Sichere Seiten lokal ausleiten

anon68922371 · 29. Juni 2019 um 06:13

@kdeiss
Fortsetzung der Diskussion von FF-Wuppertal nicht mehr funktionsfähig / Bitte um Asyl:

Kannst du das mal so grob umreißen, dass man es nachbauen kann? Das würde mich sehr interessieren.

kdeiss · 29. Juni 2019 um 08:59

Ja gerne.

Also das zentrale Gateway was die User benutzen ist ein OpenWRT (Lede). Dort gibt es eine LAN/WLAN Bridge und zwei WAN Interfaces. Diesen OpenWRT habe ich an zwei Stellen (zwei Installationen) am Laufen. Einmal realisiert mit einer Hardware einmal als VM.

Der FF Router geht WANseitig in einen Telekom Router. Das Lan Interface kommt an ein WAN Interface des OpenWRT. Das zweite WAN Interface des OpenWRT wird direkt mit dem Telekom Router verbunden.

Im OpenWRT hast Du nun zwei WANs die sich per DHCP konfigurieren und zwei WAN IP’s. Dann installiert Du das Paket MWAN. Das iist eigentlich ein Loadbalancer. Den konfiguriert man nun so das er im Zusammenspiel mit dem Paket DNSMASQ den Verkehr aufteilt.

Ich habe das so gemacht das ich eine Excel Datei pflege in der ich meine Hosts eintrage (auf verschieden blättern). Aus dieser Datei generiere ich CSV files, die ich anschliessend mit scripten (auf dem OpenWRT laufend) in die Konfiguration vom DNSMASQ „injeziere“.

Im Prinzip recht einfach aber schon eine arge Bastelei bis das wirklich funktioniert. Bei einer der beiden Installationen habe ich den Mechanismus noch etwas optimiert. Dort werden die angefragten Hosts aus den Logfiles des DNSMASQ extrahiert. Werden Hosts über einen definierten Schwellwert oft angefragt, so werden diese automatisch in die Config injeziert. Aber das kann natürlich ins Auge gehen …

Wie gesagt bei der Strafgefangenenhilfe habe ich im Moment ein Ratio von 40 zu 60. (40 ausgeleitet über das Telekomnetz), aber die gucken natürlich unheimlich viel porn und was weiss ich nicht was die sich noch alles laden, möchte ich gar nicht so genau wissen…

Wenn du das nachbauen willst müssten wir uns mal überlegen wie ich Dich dabei unterstützen könnte. Meine Scripte usw kannst Du gerne haben.

Grup
Klaus

ChrisD · 29. Juni 2019 um 11:20

Netzneutralität
Auf Youtube/Facebook/whatever kann man auch illegale Videos hochladen / illegale Kommentare verfassen / etc.
[…]

anon68922371 · 29. Juni 2019 um 12:54

Jetzt geht das wieder los. -.-

Ist doch bums ob da mit den erwähnten APs gemeshed werden kann oder nicht.

Woher weiß du ob da nicht zusätzliche Outdoor Mesh aps angebracht sind.

Netzneutralität lustig… Bestimmte Seiten schneller machen einfach um dem User eine bessere experience zu bieten wieso bitte soll das verkehrt sein?!

Nun kann man an den Thread wieder einen Haken machen. Danke!

adorfer · 29. Juni 2019 um 15:00

Ein jeder Provider routet dort wo er der Meinung ist, das bessere/billigere/sinnvollere Peering zu haben.
Genau das ist die Kernaufgabe des Providerseins: Routen optimieren, Uplinks zu verschiedenen anderen Systemen unterhalten.
Von daher halte ich den Ansatz „nach best Effort“ Dinge zu verschiedenen Uplinks zu geben nicht nur für legitim, sondern sogar für ausgesprochen clever.
Es ist zudem ein Kompromiss zwischen dem was im Westen üblich ist „alles über’s Gateway der Community“ (und dann evtl. „über das Gateway von FFNW/FFRL“)
Und dem was in Berlin, Rostock oder Dresden (meines Wissens) schon immer propagiert und nach Abschaffung der StörrerInnenhaftung auch praktiziert wird: Ausleitung direkt auf der Broadband-IP des Knotenbetreibenden.

