Neue VPN Tunnel für Wupper

Wir haben uns hier in Troisdorf schon abgesichert. Sollte der Freifunk Rheinland e.V. es nicht schaffen bis zum Abschalttermin die Tunnel zur Verfügung zu stellen, haben wir uns einen Backup Supernode mit Schweden VPN aufgesetzt.

kann man da notfalls dran, bzw. kannst Du Details (incl. Kosten) nennen?

Wir haben einen OpenVPN tunnel bei Mullvad VPN - Privacy is a universal right.

Der Supernode hängt momentan nur im Troisdorfer FF-Netz. Ist aber im endtefekt ein ganz normaler Supernode. Allerdings auch der 1. den ich Aufgesetzt habe, die Funktion kann ich noch nicht garantieren.

Der Wird auch nur hochgefahren, sollte echt was schiefgehen.

Danke, sprengt zwar meine technischen Kenntnisse, aber erst mal gut zu wissen, was notfalls machbar ist und wie teuer. MAg es nicht, auf dem falschen Fuss erwischt zu werden.
Verstehe nur nicht, woran es denn mit den FFRL Tunnel nicht voran geht. Geld? Leute? oder was?

Edit
seh bei dem angegebenen Link keine Preise

Wieviel Traffic passt denn da so durch? Ein Tunnel für 300 Knoten ist ja schon sportlich. :wink:

Wir haben nur 35 Nodes hier im moment (Troisdorf).

Wieviel durchgeht habe ich nicht gemessen.

Aber das ist nicht Thema dieses Threads! (Edit: Jetzt schon)

5 €/Monat

3 Stunden sind gratis… gut zum testen…

Mullvad haben wir auch. In Spitzen habe ich 50 MBit durch bekommen, direkt vom Gateway gemessen. Im Schnitt liegt er so bei 10-25 MBit, je nach Tageszeit. Abends ist natürlich weniger drinne als morgens um 4.30 Uhr. Gemittelt über 3 Gateways bei uns haben wir nen Spitzentraffic von bis zu 25 MBit. Nachteil, kein Public IPv6 damit möglich.

1 Like

[quote=„Freifunker, post:8, topic:4536“]
Nachteil, kein Public IPv6 damit möglich.[/quote]

Hmm …

[quote]Tunnel IPv6

Tunnel IPv6 traffic through the VPN server in addition to IPv4 traffic. The computer will be connected to the IPv6 internet through Mullvad, even without IPv6 support from your internet service provider. When this option is disabled any IPv6 traffic is instead blocked to prevent leaks. (This block can be turned off in the advanced settings.) Tunnel IPv6 takes effect after the next connection.[/quote]

