Unifi + 1043 als Uplink

Hallo,

Ein Thema wäre dafür zwar nicht notwendig gewesen, muss die Frage aber mal kurz stellen für meine Absicherung.

Eine Gaststätte mit Aussenterasse möchte Freifunken. Über die Terasse hinaus ist direkt unser Marktplatz, den möchte ich ihm mit verargumentieren.

Was ich mir vorstelle:

Wireless Uplink Methode
Unifi (Mesh VPN aus)
mit Wireless Uplink zum 1043 direkt daneben.

Frage dazu: Kann/Sollte ich das Client WLAN am 1043v2 ausschalten, sodass der sich auf VPN arbeit konzentrieren kann? Ist das „Autoupdate-sicher“?

verkabeltes Uplink
Unifi (Mesh on wan / meshVPN aus)
1043v2 (Mesh on LAN - gelbe Ports)

Frage hierzu: Weiß jemand ob ein Autoupdate die einstellung Mesh on Lan killt? Die gelben Ports laufen ja per default als Clientports und meshen ohne Konfiguration „Mesh on Lan“ nicht…

Danke

Das was die reine Verwaltung einer handvoll WLAN-Clients an CPU-Last erzeugt, wird dir den VPN-Durchsatz nicht in den Keller ziehen (geschweige denn merklich beeinflussen). Update-persistent ist das Deaktivieren der WLANs ohnehin nicht. Hier macht Gluon z.Z. die Annahme „Ich will meshen, also brauche ich WLAN!“ und wird bei einem Versionssprung (genauer beim First-Boot nach dem Update) wieder minimale Defaults herstellen, um u.a. ein Meshing über’s WLAN zu gewährleisten). Ein manuell konfiguriertes Mesh-on-LAN ist hingegen update-persistent.

Zur Deaktivierung des WLANs auf dem TL-WR1043NDv2: Man könnte argumentieren, dass man dadurch nun Air-Time spart bzw. nicht zur „Luftverschmutzung“ beiträgt und damit den UniFi nicht bei seiner Arbeit stört. Umgekehrt kannst Du aber auch nur das Mesh-Radio auf dem TL-WR1043NDv2 deaktivieren und dort das Client-WLAN auf einer (weit) von eurem Standard-Kanal entfernten Frequenz betreiben, um wenigstens einige Clients vom UniFi abzuziehen, damit der sich als interessanterer Mesh-Partner für die Außenwelt auf diesen Job konzentrieren kann (und nicht unnötig viel Zeit beim Bedienen unzähliger, nur mäßig empfangbarer Clients verbrät). Das WiFi-Mesh ist eigentliche die Baustelle, die es zu optimieren gilt - nicht der VPN-Durchsatz. :wink:

Mesh on LAN hört sich schonmal gut an. Das wäre die Kabelvariante. Falls das Möglich ist (Beschaffenheit in der Gaststätte ist mir noch nicht klar)

Zur Wirelessvariante:
Falls Verkabelung nicht möglich oder unschön anzusehen ist werde ich darauf ausweichen. Allerdings würde ich den 1043 nach wie vor nicht als Client Node einsetzen wollen, da gerade die Unifi für sein händelbares Clientaufkommen bekannt ist. Wenn Client WLAN sich im Autoupdate immer wieder einschaltet…muss ich das so hinnehmen…

Hmm, also nimm es mir nicht übel, aber das klingt jetzt eher so, als wenn Du das technische Konzept noch nicht so ganz umrissen hast. Auch Ubiquiti kann hier letztlich nur mit dem gleichen Wasser kochen, wie andere Hersteller auch - oder besser „in der gleichen Luft“. Allein aus der Tatsache, dass Ubiquiti draufsteht und es das doppelte kostet, begründet sich i.A. nicht, dass die Clientzahlen an derlei Geräten in der Karte häufig größer sind. Das kann dir auch TP-Link so liefern.

