Firmeninstallation - Fremdfirmware in Lev

Hallo, ich hoffe, meine Themenbeschreibung ist hier in dieser Rubrik richtig.

Ich habe folgendes Szenario:

In der Firma meines Arbeitgebers in Köln durfte ich Freifunk für die Mitarbeiter installieren. Nun darf / soll ich auch in der Schwesterfirma in Leverkusen Freifunk aufstellen.

Normalerweise ist das ja unspektakulär: Leverkusen hat eine Community, eine Firmware und den VfN im Rücken, alles supi. ABER: Ich benötige zur Wartung (ich kann ja nicht immer für eventuell nur einen Handgriff 25km pro Wegstrecke fahren) einen SSH-Zugang. Ein Knoten mit Uplink verfügt auch über eine öffentliche IPv6-Adresse (die ich aber auch erst per SSH mit ifconfig einsehen konnte), die ich per Putty erreichen kann, auch über meinen normalen Telekom-Anschluß. Ein reiner Mesh-Node ist so aber nicht zu erreichen, dafür müsste ich selbst mit meinem Heim-PC ins FF-Lev-Netz eingebucht sein. Nun mag ich aber nicht bei mir zu Hause noch extra-Nodes als Wartungszugänge aufstellen, oder vorhandene Router ständig umflashen müssen.

Weiterhin störte den EDV-Menschen der beim Flashen angesprochene Verwaltungszugang, den man sich genehmigt, sprich Admin-Zugang zum Knoten und damit eventuell zum Netzwerk der Firma. Da wir Patientendaten verarbeiten, ist das entsprechend heikel. Ich spreche hier über FW-Version 4.2.0 fuer Leverkusen. Ich habe nun die beiden Router mit anderer Firmware geflasht (Bergisch Gladbach, ist ja in Nachbarschaft, und der bin ich auch privat angeschlossen). Nun möchte ich aber ja nicht nur die Firma, sondern auch uns Freifunker glücklich machen. Wem nutzt schließlich eine inkompatible Mesh-Insel in Fremdgebiet?

Ich möchte nun wie folgt vorgehen:

1.) Die beiden (BGL-) FF-Router werden per Kabel verbunden (MoL), das Mesh-WLAN wird abgeschaltet.
2.) Ein zusätzlicher FF-Node wird auf Leverkusen-FW geflasht, das Client-WLAN wird ausgeschaltet, aber das Mesh-WLAN wird angeschaltet.

So könnte das dann laufen ohne fremdes Mesh einzuschleppen und trotzdem das lokale Community-Mesh erweitern helfen. Sollte sich in künftigen Lev.-Firmwares dann etwas in Richtung oeffentliche IPv6 für alle Knoten tun (und wuenschenswerterweise auch Zusatzinfos eintragbar werden), kann man ja durchaus auf LEV umflashen.

Meine Fragen dazu:
Ist das eine Lösung, mit der man leben kann, oder treten wir damit der Community Leverkusen auf die Füße?
Kann ich den Admin-Zugang updatesicher abschalten? Und kann ich den reinen Mesh-Node irgendwie (ebenfalls updatesicher) mit einer öffentlichen IPv6 versorgen lassen?
Die Firma möchte auch gerne Kontaktdaten in den Routern eingetragen haben, aber ich fand dafür kein Feld. Lediglich meine eMail-Adresse habe ich in den Kontaktfeldern beim Knoten Einrichten eingetragen, die wird aber auch in den Knotendetails auf der Karte nicht angezeigt. Dort heißt es auch bei Zusatzinformationen: „Leider hat der Knotenbetreiber keine Zusatzinformationen hinterlegt“. Dies würde der Knotenbetreiber jedoch sehr gerne tun. Bloß wie?

