Fastd encryption dauerhaft disablen

Ich hoffe das ich hier in der richtigen Sektion bin.
Ich experimentiere gerade mit den GL-AR150 Routern rum. Wuppertaler Firmware.

Ich wollte mal schauen wie sich das Abschalten der Bandbreitenbegrenzung und der fastd Encryption auf die Geschwindigkeit der 400Mhz CPU auswirkt.
Gut ist es auf jeden Fall (wenn man sich das leisten kann) die Bandbreitenbegrenzung abzuschalten.

Ich hatte in älteren Threads gelesen das dafür wondershare zuständig ist, den konnte ich aber nirgendwo aufspüren (und abschalten).

Das Häkchen im Config-Modus raus erfüllt aber den gleichen Zweck. Es ist jetzt schwierig genau zu beziffern um wieviel % die Leistung ansteigt, es hängt einfach stark ab von dem verbundenen Supernode ab.

Pi mal dicken Daumen geht es ca. um 200 KB/s hoch, so im Schnitt auf 700-900KB/s. Da das Teilchen sowieso nur sehr begrenzt an die Bandbreite eines VDSL Anschlusses herankommt (ca 1/5) sehe ich keinen Grund die Bandbreitenbegrenzung anzulassen. Da nimm ich lieber den Geschwindigkeitsgewinn mit.

Dann habe ich die fastd Encryption im Config-Modus abgeschaltet, doch nichts hat sich geändert.

uci get fastd.mesh_vpn.method

gab mir aus:

null salsa2012+umac

Erst folgende Befehlskette scheint fastd korrekt abzuschalten:

uci set fastd.mesh_vpn.method=„null“

Nach einem

/etc/init.d/fastd restart

gehts dann hoch auf Werte um 1,3 MB/s. Wenn ich das dann comitte überlebt es einen Neustart und gleich zum Systemstart ist die fastd encryption aus.

Bin jetzt verunsichert was das für Nebeneffekte nach sich ziehen könnte. Entweder ist der Config-Modus da fehlerhaft, oder das ist bewusst so gemacht und ich kenne nur die Konsequenzen (noch) nicht.

Ausserdem würde ich gerne mal wissen was ihr dazu denkt die encryption zu disabeln. Mir persönlich erscheint das nicht besonders sicherheitskritisch, da ja das WLAN an sich offen ist. Wenn einem also irgend ein Geheimdienst wirklich an den Arsch packen will, dann können sie das ja auch direkt vor Ort tun, encrytion an oder aus, macht doch keinen Unterschied. Wer Wert auf Sicherheit legt verschlüsselt ohnehin ab Ausgang seines Endgeräts.

Würde jedenfalls den total überlasteten Supernodes sehr gut tun wenn mehr Leute auf encryption verzichten würden.

So jedenfalls kann man einem kleinen Plasterouter fast die doppelte Leistung entlocken.

Klaus

1 Like

hallo, hast du fastd auch am gateway aus ?

Nein.
Das stimmt schlicht nicht.
(Abgesehen davon: die 12MBit/s gehen auch „mit Verschlüsselung“.)

Hallo,

wir haben uns vor zwei Jahren entschieden die Verschlüsselung von Fastd über Board zu werfen und nur noch auf L2TP bzw. den Tunneldigger zu setzen. Damit kann man dann 30-50 Mbit/s durch einen 841er schieben, je nach Prozessor. Über WLAN nicht, aber über Kabel, WLAN sind unter Idealbedingungen etwa 30 Mbit/s.

Zu den Gründen:

  • Die müden 7-9 Mbit/s die mit Fastd am Endgerät ankommen - wenn überhaupt - sind nicht mehr zeitgemäß. Dafür braucht man den Aufwand rund um das Freifunknetz nicht treiben. Wir peilen 20 Mbit/s als Mindestgeschwindigkeit an, sofern die Internetleitung das hergibt. Und nach oben sind keine Grenzen gesetzt. An vielen Orten gehen 50 Mbit/s und mehr.
  • Es ergibt einfach keinen Sinn die Pakete, die erst unverschlüsselt, ggfs. über mehrere Sprünge durch die Luft übertragen werden, dann zwischen VPN-Punkt und Gateway zu verschlüsseln um sie dann wieder unverschlüsselt durch das Internet zu senden. Das ist ungefähr so, als wenn man sich auf dem Weg zur Arbeit von zu Hause aus nicht anschnallt, nur auf dem Autobahnzubringer anschnallt und dann auf der Autobahn wieder abschnallt.

Das ist aber nur meine Meinung und im Wesentlichen die der Münsterländer Freifunker. Andere mögen das anders sehen und das ist auch gut so.

Es geht im Internet einfach nichts an Ende-zu-Ende-Verschlüsselung vorbei. Dann ist alles dazwischen egal.

Viele Grüße
Matthias

3 Likes

Bitte zeigen.
Ich zeichne den Datenverkehr seit über einem Jahr auf (allerdings mit so einem TP-Link Fuzzi Teil,) 1.3MB habe ICH da noch NIE gesehen. Kannst ja mal die Daten noch mal durchschauen bei Netzwetter FF Wuppertal
Oben links hast du immer auch den average vom wget. Wie gesagt ist alles total relativ, je nach Laune von den Supernodes schwankt das ja irrsinnig.

Teile Deine Ansicht 101%. Man sollte in der Firmware default den Haken auf schnelle Verbindung setzen. Das würde das ganze Netz total entasten. Ist einfach völlig sinnfrei die Verschlüsselung.

