Sichere Seiten lokal ausleiten

@kdeiss
Fortsetzung der Diskussion von FF-Wuppertal nicht mehr funktionsfähig / Bitte um Asyl:

Kannst du das mal so grob umreißen, dass man es nachbauen kann? Das würde mich sehr interessieren.

Ja gerne.

Also das zentrale Gateway was die User benutzen ist ein OpenWRT (Lede). Dort gibt es eine LAN/WLAN Bridge und zwei WAN Interfaces. Diesen OpenWRT habe ich an zwei Stellen (zwei Installationen) am Laufen. Einmal realisiert mit einer Hardware einmal als VM.

Der FF Router geht WANseitig in einen Telekom Router. Das Lan Interface kommt an ein WAN Interface des OpenWRT. Das zweite WAN Interface des OpenWRT wird direkt mit dem Telekom Router verbunden.

Im OpenWRT hast Du nun zwei WANs die sich per DHCP konfigurieren und zwei WAN IP’s. Dann installiert Du das Paket MWAN. Das iist eigentlich ein Loadbalancer. Den konfiguriert man nun so das er im Zusammenspiel mit dem Paket DNSMASQ den Verkehr aufteilt.

Ich habe das so gemacht das ich eine Excel Datei pflege in der ich meine Hosts eintrage (auf verschieden blättern). Aus dieser Datei generiere ich CSV files, die ich anschliessend mit scripten (auf dem OpenWRT laufend) in die Konfiguration vom DNSMASQ „injeziere“.

Im Prinzip recht einfach aber schon eine arge Bastelei bis das wirklich funktioniert. Bei einer der beiden Installationen habe ich den Mechanismus noch etwas optimiert. Dort werden die angefragten Hosts aus den Logfiles des DNSMASQ extrahiert. Werden Hosts über einen definierten Schwellwert oft angefragt, so werden diese automatisch in die Config injeziert. Aber das kann natürlich ins Auge gehen …

Wie gesagt bei der Strafgefangenenhilfe habe ich im Moment ein Ratio von 40 zu 60. (40 ausgeleitet über das Telekomnetz), aber die gucken natürlich unheimlich viel porn und was weiss ich nicht was die sich noch alles laden, möchte ich gar nicht so genau wissen…

Wenn du das nachbauen willst müssten wir uns mal überlegen wie ich Dich dabei unterstützen könnte. Meine Scripte usw kannst Du gerne haben.

Grup
Klaus

1 Like
  • Netzneutralität
  • Auf Youtube/Facebook/whatever kann man auch illegale Videos hochladen / illegale Kommentare verfassen / etc.
    […]

Jetzt geht das wieder los. -.-

Ist doch bums ob da mit den erwähnten APs gemeshed werden kann oder nicht.

Woher weiß du ob da nicht zusätzliche Outdoor Mesh aps angebracht sind.

Netzneutralität lustig… Bestimmte Seiten schneller machen einfach um dem User eine bessere experience zu bieten wieso bitte soll das verkehrt sein?!

Nun kann man an den Thread wieder einen Haken machen. Danke!

1 Like

Ein jeder Provider routet dort wo er der Meinung ist, das bessere/billigere/sinnvollere Peering zu haben.
Genau das ist die Kernaufgabe des Providerseins: Routen optimieren, Uplinks zu verschiedenen anderen Systemen unterhalten.
Von daher halte ich den Ansatz „nach best Effort“ Dinge zu verschiedenen Uplinks zu geben nicht nur für legitim, sondern sogar für ausgesprochen clever.
Es ist zudem ein Kompromiss zwischen dem was im Westen üblich ist „alles über’s Gateway der Community“ (und dann evtl. „über das Gateway von FFNW/FFRL“)
Und dem was in Berlin, Rostock oder Dresden (meines Wissens) schon immer propagiert und nach Abschaffung der StörrerInnenhaftung auch praktiziert wird: Ausleitung direkt auf der Broadband-IP des Knotenbetreibenden.

Zur Technik: Der Ansatz mit dem Openwrt(LEDE)-MWAN ist praktikabel.
Von Freifunk-Frankfurt gab es (schon 2015, von den Geflüchteten-Großunterkünften) eine Version „Direkt für den den Gluon-Futro“ bei der dieser schon nach dem Ziel-AS des Traffics schaut und entsprechend dann entweder direkt herausnatted oder eben in den VPN-Tunnel zum FF-Supernode gibt.