Auf Gründe dafür brauchen wir jetzt nicht eingehen, aber vielleicht überlegst Du dir einfach mal, warum ein „Alle auf den UniFi!“-Setup im Grunde sogar eher kontraproduktiv für dein Netz ist - gesetzt dem Fall, dass Du mit Mesh-over-Wire (aka. {L,W}an) arbeiten kannst. Auch in UniFis steckt nur ein physikalischer WLAN-Adapter auf dem jedoch 2 WLAN-Netze gefahren werden. D.h. irgendwo/durch irgendwen muss eine Entscheidung getroffen werden, wann welches Netz bedient wird - parallel geht das nicht. Je mehr Clients Du dir auf einen Knoten ziehst, desto eher wird dir das ad hoc WLAN „verkümmern“ oder durch Clients zerschossen (weshalb es letztlich mit zu den Best Practices gehört, hochfrequentierte Knoten über Kabel oder 5GHz-Links an das restliche Mesh anzubinden). Mal abgesehen davon, dass dann weiter entfernte Clients möglicherweise zu mehr Retransmissions führen und sich das Problem dann nochmals potentiert. Diese Schmerzen kannst Du dir im Zweifelsfall mit zwei kleineren WLAN-Zellen, auf die sich die Clients verteilen können, mit unterschiedlichen Frequenzen auch ersparen und in der Folge WiFi-Mesh-Pfade für B.A.T.M.A.N. interessant halten.

Achte bei deinen Installationen vielleicht besser auf Optimierung hinsichtlich des Mesh-Potentials (nach außen). Das VPN zu den Gateways ist aus Gründen ™ mehr oder minder eh ziemliches „Teufelswerk“ und gefühlt irgendwie mehr ein Behilfskonstrukt. Zudem sind Clients mobil und setzten sich zur Not auch an den Tisch zwei Meter weiter - andere Knoten in der Nachbarschaft können das halt nicht.

stimmt ich lerne noch, finde aber die Infos nur puzzlehaft… :smile:

Ganz konkret würdest du also Kabelvariante zwingend empfehlen? bzw. welche Lösung würdest du vorschlagen?
Wie machen denn die anderen Knoten das im Mesh Netzwerk über Luft? Alles kontraproduktiv?
Welche Chancen hat dann der Technikdoofe der Freifunk machen will?

verstehe ich nicht…

Schlimmer als „puzzlehaft“ ist teils allerdings noch die Vermischung von Informationen zu WLAN in den unterschiedlichen Standards und lokalen Regulatorien. :smiley: Ist leider sehr mühsam das alles auseinander zu pflücken. Aber der „Technikdoofe“ wird wahrscheinlich

(a) eigenständig etwas aufbauen, mit dem er auf die Nase fällt und holt sich dann erst erst Rat
(b) eigenständig etwas aufbauen und dann glauben, dass einfach nicht mehr rauszuholen ist
(c) eigenständig etwas aufbauen, Freifunk dann scheiße finden und es nie wieder anfassen
(d) holt sich vorher Rat bzw. tauscht mit anderen Erfahrungen aus

Das wären jetzt die Optionen, die mir so spontan einfallen würden - wobei (c) irgendwie die blödeste aller Möglichkeiten wäre. :wink: Für gewöhnlich sind weniger technisch ambitionierte Freifunker aber auch eher erstmal in den eigenen vier Wänden aktiv, wo die „Anforderungen“ eben auch überschaubarer sind (wobei auch das im Backend-Betrieb mitunter zu Herausforderungen führt). Das Gute ist doch, dass die Einstiegshürde an und für sich recht gering ist und man dann Schritt für Schritt sein Wissen aufbauen kann. Freifunk dreht sich in seiner edukativen Komponente ja auch darum, den Menschen zu vermitteln, wie sie Datennetze aufbauen können und wie sie sich in diesen verhalten sollten (und welche Gefahren hinter der „Monokultur“ kommerzieller Netzanbieter stecken - das wäre aber ein weniger technischer Aspekt ;-)). Kurzum: Freifunk ist das „digitale Kartoffeln pflanzen“ des 21. Jahrhunderts. :smiley:

Aber das sollte ja auch kein Vorwurf sein, sondern zum Denken mit anregen. Zu deinen Fragen:

