Sprechen wir jetzt über den TP-Link-Router, der mit Freifunk-Gluon bestpielt ist oder den weiteren, der dem Freifunk-Router als Uplink dient?
Oder waren das „die ganze Zeit“ die gleichen Geräte? (Zumindest oben stand, dass man die LAN-Ports des TP-Links anpingen könne.)
Hallo adorfer,
also eigentlich war nie von einem zweiten Freifunk Router an diesem Standort die Rede.
Ich habe nur den Strom abgezogen 220V/50Hz, da ich sonst das Pfuschding vernichtet hätte!
Es gibt einen TP-Link Router, der auf der WAN Seite die feste IP Adresse 217.151.149.75 hat und auf der LAN Seite die 10.142.255.1. Ich kann die WAN Adresse übers Internet erreichen und mich per ssh aufschalten. Von meinem internen Router kann ich die LAN Schnitttstelle des Freifunk Routers anpingen. Mehr ist das nicht. Ganz normal.
Internet ----- GW 217.151.149.65 ---- FFRN 217.151.149.75 WAN oooo FFRN 10.142.255.1 LAN ---- MikroTik RB2011 10.142.0.1 LAN
Das ist die Vernetzung, es sind sowohl beim Provider, als auch auf dem MikroTik intern keinerlei Firewallregeln aktiv.
Gruß
ruebenmaster
Status:
- Gluon hat auf WAN-Seite mindestens IPv4.
- Gluon hat auf WAN-Seite ein funktionierendes Routing (IP+Gateway)
- Gluon bekommt selbst keine Namensauflösung der Supernodes hin
Frage: Wie debugt man das?
Ist es vorstellbar, dass DNS ausschließlich per IPv6 erfolgt, weil bevorzugt, der IPv6-resolver aus dem RA (radvd/rdns…) jedoch nur nxdomains liefert?
/sbin/start-stop-daemon -c root:gluon-mesh-vpn -S -x /usr/bin/nslookup -- gw02.ffrn.de müßte eigentlich zu einem Zugriff auf 127.0.0.1:54 führen, und damit auf den dnsmasq, der über die WAN-Resolver geht — oder?
Analog müßte das auch mit ping gehen …
Stell mal einen festen DNS-Server ein, z. B. 1.1.1.1. DNS-Server von Providern sind manchmal etwas gaga.
Hmm.
Internet — GW 217.151.149.65 — FFRN 217.151.149.75 WAN/10.142.255.1 LAN — MikroTik RB2011 10.142.0.1 LAN
Rein sicherheitshalber: die 10.142.255.1 ist ein Sonderfall, jeder FFRN-Router mit jenen Firmwareeinstellungen hat diese IPv4-Adresse, die ist aber im Grunde zu nichts zu gebrauchen, als daß am jeweiligen FFRN-Router angeschlossene Endgeräte diese Statusseite aufrufen können.
Was soll „10.142.0.1 LAN“ bedeuten? Ich halte es für ziemlich unwahrscheinlich, daß Dein RB2011 die 10.142.0.1 von FFRN-Netz bekommen hat — ist die fest konfiguriert?
Ich würde ja die Kiste zum Test mal irgendwo an eine Fritzbox hängen mit IP von der Fritzbox zugewiesen, und gucken ob es dann geht. Da wäre man schon einen großen Schritt weiter, wenn man weiß es KANN gehen.
1 „Gefällt mir“
Hallo Erwin,
da müsste ich erst zu ARLT oder Mediamarkt und mir so ein Fritzdings kaufen… Nur zum Testen fehlt mir momentan die Kohle. ;o)
Gruß
ruebenmaster
Hallo wusel,
keine Ahnung was dieses Netz zu bedeuten hat. Bei der Einrichtung des Freifunkrouters wurde auf der LAN Schnittstelle das Netz 10.142.0.0/16 konfiguriert und der Router hat sich selbst die 10.142.255.1 gegeben. Deshalb hab ich dem MikroTik dahinter die Adresse 10.142.0.1 gegeben, und siehe da, die beiden sehen sich. Dieses Netz wurde also vom Freifunkrouter vorgegeben.