So jetzt nach einem Tag kann ich ein wenig mehr sagen. Es ist schier unglaublich wie schnell der „befreite“ Router nun ist.

Am Morgen musste ich zunächst feststellen das mein Tool nicht mehr richtig funktionierte. Es war nämlich so das das Ausparsen der wget Ergebnisse nicht funktionierten wenn sie über 1024 KB/s liegen. Aufgrund eines Programmierfehlers kam dann immer eine 0 raus. :sunglasses:

Als ich das gefixt hatte musste ich feststellen dass die Ergebnisse nicht mehr im Graphen dargestellt werden konnten, weil der Durchsatz jetzt einfach so hoch ist. Musste ich nochmal ran, war viel Arbeit. Ist jetzt aber fertig und alles wird wieder schön dargestellt. Ab morgen kann man dann auch wieder plausible average Werte auslesen.

Da ich einmal dabei war habe ich das jetzt auch gleich auf eine andere stabilere Maschine umgezogen und lasse die Daten alle 15 Minuten aktualisieren. (alles zu sehen unter Netzwetter FF Wuppertal)

Auch habe ich an meiner Arbeitsmaschine den Internetzugriff so umgestellt das der gesamte Internetverkehr nun via ein WIFI angebundenes Freifunk Netz ausgeleitet wird. Alles was ich heute gemacht habe, vom Teamviewer bis zum normalen Surfen hat gut bis sehr gut funktioniert. Zur Kontrolle lasse ich die ganze Zeit noch einen Radiostream via VLC abspielen. Ab 17:00 gab es mit dem Radiostream Aussetzer, das Problem ist schwer nachvollziehbar. Letztendlch konnte ich es umgehen indem ich einen weiteren FF Router in meinem Arbeitszimmer aufgestellt habe.Seitdem läuft der Stream ohne eine einzige Unterbrechung.

Im Grunde genommen kann ich das FF-Netz das erste Mal für mich selber sinnvoll nutzen …

Mir kommt jedenfalls keine encryption mehr auf den Router, soviel steht fest.

Ich hatte damals mit meinem L2TP-Gateway
ca 90 mbit bei einem wr841 über kabel - 26 mbit wifi
und ca 150 mbit über einen WDR 3600 - 90 mbit wifi

server 500/2500 mbit up/down
Anschluss bei den Routern 430/500 mbit up/down

12 MBit/s sehe ich ab und zu auch bei einigen Routern miot Verschlüsselung. Es ist mir aber nicht klar, warum es bei einem Router so schnell geht, beim nächsten jedoch deutlich langsamer.

Damit wird nicht fastd ausgeschaltet, sondern die Verschlüsselung und die Authentifizierung. Siehe:

http://fastd.readthedocs.io/en/v18/manual/methods.html#list-of-methods

Wenn ich es richtig sehe, müsste für Wupper folgendes genutzt werden:

uci delete fastd.mesh_vpn.method
uci add_list fastd.mesh_vpn.method='null+salsa2012+gmac'
uci add_list fastd.mesh_vpn.method='null+salsa2012+umac'
uci commit fastd
/etc/init.d/fastd restart

Nur ist es keine gute Idee die VPN-Verbingungen (auf dem eigenen Node) schneller zu machen. Die Gateways müssen den Traffic bewältigen können.

Für einen verschlüsselten Tunnel kann man argumentieren, dass der Betreiber der Infra nicht dazu kommt die Metadaten seiner Nutzer zu erfassen, lokal aufgelöst sind die deutlich wertvoller als auf dem „internetseitigen“ Ende des FFRL. Gerade für Gastronomien könnte beispielsweise das „Surfverhalten“ seiner Nutzer von Interesse sein. Es zwar technisch möglich die anders zu bekommen, aber das bedarf dann eines aktiven Abhörens und im Falle des Angebots einer Infra die verschlüsselt kann man die Kombo aus „Ich stelle Freifunk WLAN & schneide trotzdem deine Metadaten mit“ auch eher als (arglistige) Täuschung gesehen werden.

Weiterhin kann man die Garantie von Netzneutralität gewährleisten indem man deep package instpection (DPI) durch Veschlüsselung verhindert und damit eine entsprechende Neutralität innerhalb des Netzes sicherstellt das Freifunk zu verantworten hat.

Cheers,
Gregor

Das hängt mit der Größe der Domäne zusammen. In einer Domäne mit 20 Routern läuft es auf derselben Hardware deutlich performanter als in einer 80 oder 150 Router großen Domäne.

Die Verschlüsselung zu deaktivieren bringt übrigens bei Fastd nicht viel. Die meiste Rechenzeit wird von den Kontextwechseln gefressen. Wenn es dir um Durchsatz geht, würde ich auf L2TP setzen, damit schafft ein 841er über WLAN stabile 30 Mbit/s, über Kabel sogar noch etwas mehr (der Engpass ist dann das WLAN, nicht das VPN). Vorausgesetzt immer, dass die Internetleitung und die Gateways das hergeben.

2 Likes

Nein. Die Router sind in der gleichen Domäne und hängen im gleichen lokalen Netz.

Wenn ich als Router Betreiber oder Dritter den Datenverkehr lokal auswerten will, gehe ich auf das offene WLAN. Oder bastle einen speziellen Router. Die Verschlüsselung hilft nur zwischen Betreiber und Supernode und schützt vor Schnüffelei des Providers.