Das ist eine Frage der zu erwartenden Clientzahl. Der Erfahrungswert bei dem es für B.A.T.M.A.N. anfängt eng zu werden, liegt zwischen 80-100 Clients an einem Knoten mit moderater Nutzung. Ich will jetzt nicht behaupten, dass sich das nicht wohlmöglich noch optimieren ließe, aber da hab’ ich jetzt ad hoc auch keine Patentlösung (geschweige denn eine allgemeingültige Lösung) zur Hand. Darüber hinaus dürfte aber dann Basteln angesagt sein, was man mit unterschiedlichen Ansätzen erreichen könnte:

(a) Mesh-on-(long)-Wire zu einem zentralen Knoten
(b) Mesh-on-(short)-Wire zu einem, nennen wir es mal, „Pair-Node“, bei dem einer ausschließlich Endgeräte bedient, der andere ausschließlich die Mesh-Verbindung unterhält; beide Geräte sind dabei über ein kurzes LAN-Kabel miteinander verbunden und arbeiten natürlich dann auf unterschiedlichen Frequenzen/in unterschiedlichen Bändern
(c) Dual-Band Hardware (Separieren von Clients und Mesh auf die Bänder)
(d) $your_creative_solution here („There is no silver bullet!“) :wink:

Hmm, dem ersten Teil kann ich gerade nicht folgen. Kannst Du das präzisieren? Es ist kontraproduktiv z.B. in dem Sinne, dass Du auch Clients die deutlich näher am TL-WR1043NDv2 sind, trotzdem mit auf den UniFi ziehen willst, womit dieser wiederum die ihm zur Verfügung stehende Air-Time auf noch mehr Clients (und das Mesh) verteilen muss (ergo, an die einzelnen Geräte pro Zeiteinheit weniger Daten übermitteln kann). Zudem wird die Verbindungsqualität zu weiter entfernten Geräten ja nicht gerade besser und die Kommunikation zwischen diesen und dem Knoten muss ggf. dann wiederholt werden (= noch weniger freie Air-Time). Die nahen Clients könnte der TL-WR1043NDv2 aber im Zweifel locker (und störungsarm) mitversorgen (wenn Mesh-on-Wire eine Option ist, dann kann er das einfach auf einem anderen Kanal tun, so kommen sich die beiden Geräte nicht ins Gehege; man kann da natürlich auch noch mit der Sendeleistung spielen, sodass sich die Zellen möglichst wenig überlappen). Die genannten Begründungen erheben jetzt allerdings keinen Anspruch auf Vollständigkeit. :wink:

Die Argumentation hinter deiner Hardware-Auswahl und deine Vorstellung zur Konfiguration ist stark Client-zentriert. Sinngemäß etwa: „Einmal Ubiquiti, weil die so schön mit Client vielen Clients können, und einen TL-WR1043NDv2, weil dieser für den Preis eine ziemlich hohe VPN-Leistung erzielt und damit möglichst viel Bandbreite hinten rausfällt - das sollte es bringen!“. Den 1043NDv2 zusätzlich zum Bedienen der Clients einzusetzen, um damit die UniFi zu entlasten und eine bessere Performance im WiFi-Mesh zu gewährleisten, ist für dich keine Option, weil die UniFi ja schon mit vielen Clients kann und Du sonst wohlmöglich noch ein, zwei Prozent VPN-Durchsatz opfern müsstest - OK, diese Einstellung hat sich vielleicht mit diesem Post bereits geändert. :wink:

Als Freifunker bauen wir nunmal Community-Netzwerke durch sich miteinander verbindenden WLAN-Geräten auf und spielen nicht die hippen Hotspot-Betreiber. Man sollte daher ein wenig darauf achten, dass man Installationen direkt so aufstellt, dass sie ein möglichst großes Potential haben mit den Nachbarn zu meshen. Die Betrachtung dabei also nur darauf zu fokusieren, wie man möglichst viele Clients abspeisen kann, ist IMHO der falsche Ansatz (und selbst da würde deine Variante vermutlich schlechter wegkommen). Wie oben erwähnt, sind die Clients flexibel und können sich zur Not 2 Schritte in Richtung des Knotens bewegen. Ein benachbarter Freifunker, der mit seinem Knoten gerne peeren würde (sind wir ehrlich, wir stehen doch alle drauf, wenn man mit jemanden in der Nachbarschaft mesht :D), ist andererseits spätestens durch die Scheibe vor seinem Fensterbrett eingeschränkt. Hinzu kommt, dass es einem Nutzer nicht direkt auffällt, ob seine WhatsApp Nachricht nun 0.5 oder 1 Sekunde braucht, um verschickt zu werden - für B.A.T.M.A.N. liegen da in der Pfadwahl allerdings Welten dazwischen.

