Netzwerkaufbau / Crypto (Domain Ruhrgebiet)

Hallo,

Ich hätte mal eine Frage zur Anbindung der Knoten und dem Backbone.

Beginnen wir einmal der Reihe nach.

Der FF Router verbindet sich mittelst Fastd mit zwei Supernodes.
Diese Verbindung ist ja prinzipiell Verschlüsselt.
Jetzt verstehe ich nicht so viel von Crypto deswegen die Frage: Wie sicher ist das Verfahren?

Wenn ich nun weiter schaue sehe ich das zwei von vier Supernodes (Domain: Ruhrgebiet) sich in Deutschland (Versatel) und zwei in den Niederlanden befinden.

Dazu stellen sich wieder fragen :slight_smile:

Ist angemacht, das Ruhrgebiet an das neue Backbone anzubinden? In dem Beitrag von @thomasDOTwtf (Beitrag: „Addresszuweisung IPv6“) habe ich das Ruhrgebiet ein wenig vermisst.
Die Verbindung von den Supernodes zum Backbone erfolgt über GRE Tunnel.

Diese sind ja erst einmal unverschlüsselt.

  1. Erfolgt hier noch eine Verschlüsselung des Traffics oder ist dieser bereits ab dem Supernode offen?
  2. Wie kann ich auf dem Node feststellen mit welchem Supernode ich verbunden bin?
  3. Wer betreut die Supernodes für das Ruhrgebiet?
  4. Funktioniert die FastD Verbindung tatsächlich (Gluon 0.5) nur per V4? In der FastD config stehen nur solche drin.

Ich hoffe das war jetzt nicht zu viel :slight_smile: und der ein oder andere könnte ein wenig Klarheit in meinem Kopf schaffen.

Danke und Gruß
Thomas

1 Like

Hi Thomas,

Die folgenden Verfahren sind auf der Serverseite konfiguriert:

method "aes128-gcm";
method "salsa2012+gmac";
method "xsalsa20-poly1305";
method "null";

Der Client einigt sich mit dem Server auf das erste Verfahren welches beide unterstützten.

Wir sind gerade dabei die Hosting-Location der Supernodes zu gunsten einer bessern Latenz zu verschieben. Das Ziel sieht so aus, dass die VMs sich in Deutschland befinden sollen.

Die folgende Grafik zeigt den Netzaufbau und die Stellen an denen Verschlüsselung statt findet:

Auf der Kommandozeile des Routers kannst du mit dem Befehl logread das Log anzeigen. Dort müsste sich die Information über die verbundenen fastd-peers zeigen.

Die Supernodes für die Domäne Ruhrgebiet werden von @CHRlS und @pberndro betreut.

Das ist eine Sache der Konfiguration. Da sich zur Zeit der Backbone im Aufbau befindet uns viel Zeit benötigt ist der Task ipv6 in die site.conf für die Firmware einzubauen wahrscheinlich noch nicht abgearbeitet.

Ich hoffe, dass ich Deine Fragen beantworten konnte. Falls Du weitere Fragen hast zöger nicht sie zu stellen.

viele Grüße
Thomas

5 Likes

Hallo Thomas,

danke für die Antworten und die tolle Grafik.
(Ich vermute mal die ist mit DIA gemacht?)

Ich hätte tatsächlich noch die ein oder andere Frage da ich misch schon seit Jahren für Internet Routing und die Internet Protokolle interessiere. Leider hat man da keine meist keine Praktischen Berührungspunkte sodass dieses Wissen nur theoretisch gebildet werden kann … nur mal so am Rande.

Zu der Gluon Nodes → Spurende Anbindung. Durch das Batman Protokoll wird über die FastD Verbindungen ein Layer 2 Netz gelegt. Layer2 (Batman) over Layer3 (FastD).
Ist das so korrekt?
Entsprechend würde das Routing dann auch auf MAC bzw. ICMPv6 Basis erfolgen.

Nun zu der der SuperNode → Edge Router Connection.
Die GRE Tunnel sind ja wie beschrieben unverschlüsselte Links.
Dies ist natürlich für Protokolle die unverschlüsselte Daten Senden fatal da diese von allen Providern mitgesniffert werden können die auf dem Weg liegen. Dies gilt im speziellen auch für Transit Provider die zwischen dem Access Provider und unserem AS liegen.

Wäre es nicht sinnig auch diese Links über einen FastD Tunnel zu betreiben?

Ein Argument dagegen wäre natürlich das der Traffic in der Praxis auch schon Over The Air mitgelesen werden kann (Client zum Gluon Node) und natürlich wenn er unser AS Verlässt.

Sprechen die SuperNodes eigentlich auch BGP oder wie Routen diese den Traffic in Richtung Edge Router?
Die Edge Router haben wahrscheinlich auch noch Tunnel untereinander damit das AS nicht gerissen werden kann?

Plant ihr noch ein Looking Glass einzurichten, damit man ein bissle selbst schauen kann wo welche Routen hinzeigen?

Ihr hattet es glaube ich bereits auf dem Freifunktag beschrieben. Es ist aber auch beim Ripe nachzulesen.
Aktuell Peeren wir mit 1&1 und IN-Berlin.
Ich vermute mal das es sich dabei um Spenden dieser Provider handelt? (fände ich klasse) :smile:

Danke für die Mühen auf eurer Seite!

Wollt ihr das Peering noch weiter ausbauen? Möglicherweise mit einem Internet Exchange direkt?

Das ist ja mal wieder viel Text geworden :smile:
Aber ich denke es ist nie verkehrt Dinge zu fragen. Das bringt auch andere weiter.