Zur Technik: Der Ansatz mit dem Openwrt(LEDE)-MWAN ist praktikabel.
Von Freifunk-Frankfurt gab es (schon 2015, von den Geflüchteten-Großunterkünften) eine Version „Direkt für den den Gluon-Futro“ bei der dieser schon nach dem Ziel-AS des Traffics schaut und entsprechend dann entweder direkt herausnatted oder eben in den VPN-Tunnel zum FF-Supernode gibt.

PS.: ich habe diesen Thread gefunden auf der Sucher nach dem ffffm-package…

wusel · 29. Juni 2019 um 23:55

Das geht in SSID-per-Node-Netzen ja auch vollkommen unkritisch (jede Installation ist eine Insel, früher mit Internet-Uplink via vpn03, heute halt ggf. direkt oder über eigenen Mullvad-Exit).

In batman-basierten Netzen macht lokaler Exit das Roamig karpott, weil: funktioniert nur für one-shot-Dienste. Wobei, eigentlich kann das in batman-basierten Netzen gar nicht funktionieren, denn das (IPv4-) Default-Gateway ist zwingend das weit entfernte Gateway in irgendeinem RZ. (In dem Fall wäre es auch außerhalb des PPA, denn das betrifft ausdrücklich Gatewaybetreiber nicht.)

Was meinem Verständnis nach @kdeiss baut, ist ein Hotspot-Netz, welches als (partiellen) Uplink ein (batman-adv-) Freifunk-Netz nutzt.

Aus Freifunk-Sicht ist das ein kaskadierender Router, (Freifunk-) IPv6 dürfte dort nicht angeboten werden können (nicht ohne IPv6-NAT jedenfalls), Zugriff aus dem Freifunk-Mesh auf die Clients im Hotspot-Netz dürfte nicht möglich sein (andersrum, NAT sei dank, schon).

Die Nutznießer finden es bestimmt toll, in der WLAN-Wüste Deutschland ›wenigstens‹ das zu haben. Aber mit Freifunk hat das im Grunde nichts mehr zu tun, das ist ein Hotspot-Netz mit Freifunk-Uplink; ob das im Sinne der lokalen Community ist, ist dort zu entscheiden …

Lokale Ausleitung in zentralistischen Frickelnetzen ist leider die die Quadratur des Kreises …

adorfer · 30. Juni 2019 um 00:33

Das Roadming ist in Batman-Netzen „über Knoten hinweg“ ist sowieso eine Fiktion.
Es war mehr als 6 Monate (10?) in Batman-Releases (irgendwo zwischen 2015 und 2016.2) KOMPLETT defekt und es hat offensichtilch niemanden gestört. Es gab zumindest nichtmal Issues/Tickets dazu. Wurde eher zufällig entdeckt.

Will sagen: Es bringt wenig, aus Idealismus eine Technik hochzuhalten, die faktisch niemand nutzt (oder mit deren Fehlen sich die Meisten irgendwie abgefunden haben, heute schon.)

Dass es in Babel-Netzen zukünftig hoffentlich einfacher wird, nahezu beliebig viele Exits hineinzuhängen (die dann wie ein echtes AS entscheiden können, was sie wohin routen): Freut, ist aber eine langfristige Perspektive.

Prinzipiell interessnant ist auch ALT-ESC, das Gluon-Package das es ermöglicht, einen lokalen Exit zusätzlich im lokalen Mesh anzubieten:

github.com/freifunk-gluon/gluon

gluon-alt-esc: add client + provider package

freifunk-gluon:master ← T-X:pr-gluon-alt-esc

opened 12:08PM - 13 Apr 17 UTC

T-X

+648 -0

The client package allows to create a new wifi interface with direct access to …the local Freifunk network but with alternative exit gateways for internet connectivity. A custom ESSID can be chosen. The provider package is the counterpart to the client package and configures the firewall of the selected Gluon node to grant permission to route packets between the client and wan zone. Note that the Gluon Alt-ESC provider package is not mandatory for the Gluon Alt-ESC client package. In fact, any client device in the mesh network can be chosen and configured to provide internet access for the Alt-ESC client package.

wusel · 30. Juni 2019 um 06:38

Ich bin es ehrlich gesagt leid, das Dinge als Utopie abgekanzelt werden, weil es aus eigenem Standpunkt bequemer ist. Dein Punkt betrifft ausschließlich experimentierfreudige Communities, die frühzeitig auf Batman v15 aufgesprungen sind und die sich mit dessen Kinderkrankheiten arrangierten.
V14-Communities, deren Batman-Code aus 2013 stammt, hatten mithin dieses Early-Adopter-Problem nicht — und die v15-Communities ggf. durchaus größere Probleme (VM-Crashes), als dieses Detail zu bemerken.