Nebenbei: Mit der Lev.-Firmware erreicht der 841er (V11) nur rund 5,5 MBit Durchsatz, mit der BGL-FW erreiche ich locker 9,5 bis über 10 (wohlgemerkt mit demselben Gerät an demselben Anschluss). Kann man Lev evtl. optimieren (nur 1 Gateway waehlen lassen oder so) um dasselbe Niveau zu erreichen?

Ich danke für zahlreiches Feedback und erlaube mir ein Ping @Felix

Moin.

Ganz spontan: Ist ein SSH-Zugang auf den 25 km entfernten Knoten tatsächlich erforderlich aus zwingenden Gründen oder hättest Du ihn einfach nur gern? Bitte entschuldige die Offenheit bei der Frage.

Ich hab so einige Knoten woanders am Laufen und brauche definitiv keinen SSH-Zugang.
Denn die Fehler, die bisher mal auftraten, hätte ich gar nicht per SSH-Zugang lösen können.
Da hab ich angerufen und gesagt „mach mal 5 Sekunden stromlos“ und der Knoten lief wieder.

Und mal ehrlich: Fällt der Knoten wirklich aus und läßt sich via stromlos machen nicht reaktivieren, na dann haben die Kollegen ein paar Tage eben kein Freifunk. Geht auch.

LG
Jörg

Du kommst doch per public IPv6 auf den Uplink-Knoten. Von diesem kannst Du doch weiter auf die Meshknoten SSH’en per interner IPv6.
Somit hast Du Deinen Wartungszugang… Aber ob das dann Eurem Admin genügt (Das es Deine Keys sind)…

deine Ideen sind nicht schlecht, es geht immer um den Uplink-knoten. Dessen Netz bekommst du, in der Folge will man keine unterschiedlichen Uplink-knoten haben. Andere meshende Knoten sind in der Regel ungefährlich und entsprechend im Netz des Uplinkknoten (angenommen gleiches batman und auswahl der gateway über dessen logik)
ABER bei Patientendaten und bedenken Netzzugang würd ich persönlich kein SSH legen und evtl sogar das autoupdate auschalten. und die 25 km in kauf nehmen.
my 5 cent edit und was für nen andren thread (wenn man das diskutieren will)

Au ausschalten ??? -1!

Nichts zu entschuldigen, ist ja eine legitime Frage. Da der Uplink-Knoten in einem verschlossenen Raum und dort sogar noch oben auf der abgehängten Decke steht (um deckenhohe Metallschränke zu überfunken) ist SSH oft der einzige Weg, an diesem einen Reset auszulösen. Da der Schlüssel zu diesem Raum von der Geschäftsführung verwahrt wird und deren Büro bei Abwesenheit verschlossen ist, nutzt mir dann auch persönliche Anwesenheit mit 25km Anfahrt wenig.

Die Idee von @Frank gefällt mir ganz gut, und die Keys sind eventuell nicht das Problem, da ich eine gewisse Vertrauensstellung in dem Betrieb genieße. Der EDV-Verantwortliche würde mir von ihm erstellte Keys überlassen, allerdings nur solche die mit Passphrase gesichert sind.

Wie steht es mit den Zusatzinformationen? Kann mir jemand sagen, wo man Kontaktinfos eintragen kann, die dann auch jeder in der Map sehen kann?

Und kann auch jemand auf das Performance-Thema eingehen? Wie erklärt es sich, dass das gleiche (bzw sogar dasselbe) Gerät mit Lev-Firmware bloß 5,5 MBit schafft, während er unter BGL gut 9,5 bis über 10 schafft? So gravierend unterschiedliche Verschlüsselungen? Oder wählt es in Lev (ähnlich wie in KBU) zwei Gateways aus und hält zwei Tunnel offen? Kann man das auf einen begrenzen und so Performance gegen Redundanz eintauschen?

Gehe ich recht in der Annahme, dass ich dann ein keyfile im Uplink-Knoten hinterlegen müsste, oder kann ich ein Auth-Agent-Forwarding verwenden?