Gruß
ruebenmaster
Nochmal, der FF-Router mit dieser Firmware nimmt an IPv4 nicht wirklich teil. IP-Adressvergabe an den gelben Ports läuft über DHCP (IPv4) und RA (IPv6), und das aus dem Netz, Dein FF-Router hat da keine Aktien drin.
Heißt: der Mikrotik muß auf DHCP & RA eingestellt werden und wird nur funktionieren, wenn der Freifunk-Router Verbindung zum FF-Netz hat. Ihm feste IPs auf dem FF-Netz zu geben, ohne das mit den entsprechenden Admins abgesprochen zu haben, ist … keine gute Idee.
Das kann man so tun. Ich sehe nur keinen Sinn in einem solchen Setup.
Der Freifunk-Router benötigt in dem von Dir skizierten Szenario „Internet“ (via DHCP) am WAN-Port.
Das Client-Lan an den gelben Ports wird nicht als Uplink genutzt und ist über einige Firewall-Magie auch so abgeschirmt vom Rest des Gluons, dass ein dort sitzender DNS-Server vermutlich nicht zur Namensauflösung „für die WAN-Seite“ des Routers genutzt werden kann.
Ich denke, wir brauchen jetzt doch mal eine Zeichnung, mit allen beteilgiten Interfaces und den bekannten IPs. Und den gewünschen Funktionen/Rollen.
Und sei es in Ascii-Art.
Hallo wusel,
jetzt kapiere ich gar nix mehr. Extern geht nix, intern geht nix und nun geht alles nur mit IPv6. Sprich, da wir kein IPv6 intern fahren, können wir diese Lösung nicht nutzen!
Und da investiere ich viele viele Stunde in ein sinnloses Troubleshooting?! Mal abgesehen vom Kauf der 3 TP-Link Router…
Da muss ich nun beim Chef die Hosen runter lassen, mich blamieren und auslachen lassen und dann können die Ihre Idee, nämlich die Lösung der Telekom AG, durch setzen.
Das kann man ruhig auf der Seite, wo man auch die Software herunter laden kann, erwähnen, dass die OpenWRT Lösung nicht in einem IPv4 Netz funktioniert. Ich weiß gar nicht, was ich jetzt sagen soll. So elend habe ich mich in meinem ganzen Leben noch nicht blamiert. Ich habe nochmal durch gelesen, da steht nix von „Funktioniert nur im IPv6 Netz“ oder ähnliches… Warum vergibt sich der Router selbst überhaupt noch IPv4 Adressen, wenn es doch nicht damit funktioniert. Im übrigen funktioniert auch kein DHCP auf LAN Seite. Also kann sich der MikroTik auch keine Adresse ziehen, obwohl dieser IPv6 kann.
Alter…
Na dann. Eine Niederlage mehr oder weniger…
Gruß
ruebenmaster
Das Troubleshooting ist daher „sinnlos“ (wie Du es sagst), weil Du in Deinem Setup irgendwo mindestens eine Sonderlocke/Speziallösung gebastelt hast (egal ob nun DDOS, anderweite Firewall, Portsecurity, static-IP o.ä.) mit der Du Dir ganz persönlich in den Fuß schiesst.
Weil es in Konsequenz etwas tut was Du nicht verstehst und auch nciht zu debuggen vermagst.
Hallo adorfer,
Warum werden dann diese Optionen beim Einrichten des Routers angeboten? Im Internet hab ich mich strikt an die Anleitung gehalten. Ich habe nur die Felder ausgefüllt, die angeboten wurden. Wieso spricht man dann von Sonderlocken? Ich verstehe Deinen Angriff auf mich nicht.
@adorfer
Vielleicht sollte man dazu schreiben, dass die Installation nur von absoluten OpenWRT oder Linux Cracks vorgenommen werden kann…
Der Router bietet beim Einrichten über Browser doch das Eintragen einer statischen IP Adresse an der WAN Schnittstelle an!!! Und jetzt bin ich selbst schuld, dass ich diese Möglichkeit nutze?