Als noch-immer-v14-Nutzer jedenfalls bin ich mir ziemlich sicher, daß das Roaming funktioniert. Das hat nichts mit ‚Idealismus‘ zu tun, sondern mit Umsetzung technischer Notwendigkeiten. Schließlich kann man ohne dies Feature, nein, müßte sogar, sich den ganzen Aufwand, den der batman-Rotz mit sich bringt, auch schenken, da fährt man mit dem Berliner Ansatz oder dem von Libremesh besser.

Korrigiere mich, aber das kann dann auch nur mit einem AS und einem Präfix pro Mesh erfolgen (und bei IPv4 wg. NAT weiterhin nicht). Lokaler Exit in DTAG-, UM- usw. -Netz bricht weiter (TCP-) Verbindungen beim GW-Wechsel.

adorfer · 30. Juni 2019 um 06:54

Doch kann es. Aber Babel ist aber hier nicht Thema.

Was das Client-Roaming anbelangt:
Wir haben in der beschriebenen Community (Ursprung wie auch derzeitiger Aufenthaltsort) eine Originator-Interval von 12000ms.
Damit ist zumindest für die meisten TCP-Dienste (YMMD) die Session beim Roaming bereits im Timeout wenn Batman dann nach realistischem „org-interval*2“ (also 20+ Sekunden) die Pakete schlussendlich nach Update der TG-Tabellen auf allen beteiligten Routern umroutet an den neuen Knoten, der sich nun für die Client-MAC zuständig fühlt.

Aber wie bereits dargestell, und um Dein Steckenpferd „Client-Roaming“ zu bedienen: Das Roaming-Szenario innerhalb eines Gebäudes wird durch „echtes Layer2-Netz von APs“ deutlich besser gewährleistet.

Von der eigentlichen Fragestellung „Verschiedene Dienste zu unterschiedlichen Uplinks leiten“ haben wir uns jetzt wieder komplett entfernt.

Die Selektion dessen was man als „direkt ausleiten“ (vulgo: „sicher“ im Sinne von „Risiko akzeptabel“) und was über das VPN-Gateway der Community ausleitet. (Und auch dort könnte man wieder die Untescheidung treffen „was geht direkt vom Supernode zum Hoster raus, und was weiter z.B. zum FFRL“):
Diese Entscheidung ist zumindest angesichts der Diversität der CDNs einiger Anbieter nicht ganz banal, insbesondere wenn’s um Traffic-Magnete wie „Portale der Erwachsenenbildung“ geht.

Und da hilft dann auch das Filtern nach AS nicht weiter.
Falls also dort jemand Input/Vorlagen/Vorschläge haben sollte: Willkommen!

wusel · 30. Juni 2019 um 07:33

Schön, daß wir dieses Allgemeinwissen noch mal kommuniziert haben; von inhouse war nicht die Rede. Sondern genau von dem Fall, der auch für die …

… in L2-Netzen auf Batman-Basis relevant ist. Ausleitung am Knoten macht diese Verbindungen bei Knotenwechsel zwingend kaputt. Das halte ich wichtig, im Auge zu behalten, wenn man dies in Erwägung zieht. Bei @kdeiss ist das nicht relevant, da sein Unternetz mit eigener SSID ein eigenes L2-Netz ist. Eine Ebene höher, im eigentlichen Freifunk-Mesh – und ich denke, daß @Tarnatos daran initial dachte –, ist das mit großen Einschränkungen verbunden.

adorfer · 30. Juni 2019 um 07:40

Nein, Tarnatos wollte wissen, wie man soetwas konkret bauen kann.
Es ging dem Threadstarter, wenn ich seine Antwort richtig verstanden habe, gerade NICHT um den Derail, um den Du Dich hier hier so nachhaltig bemühst.