Das Problem dieses „Installationstypus“ kaskadiert allerdings auch weit über die Installation vorort hinaus. Warum ich das Mesh-VPN mal flappsig als „Teufelswerk“ bezeichnet habe, ist einfach erklärt:

  1. VPN macht faul! In der Regel gibt es durch den VPN-Tunnel nur wenig Motivation aktiv an der Netzgestaltung zu partizipieren, indem man sich zum Beispiel über eine Dach- oder Außeninstallation mit weiter entfernten Wolken verbindet. Der gewünschte Dienst bzw. die gewünschte Funktionalität steht ja bereits zur Verfügung. Ohne diese alternativen Pfade werden die Gateways im Netzgraphen zwangsläufig zum überlasteten Nadelöhr und die gewünschte Unabhängigkeit zu den Netzen anderer ist so gar nicht erst zu erreichen (ganz im Gegenteil, die Abhängigkeit steigt eher noch).
  2. Natürlich können wir jetzt auch alle damit anfangen x86-Nodes zuhause als VPN-Uplink aufzustellen, um den VPN-Durchsatz lokal zu „optimieren“. Dann kommen wir schnell wieder dahin, dass sich jeder auch einfach einen MR3020 hätte aufstellen können, denn die Gegenseite - das Gateway - wird all den Traffic auch wieder dechiffrien müssen (eigentlich ist es schlimmer und das Netz fängt an zu Husten, aber lassen wir das mal außen vor). Alternativ wäre so vermutlich über ein Gateway-Knoten-Ratio in der Größenordnung 1:10 zu diskutieren. Um dir eine grobe Hausnummer zu geben: In einem Lab-Setup (ein TL-WR1043NDv2 über Kabel direkt an einem Notebook) reize ich einen Kern der CPU (i5-3320M CPU @ 2.60GHz) bei 25MBits/s bereits mit 9-10% aus. In einem 1:n-Szenario käme nochmal diverser Overhead hinzu, um zwischen n Peers hin und herzuspringen.

Aber gut, wenn alle TL-WR1043NDv2 im Netz effektiv nur noch auf Schleichfahrt laufen, bleiben genügend ungenutzte CPU-Zyklen übrig, um damit etwas wirklich sinnvolles für das Netz zu tun - mein innere Glaskugel deutet jedenfalls irgendwie darauf hin. ^^
Dennoch bleibt es der charmantere Weg Daten auch (oder insbesondere) über das WiFi-Mesh (ohne Crypto-Overhead) ableiten zu können und über mehrere Hops (und vorallem auf mehreren Pfaden) dann ggf. auf einem lokalen Gateway auszuleiten. Auch wenn das vorort noch mehr nach Zukunftsmusik klingen mag, die Planung solltest Du IMHO lieber „mesh-optimiert“ vornehmen.

Deshalb: Keep the big picture in mind. Denke in Meshes, nicht in Clients! Am Ende des Tages danken es dir beide.

PS: Ein echtes Netzwerk ist eines der stärksten Argumente dafür, dass es für Freifunk auch noch eine Zeit nach der Störerhaftung geben kann.

1 Like

Danke für deinen Aufwand aber vergeude bitte deine Zeit nicht für mich. Kurze Antworten reichen mir :wink:
Natürlich bin ich nicht darauf aus ein Internet-Hotspot Netzwerk aufzubauen.

Im Sommer würden wir vielleicht von 50 Clients maximum reden.
Ich werde es von den gegebenheiten her abhängig machen. Mein Ziel ist es außerhalb seiner Räumlichkeiten den Marktplatz mit zu versorgen, sodass man dann auch tatsächlich mit anderen Geschäften meshen könnte.

