unterstellen zu wollen, dass es nur darum geht, davon abzulenken, dass -aus welchen Gründen auch immer- die Ticket-Bearbeitung im FFRL-Backbone derzeit besonders schlecht nicht funktioniert. (mehrere Monate Bearbeitungszeit für eine eigentlich in wenigen Minuten zu erledigten Aufgabe)
Oder aber Tickets durchaus bearbeitet werden (und z.B. abschlägig beschieden werde) und
[Ich kopiere einen Beitrag aus einem anderen Thread, um mit dem Thema hier weiterzumachen.]
Naja, wie schon mal kurz angerissen vor ~1,5 Jahren, der Aufwand, dann weiterzugehen, ist nicht soo groß:
Tipp: tatsächlichen Adressbedarf zusammenstellen und PI in einem Rutsch (z. B. 2-4 /48 für 2 bis 4 Standorte (== RZen)) anfordern, und auf viel Diskussionsbedarf gefaßt sein, wenn man statt 4 x /48 ein /46 bekommen möchte.
Effektiv zahlt man nicht per /48, sondern pro Assignment (was 4 /48 oder ein /32 sein kann (für letzteres würde mich die akzeptierte Begründung interessieren ) die 50 EUR/Jahr.
Netzpolitischer Hinweis: PI-Adressraum ist von der Idee her an den Endnutzer zugewiesen; an sich darf diese Adressen also nur z. B. der Verein Freies Funken Niederelbe e. V. nutzen, konkret einzig dessen Mitglieder — nicht aber z. B. ein zu einer Besprechung anwesender Gast (dem hätte strenggenommen nur eine Adresse aus einem nicht-PIv6-Bereich, oder eben gar kein IPv6, gegeben werden dürfen).
Dank einer Initiative von @Barbarossa vor ein paar Jahren ist die Policy geändert worden, sodaß man mit PIv6-Adressraum per WLAN auch Außenstehenden einen Internetzugang ermöglichen darf.
Frage: bietet der FFRL sich eigentlich als Sponsoring LIR für Freifunk-Communities an?
Achtung, Voraussetzung für die Zuweisung einer AS-Nummer ist derzeit Multihoming, sprich: Euer AS-in-spe braucht >1 Upstream AS, deren Kontaktdaten im Antrag auch ans RIPE kommuniziert werden müssen (AFAIK aber von dort nicht weiter geprüft werden — wäre auch etwas zu viel des Guten, würde das RIPE NCC in Zeiten der DSGVO bei einem ISP anrufen und fragen, welche Vertragsbeziehungen bestehen …). Praktischerweise bieten sowohl Hurricane Electric als auch NetAssist neben IPv6-via-Tunnel auch IPv6-BGP-via-Tunnel an …
Ok, wie sieht der einfachste Weg zur eigenen ASN mit eigenem IPv6-PI-Adressraum also aus?
Am Ende des Prozesses haben wir eine zugewiesene AS-Nummer (wie FFRL, FFNW, 4830.org und andere), ein oder mehrere (v6-) Netze — und ein Verständnis, daß jetzt die Arbeit erst losgeht (hinting @collimas)
Denn nun muß man sehen, wie man seine Netze tatsächlich geroutet bekommt, natürliche Anlaufstelle wäre für mich der FFRL (auch wenn wir es in Eigenregie realisiert haben) und/oder andere Freifunk-Organisationen (wichtiger Baustein ist auch der Community-IX ).
Kurzum: man kann sich einer anderen Organisation hingeben, man kann aber auch komplett sein eigenes Ding fahren oder eine Kombination davon — die Kosten pro Monat oder Jahr sind nicht exorbitant hoch.
Hi
Kleiner Tipp bei https://vserver.site bekommt man VMs oder Server mit direkten Access zu Internet Exchanges.
Betreibe da selbst mein AS205165 dran und nutze das ausgiebig für Freifunk. Allerdings mit einem /44 PA space.