Edit: Erledigt, war daran gescheitert, dass ich die SSH-Agent-Weiterleitung deaktiviert hatte

Hmm. Ganz ehrlich würde ich, wenn irgend vermeidbar, keine Fremdgeräte ins Firmen-Netz stellen. Bei meinem Brötchengeber wurde ein separates Kabel von der (Kabel-) FritzBox, Port 4, zum Freifunkknoten gelegt und der Gastzugang aktiviert. (Alternative wäre in entsprechenden Umgebungen ein separates VLAN.) Resultat: FF-Uplink und Firmen-LAN sind auf dem Access-Router getrennt, und der Freifunk-Admin müßte erst einmal die Netztrennung in der Fritzbox aushebeln, um ins Firmen-LAN zu kommen. Gibt es eine solche Option bei Dir, @Marssl, nicht ggf. auch?

Also fehlender Wartungszugang ist geklärt, bleibt nur noch das Thema Kontaktinfos, richtig?
Ich sehe nämlich, daß Du fleissig an dem 2. Knoten in Leverkusen mit Bergisch Gladbacher Firmware bastelst…

Bitte akzeptiere, daß die „Leverkusener Freifunker“ Ihren Regeln haben und befolge Sie. Also deren FW etc. Danke!

Aber, @Frank, das versteht sich doch von selbst! Darum habe ich ja auch diese Diskussion ins Leben gerufen, weil ich ja auch niemandem auf den Schlips treten möchte. Genau darum lege ich die Lösungsfindung auch hier offen und höre mir die Stimmen an.

Das Thema Wartungszugang hat sich übrigens heute noch weiter entspannt und nun benötige ich gar keine SSH-Weiterleitung mehr. Nachdem ein längeres Kabel gelegt wurde, konnte der Uplink-Knoten so günstig gelegt werden, dass gar kein zweiter Router mehr benötigt wird. Diesen habe ich heute auf eine andere Firmware geflasht für die dritte Schwesterfirma.

Den Teil mit den Gateways habe ich übrigens einfach ausprobiert. Ja, man kann das Gerät auf die Wahl eines VPN-Gateways begrenzen, aber messbare Performance-Vorteile hat das nicht.

Einen eigenes VLAN für den Router gibt es in der Tat auch seit heute, das hat eine externe Firma heute so eingerichtet mit mir am Telefon. Dennoch hat der vor Ort verantworliche Mensch zumindest Bauchweh damit, dass jemand Fremdes einen Admin-Wartungszugang von außen haben könnte. Nun ja, ich denke, diese Bauchweh kann ich noch wegmassieren.

Der verbliebene Punkt ist tatsächlich noch die (Un-)Möglichkeit, Kontaktdaten zu hinterlegen. Das wäre noch ein Wunsch, aber kein Ausschlusskriterium. Ich kenne es bisher aus den Communities nur, dass man sehr dahinter her ist, entweder Kartenposition oder eine Kontaktmöglichkeit des Nodes zu haben, darum verwundert es mich, dass man das hier nicht kann, und dazu auch noch die „Schuld zugewiesen bekommt“, wenn ich den Satz „leider hat der Knotenbetreiber keine Zusatzinformationen bereitgestellt“ mal so fies auslegen darf

Fazit jedenfalls ist, dass ich diese Woche meine Freizeit meinem Geburtstag widme und kommende Woche den Knoten umflashen werde. Solange mögen die Leverkusener mir bitte nicht böse sein.

Ich bin übrigens ganz angetan davon, dass diese Diskussion hier ganz sachlich und konstruktiv läuft. Danke, Community.