Ich habe nur die Sorge, dass bei hohem Clientaufkommen die Internetgeschwindigkeit zu drastisch in den Keller geht. Natürlich vermitttel ich alle Werte von Freifunk (außerhalb Internet als „Nice to have“). Für die Betriebe ist es aber in eigener Erfahrung der erste Türöffner und Aufhänger…das kann man drehen wie man will.

Luftmesh auf einem anderen Kanal (vorausgesetzt update persistent) wäre eine Option falls Kabel nicht geht.

Nicht durcheinander werfen. WiFi-Mesh und Client-Mesh auf demselben Knoten auf unterschiedliche Kanäle zu legen (falls nicht Dual-Band), wird nicht unterstützt. Sowas kannst Du über mehrere Knoten in einem Mesh-on-Wire Szenario bauen. Einen anderen Kanal zu wählen dürfte leider z.Z. auch wieder nicht update-persistent sein (gleiche Begründung wie oben schon).

Ansonsten gilt: Die gefühlte Performance am Endgerät kann in so einer Installation auch dann mies sein, wenn zu viele Endgeräte mit dem gleichen Knoten kommunizieren müssen, ohne dass dabei dein Uplink-Knoten ausgelastet ist. Dann ist u.U. einfach zu wenig Air-Time für die Kommunikation mit den einzelnen Endgeräte übrig. Deshalb kann das Verteilen auf mehrere kleine WLAN-Zellen (wie oben beschrieben) durchaus die bessere Wahl sein.

Und in der globalen Betrachtung kann aber auch aus dem breitesten Wasserhahn nur das rauströpfeln, was von einem zentralen Wasserwerk noch an die einzelnen Wasserhähne geliefert werden kann. Mit einer isolierten (bzw. nicht hinsichtlich des WiFi-Meshes auch zu Nachbarn optimierten) Installtion kann sich diese Situation sogar noch weiter zuspitzen. Denn das „Portal“ (Gateway in ein anderes Netz/Internet, um mal zur besseren Differenzierung 802.11s-Terminologie heranzuziehen) eines Endgeräts oder auch eines Knotens muss nicht das gleiche Portal sein, zu dem der Uplink-Knoten über den die Daten geleitet werden, eine VPN-Verbindung aufgebaut hat. In der Folge wird dieses VPN-Gateway (s.o., das ist konstruktionsbedingt eh schon ein Nadelöhr) diese Daten erst wieder zu einem anderen Portal/VPN-Gateway weiterleiten müssen und für alle fallen am Ende noch weniger Tropfen aus ihren Hähnen.
Auch das Risiko lässt sich aber mit einer Optimierung hinsichtlich des WiFi-Mesh-Potential der Knoten (nach außen in die Nachbarschaft) reduzieren. Denn sollte in erreichbarer Nähe ein Knoten stehen, der selbst direkt über eine VPN-Verbindung mit dem Ziel-Portal verbunden ist, dann kann auch dieser die Daten direkt dorthin schicken und das Inter-Gateway-Nadelöhr wird zum Wohle aller entlastet. Durch das Optimieren deiner Installationen bzgl. des Mesh-Potentials fügst dem Netzgraphen neue Pfade hinzu und erhöhst damit dessen Kapazität (bzw. legst den Grundstein dafür). Dein ursprünglicher Plan hatte diesen Charakter IMHO halt eher nicht.

PS: Da die Informationen hier im Forum nicht nur dir zur Verfügung stehen und beständig sind, „verschwende“ ich meine Zeit nicht nur an dich. Für die Frage, die Du gestellt hast, können wir im Grunde alle dankbar sein und es ist wichtig zu verstehen, dass wir - wenn jeder Einzelne in der Befürchtung, es könne sonst nicht genügend rausfallen, losrennt und lokal versucht seinen VPN-Uplink zu optimieren (z.B. sogar durch Einsparen der paar CPU-Cycles für das WLAN
wie in deinem Ansatz) - in der Summe als Gemeinschaft genau das Gegenteil von dem erreichen, was jeder Einzelne bezwecken wollte. Das bzw. die Hintergründe zu verstehen/vermitteln, ist IMHO eine relativ wichtige Sache, weshalb ich mir da auch einfach die Zeit nehme.