Gruß
Christian
Ich würde das nicht als ent-oder-weder sehen. An einem Standort haben wir nur v4, da hole ich v6 über einen HE-Tunnel (um dann von anderen Standorten per v6 hinzutunneln; wir haben nur 2 /24, das ist etwas doof).
Der Hinweis auf HE & NA dient primär dem Bootstrapping der AS-Nummer; wenn Du ohne eigenes AS und/oder ohne eigene Adressen die Zusage von 2 ISPs bekommst, Dir IP-Transit zu geben, kannst Du natürlich auch direkt jene Ansprechpartner angeben. Für mein eigenes AS war es so einfacher; heute könnte ich mehrere Transitprovider nennen (auch einen, der mit VMs BGP-Peering ermöglicht), aber damals war das schon ein Henne-Ei-Problem, sodaß ich über die Angebote von HE & NA glücklich war.
Ist dir aufgefallen, dass netassist.ua ein SSL-Cert hat das vor 8 Tagen abgelaufen ist?
Hast du langjährige Erfahrung mit deren Verlässlichkeit?
Siehe oben … Meine Anfrage nach Aktivierung eines BGP-Tunnels durch NA ist in den letzten Jahren wiederholt ohne Antwort geblieben — bestimmt nur ein bedauerlicher Einzelfall.
Wir sind mit Tunnelbroker ohne BGP an sich seit 2015 sehr zufrieden, jedoch weiß ich da keine gute Möglichkeit, um es redundant aufzubauen (hinsichtlich Serverausfall auf unserer Seite).
Andererseits fahren wir seit 2015 ohne jegliche Redundanzen und haben höhere Availability-Messwerte als jeder Consumer-ISP
Da wir etwas privilegiert gestartet sind, stellten sich solche Probleme nicht Aber BGP-TB würde das ja lösen, Ihr announced über 2 Tunnel den gleichen Prefix, entfällt ein Tunnel, bleibt einer übrig … Stichwort PIv6.
Vielleicht interessanter für Freifunker: bei Interwerk ist durch Kooperation von Community-IX, Interwerk und vserver.site ein Zugang zum Community-IX FRA – und darüber ggf. zum DE-CIX FRA – möglich. Und zwei Community-IX-Sponsoren sind schon in FRA angebunden, d. h. es kann auch Traffic lokal in FRA übergeben werden (ohne den »Umweg« nach Berlin).
Hatte das irgendwann mal zusammengeschrieben als die Hannoveraner mehr dazu wisen wollten. Kein Anspruch auf Korrektheit oder Vollständigkeit.
DRAFT: how to … ASN 4 FF
Sponsoring LIR finden
RIPE Objekte anlegen, an die Ressourcen gebunden werden können, und an den LIR kommunizieren
- Zunächst Account bei RIPE NCC Access anlegen: https://access.ripe.net/
- Dann die folgenden Objekte anlegen
- MNTNer, regelt Schreibrechte auf Objekte
- PERSON, beschreibt eine Person
- ORG, beschreibt eine Organisation
Mit LIR „End User Assignment Agreement“ abschließen, damit die LIR dann bei RIPE Ressourcen beantragen:
- ASN [kostenfrei]
- benötigt Multihoming, d.h. zwei ASN müssen bei Beantragung als Upstreams angegeben werden
- IPv6 PI address space [EUR 50/Jahr + Steuern je Ressource]
- Addressnutzungsplan entwerfen, um die Allokation zu rechtfertigen
(via RIPE Charging Scheme for 2018: RIPE NCC Charging Scheme 2018 — RIPE Network Coordination Centre)
Was nicht geht:
- IPv4 PI: gibt es nicht mehr
- IPv4 PA: gibt es nur noch einmal für LIRs
Wenn man also kein eigenes IPv4 Netz besitzt dann hilft einer der Upstreams oder der Sponsoring LIR ggf. mit einem IPv4 Netz aus seinen eigenen PA Ressourcen aus (z.B. als SUB ALLOCATED PA)
IPv6 PI Adressraum darf seit dem 20. März 2018 auch für WLAN Adressierung („Kundenanbindung“) benutzt werden. (IPv6 Sub-assignment Clarification — RIPE Network Coordination Centre)
Wichtig im Adressnutzungsplan ist die Angabe, dass eine Zuweisung an die Nutzer als einzelne Adresse (/128) und dynamisch erfolgt.Auf Zuteilung der Ressourcen durch die RIPE NCC warten
- Die LIR erhält Info von RIPE NCC wenn und welche Ressourcen zugeteilt wurden
Weitere RIPE Objekte anlegen:
- ROUTE(6), um die Verbindung zwischen ASN (Origin) und Prefix zu beschreiben, oftmals notwendig damit Prefixe im Internet akzeptiert werden
- DOMAIN, für DNS Reverse Lookups (PTR)
- Supercool: RPKI & ROAs für eigene Ressourcen anlegen
Infrastruktur in Colocation aufbauen
- Server
- Router (bei FF meist ebenso x86 Server)
- Switch?