Update: Der Node ist nun wieder auf die Freifunk-Firmware 4.2.0 für Leverkusen des VfN-NRW geflasht. Eine öffentliche IPv6 bekomme ich nun aber nicht mehr, kann Fernwartung also wieder nur ausführen, wenn ich selbst im Leverkusener Netz hängen würde. Damit bin ich sehr unglücklich. Die Performance ist fast halbiert, was aber unerheblich ist. Das Client-Netz ist instabil, was ärgerlich ist. Kann das dem Script geschuldet sein, das ständig prüft, ob der Node on- oder offline ist und die SSID entsprechend informativ ändert? Teilweise strahlt der Node nämlich gleich beide SSIDs aus, das normale LEV.FREIFUNK.NET sowie FREIFUNK LEV -OFFLINE-. Jedenfalls scheint diese Funktion ab und an mal das WiFi zu reinitialisieren und alle aktiven Verbindungen dabei platt zu hauen. Ist bestimmt auch uncool fürs Mesh oder für Firmwareupdates reiner Mesh-Knoten. Kann man das abschalten?

Hi, ich bin gerade erst nach längerem Auslandsaufenthalt nach Leverkusen zurückgekommen.
Gerade bin ich damit beschäftigt mich wieder etwas in den Stand des Netzwerks und der Software einzuarbeiten, da ich während meiner Abwesenheit nicht so viel am Leverkusener Netz gebastelt habe.
Ich schau mal was es mit der Performance und den von dir beobachteten Bugs auf sich hat.

Kurzes Update:
Performance mäßig sollte alles eigentlich im Gelbgrünen bereich sein. Ich erreiche hier an meiner Hardware mit der Leverkusener Firmware bis zu 10 MBit/s im Download.
Wir sind dran weitere Gateways hinzuzufügen. Dann sollte die Performance nochmals steigen.
Die Instabilität im Clientnetz konnte ich bisher nicht beobachten. Ich werde aber mal schauen ob wir eine Abschaltung des Offline Check Scripts in die Firmware aufnehmen können, falls das zu Problemen führt. Bisher haben wir von den anderen Knoten aber kein negatives Feedback bekommen.
Vielleicht hast du ja da einen neuen Bug entdeckt.
Bezüglich deiner Sorge mit den Firmware-Updates per Mesh: Das Firmwareupdate wird signiert und würde daher auch erst dann installiert wenn es ein mal vollständig übertragen würde. Bricht die Mesh Verbindung zwischendurch zusammen wird der ganze Vorgang einfach später nochmal wiederholt. Also kein Grund zur Sorge.

Hallo, und Danke für das Feedback!

Performance ist natürlich immer gerne gesehen, wenngleich ich das auch eher untergeordnet sehe (Sprich Reaktionszeit und Konstanz vor purem maximal-Durchsatz).

Das mit dem Client-Netz ist mir jetzt von den Kollegen auch mehrfach als Beobachtung mitgeteilt worden. Wortlaut ist: Die Verbindung wird alle paar Minuten unterbrochen und kann dann aber nahezu sofort wieder hergestellt werden. Auch, dass manchmal zwei Netzwerke von deren Handys gefunden werden, einmal eben das normale „lev.freifunk.net“ und zusätzlich zeitgleich das mit der Meldung OFFLINE im Namen passiert wohl ganz gerne mal, einige Male am Tag. Und das dann jedes Mal gut und gerne 20, 30 Minuten lang, bevor das „OFFLINE“ wieder verschwindet. Die Internetverbindung funktioniert aber offensichtlich in dieser Zeit normal. Es mag auch durchaus sein, dass es auch kürzere Perioden mit diesem Phänomen gibt, die dann aber unbemerkt bleiben. Es funktioniert ja in der Zeit auch eigentlich alles, aber merkwürdig und irritierend ist es halt.