Also - für all die, die direkt zur Moral gesprungen sind: Gehet hin und bauet Meshes! :wink:

4 Likes

Ich danke dir schonmal!

Kann man das als generelle Empfehlung nehmen? „Meshes sind wichtiger als Uplinks“? Klar, im Mesh müssen auch vereinzelt Uplinks vorhanden sein.

Vielleicht könnten wir das noch mal in einem neuen Thread diskutieren.

@Imperator Lass mich das mal unerwartet beantworten. Nämlich nicht-technisch, denn den Part habe ich oben schon grob beleuchtet.

Zur Zeit tragen wir unsere (angebliche) Freiheit auf den Netzen anderer aus und wenn die ernsthaft damit beginnen Datentarife im Festnetz zu etablieren, die Netzneutralität zu untergraben, etc., dann sind wahrscheinlich binnen Tagen 90% der Uplink-Knoten keine Uplink-Knoten mehr. Nur mit eigener Infrastruktur (im Sinne von Fremdnetz-unabhängigen Meshes) kann Freifunk (als demokratisierte Netzinfrastruktur) der Gegenpol zur Monokultur kommerziell orientierter Netze sein/werden, durch welchen den Betreibern dieser Netze solche Ideen eher im Halse stecken bleiben. Und nein, darin ein Gegenpol zu sein, sehe ich trotzdem noch keine Konkurrenzsituation im wirtschaftlichen Sinne - eher eine Art Interessenvertretung von Bürgern wie wir beide. :wink:

Naja, sorry wenn ich mein Senf dazu gebe,
Wenn er ein Unifi hat, kann er dieses System auch mit bis 1000 weiteren Unifi Geräten erweitern.
Dafür wurden die Geräte entwickelt und können auch den neusten Gesetzentwurf mit Portalseite (ohne Störerhafung) erfüllen. Das ist für ein Gastwirt nicht schlechter, weil er kann auch gleich nach der Anmeldung seine Facebook Seite öffnen lassen. Pro Unifi Controller sind wohl ideal 60-90 Clienten pro Gerät zu planen. Ausgenommen von den Dualband Geräten die richtiges Geld (500) kosten.

[quote=„himen, post:12, topic:2982“]
Das ist für ein Gastwirt nicht schlechter,[/quote]

Aber schon für die Freifunk-Idee. Natürlich bietet die Standardfirmware von Ubiquiti viele nette Features, aber hier im Forum geht es eher darum, wie man auf Basis unserer Technologie freie Netze spannen kann (die in Form von eher wartungsfreien, stromsparenden Knoten dann möglichst in jedem zweiten Fenster der Stadt stehen).

Störerhaftungsfreie Accesspoints kann jeder Kneipier bei mindestens einer Handvoll Anbieter, gegen initialen Einwurf kleiner Münzen und einen monatilichen Obulus, sich holen. Derlei Netze werden i. d. R. aber nur bewußt genutzt, d. h. wenn ich in einem solchen Etablissement bin und meine mobilen Daten schonen will (oder keinen Mobilfunknetzempfang habe), dann nehme ich die Anmeldeprozedur auf mich. Danach wird das Netz aber wieder gelöscht, weil sich mein Telefon sonst damit immer wieder verbindet und ich dann offline bin: ohne Anmeldung keine Datenverbindung. Und ob der Gast, der nur schnell seinen Webmail-Zugang checken wollte, sich dann noch über die Zwangs-Facebook-Seite freut, ist ebenfalls fraglich …

Ja da stimme ich dir zu. Es ist auch ein Vorteil wenn in einer Stadt eine einheitliche SSID verwendet wird wie „Freifunk“. Eine günstige Lösung ist es sowieso. Für eine Kneipe ein UniFi System samt Controller laufen zu lassen ist auch nicht mal eben plug and play. Schon aufwendiger wenn nicht jemand in der Stadt ist der sich aus Hobby drum kümmert.

Anmeldeprozedur, das sind die Mangenten, das ist richtig grausam.
Nur ein Klick ins Internet reicht ja nach den Entwürfen nur „Ich treibe kein Unfug“ finde ich noch ok. Obwohl mein Wunsch auch ein einfaches offenes Netz, ggf. noch mit einem Filter war.