Gruß
ruebenmaster
Hallo wusel,
trotz allem habe ich nochmal die von Dir vorgeschlagenen Prüfungen ausgeführt:
root@DELUH01-FFRN001:~# ip route show
default via 217.151.149.65 dev br-wan _
10.142.0.0/16 dev local-node src 10.142.255.1 _
217.151.149.64/26 dev br-wan src 217.151.149.75 _
root@DELUH01-FFRN001:~# brctl show
bridge name bridge id STP enabled interfaces
br-wan 7fff.fa8ff056b910 no eth0.2
br-client 7fff.704f57af0928 no bat0
_ eth0.1
_ local-port
_ client0
root@DELUH01-FFRN001:~# batctl gwl
[B.A.T.M.A.N. adv 2017.2, MainIF/MAC: primary0/fa:8f:f0:56:b9:13 (bat0/70:4f:57:af:09:28 BATMAN_IV)]
_ Router ( TQ) Next Hop [outgoingIf] Bandwidth_
root@DELUH01-FFRN001:~# ps w | grep dnsm
_ 1882 root 1120 S /usr/sbin/dnsmasq -x /var/run/gluon-wan-dnsmasq.pid -u root -i lo -p 54 -h -r /var/gluon/wan-dnsmasq/reso_
_ 2056 dnsmasq 1048 S /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf.cfg02411c -k -x /var/run/dnsmasq/dnsmasq.cfg02411c.pid_
24141 root 1184 S grep dnsm
root@DELUH01-FFRN001:~# cat /var/gluon/wan-dnsmasq/resolv.conf
nameserver 194.25.0.68
nameserver 194.25.0.60
root@DELUH01-FFRN001:~# batctl if
br-wan: active
primary0: active
mesh0: active
mesh-vpn: active
root@DELUH01-FFRN001:~# ping6 -c 3 google.com
ping6: bad address ‚google.com‘
root@DELUH01-FFRN001:~# ping6 -c 3 2001:4860:4860::8888
PING 2001:4860:4860::8888 (2001:4860:4860::8888): 56 data bytes
ping6: sendto: Host is unreachable
root@DELUH01-FFRN001:~# ping6 -c 3 2606:4700:4700::1111
PING 2606:4700:4700::1111 (2606:4700:4700::1111): 56 data bytes
ping6: sendto: Host is unreachable
root@DELUH01-FFRN001:~# ping6 -c 3 one.one.one.one
ping6: bad address ‚one.one.one.one‘
root@DELUH01-FFRN001:~# /sbin/start-stop-daemon -c root:gluon-mesh-vpn -S -x /usr/bin/nslookup – gw02.ffrn.de
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: gw02.ffrn.de
Address 1: 88.99.210.115
Address 2: 2a01:4f8:10a:3b48::6
root@DELUH01-FFRN001:~# iptables -L -t nat | grep DNAT
DNAT udp – anywhere localhost owner GID match gluon-mesh-vpn udp dpt:domain to::54
root@DELUH01-FFRN001:~#
Im Bereich IPv6 funktioniert da einiges nicht…
root@DELUH01-FFRN001:~# ping -c3 88.99.210.115
PING 88.99.210.115 (88.99.210.115): 56 data bytes
64 bytes from 88.99.210.115: seq=0 ttl=58 time=7.078 ms
64 bytes from 88.99.210.115: seq=1 ttl=58 time=7.090 ms
64 bytes from 88.99.210.115: seq=2 ttl=58 time=7.054 ms
— 88.99.210.115 ping statistics —
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 7.054/7.074/7.090 ms
root@DELUH01-FFRN001:~# ping 2a01:4f8:10a:3b48::6
PING 2a01:4f8:10a:3b48::6 (2a01:4f8:10a:3b48::6): 56 data bytes
ping: sendto: Host is unreachable
root@DELUH01-FFRN001:~#
Gruß
ruebenmaster
Hallo adorfer,
hier mal ein PDF Dokument, das die Vernetzung des Freifunk Routers zeigen soll.
Gruß
ruebenmaster
Schaltbild.pdf (35,5 KB)
Hast du das schon probiert?
Hallo MPW,
Die beiden eingetragenen DNS Server der Telekom sind erreichbar und geben auch Antworten. Am Anfang hatte ich es auch mit 8.8.8.8 probiert. Mit 1.1.1.1 hab ich es noch nicht probiert.