Noch eine Neugier-Frage: warum ist MoW per Standard aktiviert? Ich dachte, das benötigt man nur im Spezialfall und wenn man genau weiß was man tut? Bin ich drauf gestoßen, weil mir hier zu Hause das Netzwerk offensichtlich mit Mesh-Paketen geflutet wurde, ist mir aber zum Glück aufgefallen bevor ich die Knoten in die Firma „ausgewildert“ habe. Jetzt läuft der Knoten dort eh in einem eigenen VLAN, da wäre die Flutung für den Rest des Firmennetzes egal (obgleich von mir persönlich immernoch als irgendwie falsch bzw nicht sauber empfunden). Aber das Bild mal anders gemalt: wäre es mir nicht aufgefallen und hätte in der Firma das Netz beim Erstkontakt zwischen Firma und Freifunk irgendwie in der Performance gebremst, wäre der Freifunk-Router sicher ganz schnell und ohne allzu viel Problemsuche geschweige denn Lösungsversuche abgelehnt worden. Weil eben ein erster Eindruck sehr prägend sein kann. Ist der erste Eindruck der einer „Fehlerquelle“ wäre das sicher unschön.

Aber bevor hier ein falscher Tenor entsteht: die Leverkusener Kollegen sind ansonsten sehr glücklich mit ihrem Freifunk und es kamen auch von Kollegen und der Betriebsleitung Fragen auf, wie man den Verein unterstützen kann. Ich habe auf die Homepage (Spendenkonto) verwiesen sowie die Möglichkeit einen Outdoor-Router zur Netzvergrößerung vor allem des Mesh-Netzwerks zu betreiben. Beides wird diskutiert, ich werde Entschlüsse dazu gerne als Feedback melden.

Hmm. Die Situation mit dem Clientnetz ist natürlich unbefriedigend. Definitiv schau ich mir das mal „zwischen den Tagen“ genauer an. Das waren bei euch 841 in der v11, richtig?

Das mit dem MoW per Default ist mir persönlich auch ein Dorn im Auge. Das war als unser Netz noch deutlich kleiner war kein Problem. Ich werde das mal bei der nächsten Gelegenheit in der sites.conf ändern.

Hallo!

Ping @Felix

Ich koche den Thread hier nochmal auf anstatt einen neuen zu eröffnen, da das eventuell noch andere „Fern-Admins“ betreffen könnte. Notfall kann ein Admin das ja schieben / abtrennen / $irgendwas damit anstellen…

Nachdem der Zugriff auf den Knoten in der Leverkusener Communitiy nun eine ganze Weile super funktionierte, musste ich aber nun leider meinen Arbeitsrechner neu aufsetzen und hatte die Verbindungseinstellungen nicht gesichert (ich weiß, Backups sind ja sooo wichtig ). Die Public-IPv6 wird auf der Karte nicht angezeigt (da war übrigens schon die erste Hürde: auf der Karte des VFN-NRW wurde der Knoten gar nicht mehr angezeigt). Auf der Homepage von freifunk-leverkusen.de gab es dann einen Link zur Karte Leverkusen, wo der Knoten auftauchte. Dort sah ich dann, dass er mit Firmware Version 5.0.0 läuft. Zum Download fand ich aber überall nur Version 4.2.0 verfügbar. Ich erstellte also eine VM mit Version 4.2.0 nur um festzustellen, dass diese Versionen nicht im selben Netz laufen, als ob es verschiedene Communities wären. Die VM per Autoupdater zu aktualisieren schlug erwartungsgemäß fehl. Gott sei Dank hatte ich noch einen ollen GL-iNet 6416 zur Hand, den ich dann mit 4.2.0 flashen und auf 5.0.0 autoupdaten und darüber dann an den Knoten SSHen konnte. Allerdings würde ich mir doch sehr eine 5.0.0-er VM wünschen. Und überhaupt würde man ja gerne seine Router direkt mit aktueller Firmware flashen können, sodass sie auch gleich in der richtigen Community / Domäne / $Whatever landen, anstatt zunächt in irgendwas altem zu landen, sich dann irgendwann updaten zu müssen und dann erst im endgültigen Zielhafen zu landen. Das gaukelt dem unbedarften Knotenaufsteller ja vor, dass sein Flashen erstmal nicht erfolgreich wäre, da auf der Karte nichts zu sehen ist. Den Router dann erstmal so lange am Netz zu lassen, bis er sich geupdatet hat, das wird wohl im Frust einer vermeintlichen Fehlersuche nicht immer passieren. Eher 1.) landet das Ding in einer Ecke, 2.) wird wieder mit Stockfirmware bespielt oder 3.) es wird sich eine andere Communitiy ausgesucht, was zu vielen Mesh(los)-Inseln führen wird. Alles eher kontraproduktiv. :-/