Ich hab’ das grade mal ausprobiert …

wusel@luggage:~$ ip -6 route show
::/2 dev tun0  metric 1024 
4000::/2 dev tun0  metric 1024 
8000::/2 dev tun0  metric 1024 
fd96:85b7:3189:72::/112 dev tun0  proto kernel  metric 256 
fe80::/64 dev virbr0  proto kernel  metric 256 
fe80::/64 dev wlan0  proto kernel  metric 256 
c000::/2 dev tun0  metric 1024 
wusel@luggage:~$ traceroute6 www.google.com
traceroute to www.google.com (2a00:1450:4001:80c::1011) from fd96:85b7:3189:72::100a, 30 hops max, 24 byte packets
 1  fd96:85b7:3189:72:: (fd96:85b7:3189:72::)  29.375 ms  30.594 ms  29.062 ms
 2  2a00:c98:2030:a021::1 (2a00:c98:2030:a021::1)  29.45 ms  29.8 ms  29.992 ms
 3  2a00:c98::4c (2a00:c98::4c)  29.517 ms  29.663 ms  30.867 ms
 4  2a03:2280:34::7 (2a03:2280:34::7)  58.42 ms  57.965 ms  57.101 ms
 5  2001:7f8:d:fe::115 (2001:7f8:d:fe::115)  57.039 ms  57.46 ms  57.922 ms
 6  2001:4860::1:0:26ec (2001:4860::1:0:26ec)  59.101 ms  60.78 ms  66.944 ms
 7  2001:4860::8:0:4fc9 (2001:4860::8:0:4fc9)  59.652 ms  57.804 ms  63.617 ms
 8  2001:4860::8:0:6401 (2001:4860::8:0:6401)  71.002 ms  55.95 ms  56.415 ms
 9  2001:4860::8:0:8f91 (2001:4860::8:0:8f91)  56.314 ms  56.395 ms  57.216 ms
10  2001:4860::8:0:5039 (2001:4860::8:0:5039)  80.741 ms  55.6 ms  55.751 ms
11  2001:4860::1:0:4ca2 (2001:4860::1:0:4ca2)  55.93 ms  56.415 ms  57.615 ms
12  2001:4860:0:1::2cf (2001:4860:0:1::2cf)  56.261 ms  55.888 ms  56.345 ms
13  2a00:1450:4001:80c::7 (2a00:1450:4001:80c::7)  65.916 ms  59.573 ms  59.646 ms
wusel@luggage:~$ traceroute www.google.com
traceroute to www.google.com (173.194.116.116), 30 hops max, 60 byte packets
 1  10.114.0.1 (10.114.0.1)  31.848 ms  34.086 ms  34.101 ms
 2  hosted.by.leaseweb.com (46.165.228.126)  34.096 ms  36.504 ms  36.530 ms
 3  xe-2-2-2.peering-inx-fra.leaseweb.net (46.165.255.150)  36.799 ms xe-3-1-2.peering-inx-fra.leaseweb.net (46.165.255.158)  36.804 ms xe-2-2-2.peering-inx-fra.leaseweb.net (46.165.255.150)  36.800 ms
 4  de-cix20.net.google.com (80.81.193.108)  39.949 ms  41.045 ms  41.296 ms
 5  209.85.251.150 (209.85.251.150)  38.550 ms  38.859 ms  39.618 ms
 6  64.233.175.143 (64.233.175.143)  43.933 ms  33.692 ms  33.118 ms
 7  fra02s27-in-f20.1e100.net (173.194.116.116)  33.323 ms  34.107 ms  34.360 ms

Nach stoppen des Tunnels zu mullvad:

wusel@luggage:~$ traceroute6 www.google.com
connect: Network is unreachable
wusel@luggage:~$ traceroute www.google.com
traceroute to www.google.com (173.194.116.114), 30 hops max, 60 byte packets
1 nslug-1.uu.org (192.168.5.245) 3.739 ms 3.678 ms 5.346 ms
2 FB-VDSL-GTSO.uu.org (192.168.177.1) 5.401 ms 5.873 ms 6.010 ms
3 87.186.224.81 (87.186.224.81) 24.297 ms 24.601 ms 25.216 ms
[…]
12 64.233.175.143 (64.233.175.143) 43.827 ms 42.019 ms 43.152 ms
13 fra02s27-in-f18.1e100.net (173.194.116.114) 41.610 ms 43.001 ms 40.488 ms

Habe aber keine Ahnung, wie man ein fdXX-Mesh dahinter versteckt …

Ja, das man eine IP bekommt wusste ich. Mir ist aber auch nicht klar was ich mit der anfangen kann.

Also wenn ich das richtig verstanden habe, bekommt man natürlich eine ipv6, aber keine globale, sprich man kann die Router nicht einfach von außerhalb des FF-Netzes erreichen.