- Out-of-Band-Access?
Interconnects zu Upstreams organisieren
BGP Peering mit Upstreams aufbauen
- Darüber die zugeteilten Ressourcen aggregiert announcen
- Grundlegende Filter: https://bgpfilterguide.nlnog.net/
- Nicht die eigenen Prefixe akzeptieren
- Prefixgrößen: IPv4 <=/24, IPv6 <=/48
- Keine Bogon-Netze akzeptieren (Bogon Prefixes – BGP Filter Guide – Guidance on BGP Filtering)
- Durch IGP gelernte Routen denen die über EGP gelernt wurden bevorzugen
- Notnagel-Peer „Galore“: Hurricane-Electric per Tunnel
Best Common Practices
- Source Address Spoofing verhindern: https://tools.ietf.org/html/bcp38
Begriffe
- RIPE: Réseaux IP Européens, Arbeitsgemeinschaft zur Koordination des Internets
- RIPE NCC: RIPE Network Coordination Centre, zuständig für die Vergabe von IP-Adressbereichen und AS-Nummern in EMEA
- LIR: Local Internet Registry, Organisation, die berechtigt ist einen oder mehrere IP-Adresseblöcke und ASN zu beziehen von einer RIR
- sponsoring LIR: LIR, die im Namen des Kunden ASN oder IPv6 PI bei der RIR beantragt
- AS: Autonomes System, abgeschlossenes Netzwerk mit internem Routing, das via BGP mit anderen AS Routen austauscht
- ASN: Nummer eines Autonomen Systems
- PI: Provider Independent, kann auch bei Wechsel des Provider weitergenutzt werden
- PA: Provider Allocated, fest einem bestimmten Provider zugewiesen. Ein daraus genutztes Subnetz kann nur so lange genutzt werden, wie der Provider dies gestattet
Sehr schön, danke — dürfte auch @collimas interessieren
Eine Anmerkung:
RIPE Objekte anlegen, an die Ressourcen gebunden werden können, und an den LIR kommunizieren
Hängt ggf. auch von der LIR ab, aber bei mir – ich habe das ja für mein AS als auch für’s FF-Vereins-AS (in meinem Namen, da n. e. V.) über verschiedene LIRs aus dem LET-Umfeld durchgespielt – haben sie ggf. benötigte Objekte eigenständig und mit ihrem Maintainer angelegt. Latent nachvollziehbar, denn die LIR ist teilweise ja auch verantwortlich.
Zum C-IX muss man allerdings sagen das man dort wohl nur als Verein ran kommt. Bisschen schade wenn man sein eigenes AS aus gründen der dezentralität betreibt und es für Freifunk verwendet (und auch kostenfrei anderen Freifunkern IP Netze zur Verfügung stellt) aber da nicht dran darf.
Gruß
Christian
Zum C-IX muss man allerdings sagen das man dort wohl nur als Verein ran kommt.