PS.: ich habe diesen Thread gefunden auf der Sucher nach dem ffffm-package…

3 Likes

Das geht in SSID-per-Node-Netzen ja auch vollkommen unkritisch (jede Installation ist eine Insel, früher mit Internet-Uplink via vpn03, heute halt ggf. direkt oder über eigenen Mullvad-Exit).

In batman-basierten Netzen macht lokaler Exit das Roamig karpott, weil: funktioniert nur für one-shot-Dienste. Wobei, eigentlich kann das in batman-basierten Netzen gar nicht funktionieren, denn das (IPv4-) Default-Gateway ist zwingend das weit entfernte Gateway in irgendeinem RZ. (In dem Fall wäre es auch außerhalb des PPA, denn das betrifft ausdrücklich Gatewaybetreiber nicht.)

Was meinem Verständnis nach @kdeiss baut, ist ein Hotspot-Netz, welches als (partiellen) Uplink ein (batman-adv-) Freifunk-Netz nutzt.

Aus Freifunk-Sicht ist das ein kaskadierender Router, (Freifunk-) IPv6 dürfte dort nicht angeboten werden können (nicht ohne IPv6-NAT jedenfalls), Zugriff aus dem Freifunk-Mesh auf die Clients im Hotspot-Netz dürfte nicht möglich sein (andersrum, NAT sei dank, schon).

Die Nutznießer finden es bestimmt toll, in der WLAN-Wüste Deutschland ›wenigstens‹ das zu haben. Aber mit Freifunk hat das im Grunde nichts mehr zu tun, das ist ein Hotspot-Netz mit Freifunk-Uplink; ob das im Sinne der lokalen Community ist, ist dort zu entscheiden …

Lokale Ausleitung in zentralistischen Frickelnetzen ist leider die die Quadratur des Kreises …

1 Like

Das Roadming ist in Batman-Netzen „über Knoten hinweg“ ist sowieso eine Fiktion.
Es war mehr als 6 Monate (10?) in Batman-Releases (irgendwo zwischen 2015 und 2016.2) KOMPLETT defekt und es hat offensichtilch niemanden gestört. Es gab zumindest nichtmal Issues/Tickets dazu. Wurde eher zufällig entdeckt.

Will sagen: Es bringt wenig, aus Idealismus eine Technik hochzuhalten, die faktisch niemand nutzt (oder mit deren Fehlen sich die Meisten irgendwie abgefunden haben, heute schon.)

Dass es in Babel-Netzen zukünftig hoffentlich einfacher wird, nahezu beliebig viele Exits hineinzuhängen (die dann wie ein echtes AS entscheiden können, was sie wohin routen): Freut, ist aber eine langfristige Perspektive.

Prinzipiell interessnant ist auch ALT-ESC, das Gluon-Package das es ermöglicht, einen lokalen Exit zusätzlich im lokalen Mesh anzubieten:

Ich bin es ehrlich gesagt leid, das Dinge als Utopie abgekanzelt werden, weil es aus eigenem Standpunkt bequemer ist. Dein Punkt betrifft ausschließlich experimentierfreudige Communities, die frühzeitig auf Batman v15 aufgesprungen sind und die sich mit dessen Kinderkrankheiten arrangierten.
V14-Communities, deren Batman-Code aus 2013 stammt, hatten mithin dieses Early-Adopter-Problem nicht — und die v15-Communities ggf. durchaus größere Probleme (VM-Crashes), als dieses Detail zu bemerken.

Als noch-immer-v14-Nutzer jedenfalls bin ich mir ziemlich sicher, daß das Roaming funktioniert. Das hat nichts mit ‚Idealismus‘ zu tun, sondern mit Umsetzung technischer Notwendigkeiten. Schließlich kann man ohne dies Feature, nein, müßte sogar, sich den ganzen Aufwand, den der batman-Rotz mit sich bringt, auch schenken, da fährt man mit dem Berliner Ansatz oder dem von Libremesh besser.

Korrigiere mich, aber das kann dann auch nur mit einem AS und einem Präfix pro Mesh erfolgen (und bei IPv4 wg. NAT weiterhin nicht). Lokaler Exit in DTAG-, UM- usw. -Netz bricht weiter (TCP-) Verbindungen beim GW-Wechsel.