Nach ein bißchen googlen …

ip6tables -t nat -A POSTROUTING -o mullvad -j MASQUERADE

… und dann:

traceroute to www.google.com (2a00:1450:4001:808::1011) from fd39:e4e3:eee1:aa9::4242, 30 hops max, 16 byte packets
 1  fd39:e4e3:eee1:aa9:: (fd39:e4e3:eee1:aa9::)  115.218 ms  54.03 ms  54.372 ms
 2  fdf1:5fb9:3374:72:: (fdf1:5fb9:3374:72::)  76.002 ms  75.508 ms  76.07 ms
 3  2a00:c98:2050:a006::2 (2a00:c98:2050:a006::2)  77.259 ms  76.879 ms  76.416 ms
 4  2001:c98:2050::4 (2001:c98:2050::4)  77.181 ms  89.594 ms  75.475 ms
 5  ffm-b11-link.telia.net (2001:2000:3080:afe::1)  76.592 ms  79.247 ms  76.778 ms
[...]
14  2001:4860::1:0:4ca2 (2001:4860::1:0:4ca2)  164.469 ms  95.773 ms  93.32 ms
15  2001:4860:0:1::6ef (2001:4860:0:1::6ef)  93.18 ms  92.041 ms  108.243 ms
16  2a00:1450:4001:808::14 (2a00:1450:4001:808::14)  91.04 ms  89.487 ms  86.973 ms

Also, gehen tut das … ist halt das, was man auch bei IPv4 möchte/bekommt. Ob NAT bei IPv6 nun toll ist, nunja :wink:

das wäre natürlich nicht so schön. Gerade auch für eben wieder neu gewonnene Standorte und die Kontakte zur Stadt.

Ja, ja mir ist natürlich bekannt: Internet ist nur ein Dienst… Aber gerade am Anfang sieht es in der Praxis vor Ort halt anders aus. Aber das wäre jetzt ein weiteres Thema :wink:

Habe jetzt auch mal einen Server zusammengeschustert, der prinzipiell wohl auch funktioniert. Meine Exit Tunnelanbindung ist nicht so toll, aber zur Überbrückung für 22 Knoten sollte es besser sein als nix.

In der Rader Firmware ist ja ein public fastd Key für rade1 hinterlegt. Dazu benötige ich, für den hoffentlich nicht eintretenden Ernstfall, noch den zugehörigen Privat-Key, damit die Knoten sich auch mit dem Notfallserver verbinden.

Die Adresse rade1.rade.freifunk.net müsste dann aber auch noch auf diesen Not-Server zeigen. Wird das in Wupper konfigruriert, oder macht das freifunk.net? Hallo @solo, ist da schon was passiert, oder soll ich mich selbst an die Berliner wenden? Im Moment geht der Ping jedenfalls noch nach Berlin.

Alternativ könnte man natürlcih auch ein Firmwareupdate mit den „neuen“ fastd Daten machen . Firmware erstellen hab ich mir aber noch nicht beigebracht. Da brauch ich dann noch mal die Hilfe von Wupper. Und deren Signatur muss das dann ja eh freigeben, solange unsere Rader da noch nicht hinterlegt ist. Bzw. hab ich auch noch keinen Updateserver aufgesetzt.

Alles ein wenig Knapp. Am Donnerstag geht der Monat ja schon zu ende :frowning:

1 Like

Tja, ich kann das nicht weil mir ein Update zum Ändern der Autoupdateserver verwehrt wurde mit der Begründung „wir müssen eh bald die MTU ändern“. Damit wird wohl Burscheid ohne Internet auskommen müssen. In Leichlingen habe ich alle Router manuell geflashed und meines Wissens hat @mocca das in BGL auch gemacht.
Auch auf die DNS-Einträge habe ich keinen Zugriff.

ist ja toll, dass ich das jetzt auch erfahre. Meine Begeisterung über diese Informationspolitik hält sich in Grenzen

1 Like

Thema „auf eigenen Füßen stehen“

Desswegen haben wir alle fastd Gateway DNS einträge mit nem CNAME eintrag selber in unserem DNS und haben diese in der Firmware.

Wir könnten einfach die DNS einträge ändern ohne die Firmware anfassen zu müssen

2 Likes

mir scheint, dass unsere DNS-Einträge eine TTL von einem Tag haben, das ist Im Notfall ein Wenig lang.
Eine Stunde (TTL=3600) fänd ich schon viel.
Die A-Records bei Wupper haben eine TTL von 5 Minuten, das sollten wir auch wagen :wink:

1 Like