Hmm, »wohl«? »Community-IX by IN-BERLIN, die Connectivity-Plattform für nicht-kommerzielle Projekte, Ideen und Organisationen in Berlin« — hast Du es es probiert, als Privatmensch dort Dich anzuschließen?
Mir war’s bislang den Spaß nicht wert, privat bei IN-Berlin einen Server zu hosten und an den Community-IX anzuschließen, drum habe ich das nicht probiert — ich habe bei zwei ISP Server stehen mit Transit für mein AS, das reicht mir (auch kostentechnisch). Außerdem bildet der dadurch normalerweise längere Pfad ein optimales Setup für ein Backup-Szenario für das FF-AS.
Aber da die hiesige Freifunk-Initiative bestenfalls einen nicht eingetragenen Verein als ›fast-juristische Person‹ aufbieten kann, das AS daher meinen Namen trägt, sähe ich nicht, warum ein AS eines Hobbyisten, zumal, wenn er FF-Traffic huckepack nimmt, nicht anschließbar sein sollte. Außer man stieße sich an der Bezeichnung »Internetmarketing Christian Dresel«, die im whois wiederholt auftaucht — was weniger als »nicht-kommerzielles Projekt« klingt.
Oh, I stand corrected: »Privatpersonen mit eigenem AS sind von der Teilnahme am Community-IX ausgeschlossen. Diese wenden Sie bitte an unsere Peers oder direkt an einen unserer Sponsoren.«
P.S.: Oh, Dein /44 ist auch von Pascal?
Da ich einen Server bei vserver.site stehen habe, könnte ich mich dort wohl rein technisch anschließen. Hab mit den Jungs dort schon gesprochen da hieß es aber das es nur als Verein geht, nicht als „Privatmensch“.
Ja Internetmarketing steht am AS da es auf mein Kleinunternehmen läuft damit die BnetzA auch eine Providermeldung akzeptiert (war damit dann kein Problem).
Ja damals war es der einfachste Weg das Netz bei Pascal zu holen, mittlerweile gibt es ja viele weitere Möglichkeiten
Gruß
Christian
Ich nehm’ das mal auf die Liste …
Ist halt schwierig mit der Abgrenzung, weder ISPs noch Regierung können wollen, daß jeder sein eigener ISP wird. (Ich warte ja noch auf den Tag, an dem ich eine Überwachungsanordnung einer meiner Postfächer (auf dem seit jeher selbst gehosteten Mailserver) bekomme mit dem Hinweis, daß ich den Überwachten nicht informieren darf )
FFF hat kein eigenes AS? Vielleicht überlegenswert? Und ein n. e. V braucht 2 Unterschriften …
Freifunk Franken (fff) kann gar kein eigenes AS haben da es ein loser Zusammenschluss einzelner Personen, Firmen und Vereinen ist (jeweils Mehrzahl).
So sind mir mindestens eine weitere Person bekannt die es wie ich macht (eigenes AS über Firma aber halt nur für Freifunk) und mindestens einen Verein der ein eigenes AS hat aber andere Ziele hat und eher weniger mit VPN macht. Von diesem Verein kann man auch gut die Erklärung kopieren wie der Grundidee von Freifunk Franken ist, einfach mal hier lesen:
Hier findet man Informationen über den Verein F3 Netze e.V.
Da der Verein den größten Teil der Infrastruktur in Nürnberg stehen hat, ist der c-ix dafür (noch?) zu weit weg.
Freifunk Franken war schon immer der Meinung das es eine lose Community sein will und kein Verein diese Community abbilden soll. Vereine können gerne Mitglied in der Community werden (so wie F3 Netze) aber es soll eben kein Freifunk Franken e.v. geben.
Ich finde diese Struktur absolut genial und gut aufgebaut. Auch die Technik hinter Freifunk Franken ist so aufgezogen, das jeder mit einem eigenen AS in der Backbone mitmachen kann, egal ob Verein, Privatmensch oder Firma.
Gruß
Christian