1 Like

Doch kann es. Aber Babel ist aber hier nicht Thema.

Was das Client-Roaming anbelangt:
Wir haben in der beschriebenen Community (Ursprung wie auch derzeitiger Aufenthaltsort) eine Originator-Interval von 12000ms.
Damit ist zumindest für die meisten TCP-Dienste (YMMD) die Session beim Roaming bereits im Timeout wenn Batman dann nach realistischem „org-interval*2“ (also 20+ Sekunden) die Pakete schlussendlich nach Update der TG-Tabellen auf allen beteiligten Routern umroutet an den neuen Knoten, der sich nun für die Client-MAC zuständig fühlt.

Aber wie bereits dargestell, und um Dein Steckenpferd „Client-Roaming“ zu bedienen: Das Roaming-Szenario innerhalb eines Gebäudes wird durch „echtes Layer2-Netz von APs“ deutlich besser gewährleistet.

Von der eigentlichen Fragestellung „Verschiedene Dienste zu unterschiedlichen Uplinks leiten“ haben wir uns jetzt wieder komplett entfernt.

Die Selektion dessen was man als „direkt ausleiten“ (vulgo: „sicher“ im Sinne von „Risiko akzeptabel“) und was über das VPN-Gateway der Community ausleitet. (Und auch dort könnte man wieder die Untescheidung treffen „was geht direkt vom Supernode zum Hoster raus, und was weiter z.B. zum FFRL“):
Diese Entscheidung ist zumindest angesichts der Diversität der CDNs einiger Anbieter nicht ganz banal, insbesondere wenn’s um Traffic-Magnete wie „Portale der Erwachsenenbildung“ geht.

Und da hilft dann auch das Filtern nach AS nicht weiter.
Falls also dort jemand Input/Vorlagen/Vorschläge haben sollte: Willkommen!

Schön, daß wir dieses Allgemeinwissen noch mal kommuniziert haben; von inhouse war nicht die Rede. Sondern genau von dem Fall, der auch für die …

… in L2-Netzen auf Batman-Basis relevant ist. Ausleitung am Knoten macht diese Verbindungen bei Knotenwechsel zwingend kaputt. Das halte ich wichtig, im Auge zu behalten, wenn man dies in Erwägung zieht. Bei @kdeiss ist das nicht relevant, da sein Unternetz mit eigener SSID ein eigenes L2-Netz ist. Eine Ebene höher, im eigentlichen Freifunk-Mesh – und ich denke, daß @Tarnatos daran initial dachte –, ist das mit großen Einschränkungen verbunden.

Nein, Tarnatos wollte wissen, wie man soetwas konkret bauen kann.
Es ging dem Threadstarter, wenn ich seine Antwort richtig verstanden habe, gerade NICHT um den Derail, um den Du Dich hier hier so nachhaltig bemühst.

Aber um es nochmal in Erinnerung zu rufen:

Die Frankfurter konnten auf Nachfrage zumindest gleich den Link zu den Puttet-Scripten zeigen, die so etwas auf den Supernodes gemacht haben.
(Die Routingen auf den Futros in lokalen Wolken waren ähnlich)

Lieber „Ludger“, dann ist es ja gut, dass genau hier nicht stattgefunden hat.
Traffic-Analays benötigt selbstverständlich tools und verfolgt das Ziel eines Best-Effort.
Einfach nur „Augen zu und irgendwas tun, notfalls Geld&Bandbreite draufwerfen“ ist die Steckdosen-Funkerei, die weder Funkamateure, noch Freifunkende wirklich wollen.
Zum Betrieb eines Netzes gehört es, Dinge zu optimieren. Und das geht nicht ohne Daten.
Datensparsamkeit und Wahrung der Privatsphäre gehört natürlich dazu. Aber wenn es um Optimierung oder gar Fehlersuche (bei falsch zusammengesteckten Routern oder falsch konfigurierten Selbstbau-Firmwares) geht, da kommt kein verantwortliches Freifunk-Netz vorbei, Traffic-Analysen zu machen und schlussendlich dann auch Payload anzuschauen. ist halt so.

Aber wenn man das ganze nicht über den Umweg „csv&Excel“ machen möchte, dann empfehle ich die Scripte der Frankfurter.

Ludger Mattes oder wie auch immer du heißen magst.

Geh einfach wir wollen dich hier nicht und können auf deine Beiträge gerne verzichten.

Danke.