Es ist sehr schade, dass ich im LAN Bereich nicht mit festen IP Adressen arbeiten kann. Das ist deshalb schwer verdaulich, da es sonst überall im Netzwerk mit festen IP Adressen funktioniert. Das ist bei dieser Software echt kompliziert gelöst.
Normalerweise geht der Router ins Internet, baut den Tunnel zu einem der Freifunk Server auf und darüber stürzen sich die Leute ins Internet. Da habe ich zu einfach gedacht…
Das Menü beim Einrichten ist freundlicher Weise selbsterklärend aufgebaut. Keine meiner Einstellungen wurde irgendwie gefrickelt. Ich ging echt davon aus, dass ich die in den Menüs angebotenen Konfiguration Einstellungen auch funktionieren. Dort kann ich beispielsweise auch für die WAN Nic eine feste IP vergeben. Sie funktioniert ja eigentlich auch, da ich auf den Router darüber per ssh zugreifen kann.
Ich habe neben dem hier an zwei weiteren Standorten diese TP - Link Kombination in Betrieb genommen mit dem gleichen enttäuschenden Ergebnissen. Alle drei arbeiten mit festen IP Adressen auf der WAN Seite. Geht nicht anders. Da die Router direkt im Internet hängen. Es ist KEINE Firewall, oder Router mit ACL oder anderes davor! Es gab auch keine Sonderlocken Konfiguration, wie adorfer das meint. Ne feste IP auf der WAN Seite, das war schon alles. Wir haben da nur IPv4.
Ich habe mir viel durch gelesen über Freifunk, ein tolles Projekt, ehrlich. Aber wenn die Teilnahme so derart kompliziert einzurichten ist, dann sitzt die Frustration tief. Diese ist im Übrigen normal, da im Internet das Einrichten der Router als leicht dargestellt wird. Deshalb kann ich die überheblich wirkenden Angriffe von adorfer nicht nachvollziehen. Da sollte er diese Energie dafür verwenden, dass das auch läuft und es nicht zu monatelangem wiederundwiedwrinstallationen, oder Marathontroubleshooting ohne brauchbares Ergebnis führt.
Da sich unsere Geschäftsleitung bereits für die kostenpflichtige Lösung der Telekom entschieden hat, verfolge ich das hier nun privat weiter. Der grundlegende Gedanke an freies WLAN ist das wert. Bemerkenswert ist hier, dass die Hotspot Lösung unter diesen Bedingungen problemlos funktioniert.
Habt ihr alle eine FRITZ!Box vor dem Router, der diesem dann auf der WAN Seite per DHCP mit IP Adressen füttert? Niemand, der mit festen IP Adressen am WAN Port arbeitet? Ich hab das auch mal umgeklemmt, den MikroTik zwischen Internet und Freifunk Router geklemmt, wegen DHCP. Der FF Router versucht dann zu den gw Adressen von Freifunk eine Verbindung aufzubauen. Allerdings schickt er nur UDP Pakete auf den Zielort 53 zu diesen Servern. Es kommen jedoch keine Antworten auf diese DNS Anfragen zurück. Ich glaube, dass er dieses Verhalten auch mit fester IP Adresse zeigt.
Grüße
Ruebenmaster
Nein, soweit ich das hier nachvollziehen kann verrätst du nicht was mit „Internet“ gemeint ist. Auch nicht auf dem „Schaltbild“.
Es ist nie gut in einer Anleitung zu behaupten dass irgendwas einfach ist. Es ist aber z.B. auch nicht einfach zu verstehen von welchen Geräten du in den einzelnen Beiträgen sprichst. Ich vermute einfach mal dass du nicht den FF-Router direkt an die Telefondose steckst?
2 „Gefällt mir“
Wenn ich es recht sehe, dann wird gw02.ffrn.de aufgelöst.
und ping auf 88.99.210.115 funktioniert auch.
Ich werde mich jetzt nciht auf’s Nitpicking versteifen, ob eine Wolke „Internet“ auch legacyIP mit einschliesst oder nicht, wäre nicht weiterführend.
Ich tippe darauf, dass irgendeine Firewall/DDos-Erkennung/Teredofilter was gegen den VPN-Tunnel „tut“.