Es wäre schön, einen Download-Link für Version 5.0.0 (mit X86-Image - in meinem Fall für VirtualBox) zu bekommen und eventuell etwas Hintergrund-Info zu haben über diese Netz-„Spalte“ zwischen den Versionen.

Liebe Grüße!
Marssl

Hi @Marssl
bin leider gerade unterwegs, daher kurz angebunden.
Die aktuellste Firmware gibt es jetzt hier: https://builder1.vfn-nrw.de/leverkusen/stable/latest/images/
Webseiten müssen wir noch updaten, da ist einiges veraltet.

Grüße,
Felix

Hallo, und danke für die schnelle Hilfe.
Ja, über einige dieser alten Infos bin ich auch gestolpert. Da wird stellenweise noch auf eine Version 0.6.9 verlinkt, die TL-WR841er nur bis V9 unterstützt. Wer dort nach Links für V10+ sucht, wird gar nicht erst fündig.

Siehe unterstützte Router FF Leverkusen

Folgender Link führt gar auf eine Seite, die mir Firefox 61.0.1 (64-bit) unter Windows 10 (1803) als „File does not exist“ quittiert und dann nur als Inhaltsverzeichnis ausgibt. Aber auch da kann ich Verzeichnisse nicht wirklich öffnen, es passiert einfach gar nix. :-/

https://vfn-nrw.de/gluon/?dir=stable%2Fleverkusen

Ich hoffe, das hilft auf eine Art.

Liebe Grüße und nochmal Dank!
Marcel

Super, danke für das Feedback. Ich hab im Moment nämlich gar nicht so den Überblick wo was noch falsch verlinkt ist. Beim nächsten Langstreckenflug wird das dann mal angegangen

Hier noch die Antworten auf deine anderen Fragen:
Grund für die Spaltung:
In Leverkusen war das Netz einfach nicht mehr performant genug. Wir haben dann eine komplett neue Umgebung aufgebaut, die stärker in sich und nur für Leverkusen gekapselt ist. Nach und nach stellen wir auch die anderen Communities bei uns im Verein auf diese Umgebung um.
Die alte Umgebung sah vor, dass alle Communities auf einer gemeinsamen Infrastruktur laufen. Das hat dazu geführt, dass wir teilweise die verfügbaren Ressourcen über Gebühr beansprucht haben oder sich die Netze ins Gehege kamen und daher die Performance am Ende für alle schlechter war.
Bei der neuen Umgebung hat jede Community eigene VMs für ihre Gateways und es gibt insgesamt mehr Server für die Anzahl an Gateways, die wir haben.
Nur die weniger kritische Infrastruktur wird geteilt: Map, Statistiken, Firmware-Buildserver und Firmware-Downloadserver.

Public-IPv6 haben wir in unserem Netz aktuell leider noch nicht. Das ist in Planung, bedarf aber noch etwas Zeit, da wir dafür gerne eine komplett eigene Infrastruktur aufbauen möchten. Es werden dann IPv6 aus unserem eigenen Subnetz (2001:67c:1714::/48) vergeben.
Die Public IPv6 die der Knoten erhält, weil er an einem IPv6 Uplink hängt wird natürlich nicht öffentlich gemacht (und im übrigen auch gar nicht erst vom Knoten übermittelt), da dadurch ja Daten über den Anschluss, an dem der Knoten hängt öffentlich würden. Prinzipiell ist darüber aber natürlich auch ein Fernzugriff möglich.