Aber um es nochmal in Erinnerung zu rufen:

Die Frankfurter konnten auf Nachfrage zumindest gleich den Link zu den Puttet-Scripten zeigen, die so etwas auf den Supernodes gemacht haben.
(Die Routingen auf den Futros in lokalen Wolken waren ähnlich)

adorfer · 30. Juni 2019 um 17:33

Lieber „Ludger“, dann ist es ja gut, dass genau hier nicht stattgefunden hat.
Traffic-Analays benötigt selbstverständlich tools und verfolgt das Ziel eines Best-Effort.
Einfach nur „Augen zu und irgendwas tun, notfalls Geld&Bandbreite draufwerfen“ ist die Steckdosen-Funkerei, die weder Funkamateure, noch Freifunkende wirklich wollen.
Zum Betrieb eines Netzes gehört es, Dinge zu optimieren. Und das geht nicht ohne Daten.
Datensparsamkeit und Wahrung der Privatsphäre gehört natürlich dazu. Aber wenn es um Optimierung oder gar Fehlersuche (bei falsch zusammengesteckten Routern oder falsch konfigurierten Selbstbau-Firmwares) geht, da kommt kein verantwortliches Freifunk-Netz vorbei, Traffic-Analysen zu machen und schlussendlich dann auch Payload anzuschauen. ist halt so.

Aber wenn man das ganze nicht über den Umweg „csv&Excel“ machen möchte, dann empfehle ich die Scripte der Frankfurter.

anon68922371 · 30. Juni 2019 um 19:06

Ludger Mattes oder wie auch immer du heißen magst.

Geh einfach wir wollen dich hier nicht und können auf deine Beiträge gerne verzichten.

Danke.

michael.bartel · 1. September 2022 um 12:17

Hi. Ich habe mittlerweile schon mehrere Router bei uns im Dorf an Privatleute, Unternehmen sowie die Gemeinde verteilt. Leider ist der Datendurchsatz ziemlich bescheiden. Wir haben jetzt bei uns an immer mehr Standorten Glasfaser. Nur leider kommt das wegen der bekannten „Probleme“ nicht wirklich an.
Ich habe mich mal etwas schlau gelesen und mir ist schon klar das das an fastd also dem Tunnel, dem Gateway zum Internet oder der CPU des Knotens und, und, und liegen kann.
Lange Rede kurzer Sinn: Es macht für die Privaten und Unternehmen meines Erachtens durchaus Sinn da den Traffic durchs VPN an die Community zu leiten. Bei einigen Routern vor allem denen der Gemeinde oder irgendwelchen Vereinen (z.B. Sportverein) ist das ziemlich nutzlos. Deshalb wollte ich hier den Traffic direkt ausleiten.
Jetzt bin ich beim Googlen des öfteren auf Kommentare von dir gestoßen. Da ich keinen Zugriff auf die Infrastruktur also Gateways bzw Supernode etc habe, wollte ich jetzt erstmal das gluon-alt-esc ausprobieren. Wahrscheinlich reicht das für meine Bedürfnisse schon, wenn ich das an bestimmten Knoten einrichte.
Leider habe ich keine Ahnung wo und wie ich da anfangen soll? Ich will jetzt auch nicht unbedingt das firmware-image neu bauen. So wie ich den Code verstehe reicht es wohl auch, wenn man bestimmte Dateien an den richtigen Ort legt und ein paar include Anweisungen irgendwo anpasst.
Die Posts waren auch schon etwas in die Jahre gekommen. Vielleicht gibt es mittlerweile ja eine bessere Lösung.
Vielen Dank schonmal im Vorraus.

wusel · 2. September 2022 um 02:53

Ich bleibe bei »funktioniert nicht bei >1 Knoten in Funkreichweite«.

rotanid · 3. September 2022 um 00:47

dann muss man das aber bei jedem Update erneut manuell wiederholen… nicht gerade praktikabel?

adorfer · 3. September 2022 um 22:51

Ich habe das „Gluon Alt-Esc“ leider nicht als nutzbar gesehen.
Die Gluon-Maintainenden wollten es nicht. Und die ursprünglichen Proponenten haben dann auch das Interesse verloren (mangels Perspektive oder was auch immer)
Für mich daher keine Alternative.
Eventuell braucht die lokale Community Unterstützung (finanziell, personell), um wieder „speed“ zu bekommen.
Oder Du schaust nach einer weiter entfernten Community, die das leisten kann (und leisten möchte).