Gruß
Thomas

Das ist genau der springende Punkt. Traffic der durch den Backbone läuft landet zwangsläufig in den Weiten des Internet. Dort muss ihn jeder selber schützen. Dass können und wollen wir nicht übernehmen.
Was Verbindungen zwischen Communitys angeht: Wir verstehen uns nicht als Ersatz für das Intercity VPN!
Dass wir nicht verschlüsseln hat aber auch einen ganz praktischen Grund: Die von uns eingesetzte Hardware verfügt über keine Crypto Beschleunigung was die Nutzbare Bandbreite unnötig reduzieren würde. Sollten wir zwischen zwei Standorten passende Hardware haben werden wir sicherlich neu über Crypto (dann aber IPSec) nachdenken.

Ja, die SuperNodes sprechen mit unseren Routern BGP. Wir senden den SuperNodes eine Defaultroute und akzeptieren von ihnen das zugewiesene Präfix (+spezifischere Routen). Die Standorte unserer Router sind auch per GRE Tunnel miteinander verbunden. Langfristig sind hier natürlich direkte Übertragungskapazitäten (Ethernet Services, Wellenlängen, Darkfiber…) wünschenswert :wink:

Das finde ich eine gute Idee und wird sicherlich kommen.

Für das Peering mit AS8560 fließt unsererseits kein Geld. Bei IN-Berlin lassen wir einen überschaubaren Betrag den ich dir nicht genau nennen kann.

Ja auch das ist gewünscht, angedacht und in Arbeit!
Wir halten euch natürlich auf dem laufenden.

Gruß
takt

2 Likes

Hallo Takt,

interessante Frage. Wo seht ihr euch? Seit ihr mit dem Backbone eine eigene „Domain/Suborganisation“ des Freifunk Rheinland bzw. Freifunk.net?

Gruß
Thomas

Hi Thomas.

Kein Problem, gern geschehen. Die Grafik ist mit Visio erstellt.

Zur Veranschaulichung der verschiedenen Protokolle habe ich dazu ebenfalls eine Skizze erstellt:

Wie sehen uns äußerst sporadisch da wir örtlich sehr verteilt sind.
Das Admin Team des Freifunk Rheinland Backbone besteht aktuell aus folgenden Personen:

viele Grüße
Thomas

3 Likes

Hallo @pberndro
Hallo @CHRlS

In Bezug auf die Supernodes für das Ruhrgebiet würde mich interessieren, über welche VPN Verbindungen wir zu anderen Communities wir verfügen und ob auch ULA’s (IPv6) über die IC VPN Strecken geroutet werden.

Ich wollte die Tage einige ULA Adressen anpingen. Allerdings ging dieses nicht.
Dabei handelte es sich einmal um eine IP aus Hamburg und einmal um eine IP aus Wuppertal.

Vielleicht könntet ihr mir ein paar infos geben? Das fände ich klasse.

P.S. Planet ihr schon den Umstieg auf das neue Backbone?

Danke und Gruß
Thomas

Aktuell routen wir nirgendwo hin, auch wenn die Tunnel ins ICVPN stehen, da die BGP Sitzungen nicht an sind.

Hi Chris,

Wie ist den das aufgebaut?
Gibt es irgendwo einen zentralen Node zu dem alle Ihre Routen Propagieren wie bei einem Internet Exchange?
Das hört sich zumindest so an.

Gruß
Thomas

Alle bauen Tunnel zueinander auf und announcen ihre private Community AS Nummer an die anderen Peers. Genau identisch aufgebaut zu bgp ix Peering im Internet, nur eben mit privaten AS Nummern, privaten IP Kreisen (bei ipv4), etc.

Hallo Chris,

Ich möchte an dieser stelle die Funktion des Internet Routings zwischen Autonomen Systemen (AS) einmal kurz skizzieren.

Bei einem Direkten Peering haben verschiedene Provider Standleitung zwischen ihren Autonomen Systemen gelegt und Tauschen direkt Routen darüber aus. Dieses erfolgt natürlich über ein Dynamisches Routing Protokoll. Üblicherweise wird hier BGP eingesetzt.

Nehmen wir einmal an AS64512 ist unser imaginäres Freifunk Netzwerk. Dieses hat Verbindungen zu zwei Upstream Providern (AS64513 und AS 64514) die jeweils eine komplette Routingtabelle an unsere Router übermitteln.
Wir wiederum übermitteln „unser“ IP Netzwerk (10.168.0.0/23) an die beiden Upstream Provider.

Jetzt haben wir uns überlegt das wir noch gerne eine Verbindung zu einem Internet Exchange (IX) haben wollen um unsere Upstream Verbindungen zu entlasten, weniger Hops (schnelleres Routing) zu anderen Netzen zu haben und natürlich Kosten zu sparen.
Wir bauen dafür eine BGP Session mit dem AS des Internet Exchanges auf und übermitteln unsere Netze an das AS. Als Gegenzug erhalten wir alle Routen von den anderen Autonomen Systemen die an den IX angebunden sind. Im Beispiel sind das die Routen der Autonomen Systeme AS64516 und AS64517.

Solche Exchange gibt es aber nicht nur „Public“ wie z.B. das DECIX oder das AMSIX sondern auch Private. Hier kann man vor allem den Exchange Punkt der Automobilindustrie nennen. Es gibt für die Automobilindustrie zwei entsprechende Exchange. Einen in Europa ist dieses das ENX (www.enx.com ). ANX ist das entsprechende gegenstück in Nord Amerika. Entsprechende Artikel dazu sind in der Wikipedia vorhanden.

Deswegen meine Frage zu dem Intercity Austausch, um auf diesen Punkt zurück zu kommen.

Korrekturen sind gerne willkommen :smiley:

Gruß
Thomas