VPN bei größerem Freifunk Aufbau auslagern

Servus Miteinander!

Wir haben hier im Wohnheim ~50 Access-Points (DIR 825, TL-WDR4900 & TL-WDR7500), für unsere Bewohner schön per Radius Zugang.

Wir denken darüber nach Freifunk quasi als Besuchernetzwerk anzubieten. Daraus ergeben sich einige Fragen.

Kann man die VPN Funktionalität auf einen virtuellen Access-Point, der auf einem leistungsstarken Server liegt auslagern um die APs zu entlasten?
Das Mashing dort hin sollte dann natürlich nicht per Funk, sondern per VLAN auf dem eigentlich Uplink Port funktionieren. Funk Mesh soll dann nur für Geräte genutzt werden die nicht per Kabel erreichbar sind, z.B in der Nachbarschaft. Schafft Batman adv das?

Hat jemand schon mal etwas vergleichbares gemacht?

Schöner Nebeneffekt des zentralen VPN wäre, dass wir sehr leicht den Freifunk Traffic über eine nicht Hochschul Leitung routen könnten.

1 Like

Hi :smile:

Kurz gesagt: Ja das ist möglich, Batman-Adv verhält sich wie ein Ethernet-Switch und kann problemlos in VLANs verpackt werden.
An einem VPN Uplink sollte am besten die Batman-Adv Version die auch in der Firmware verwendet wird installiert werden. Diese hat im Gegensatz zur offiziellen Version noch zusätzliche Patches wie z.b. Split-Horizon unterstützung.
Dies sorgt dafür das Originator Messages aus dem VPN nicht auf dem VPN Interface (unnützerweise) erneut verteilt werden. Dies ermöglicht erst das Batman so wenig Meta-Traffic über das VPN schickt :smile:

Die Version gibt es hier zum downloaden:
Batman-Adv 2013.4.0

2 Likes

Ich hoffe, dass es mit Puppet da bald eine schlüsselfertige/Instant-Lösung gibt für genau obiges Szenario.

Hmm, das meshing nach außen muss über Kanal 3 stattfinden, ekelhaft!

Lokal habe ich das wegen dem mesh über Kabel nicht nötig und könnte daher sinnvolle Kanäle verwenden, das muss ich auch da doch einiges an Last auf dem WLAN ist.

Ich müsste also ein kleines Skript verwenden, um sobald es in der Umgebung die ssid wifi-mesh von einer nicht zu meinem Netz gehörenden bssid sieht auf Kanal 3 (oder besser auf den Kanal den die Gegenstelle verwendet) wechselt.

Irgendwie unschön, aber die Alternative am mesh nicht teilnehmen zu können gefällt mir auch nicht.

Wir verwenden Chef Zero für diese Setups, momentan konzentrieren wir uns auf die Backend Dienste wie Supernodes und Node-Registrar Dienst. Wenn wir soweit sind werde ich diese samt Anleitung bereitstellen. Damit kann man solche Setups quasi Schlüsselfertig machen :smile:

Alternativ soll „bald“ auch Gluon für X86 erscheinen, das wäre dafür natürlich wie gemacht :smile:

1 Like

Für x86 wäre natürlich super schick.

Im ersten Schritt will ich aber zunächst manuell konfigurierte APs mit gluon APs meshen lassen

Hier habe ich Probleme. Meine eigenen Geräte meshen miteinander, die Gluon Geräte auch.

Ich verwende barrier breaker (14.07, r42625) & Gluon 2014.3-stable-1

Mein Barrier breaker hat kmod-batman-adv_3.10.49+2014.2.0-1_mpc85xx.ipk, hier dürfte mein Problem liegen, oder?

Ich versuche es gegen später nochmal mit der Version von CyrusFox, sind euch noch andere Probleme im Zusammenspiel mit Stock openWRT bekannt?

Welche config Dateien muss ich anpassen:

batman-adv, network und wireless

fastd, macht vpn → nicht nötig
alfred, sendet infos an Netz → später
gluon-*, teilweise für alfred nötig?

1 Like

Die Version wird nicht funktionieren, Batman 2014.2.0 ist nicht kompatible mit Batman 2013.4.0 welches wir noch verwenden.

Auf den Nodes müssen keine Config-Files manuell angepasst werden und es ist auch abzuraten dies zu tun da diese beim nächsten Update aus der site.conf neu generiert werden. Du musst lediglich Mesh-On-Wan aktivieren und kannst dann einfach mit dem Wan Port direkt Batman sprechen :smile:

So einfach wird das nicht funktionieren. Ich möchte den Freifunk traffic in ein eigens VLAN auslagern, davon abgesehen muss der Uplink über einen beliebigen LAN Ports erfolgen. Wie der VLAN Teil funktioniert ist mir klar. Den Rest werde ich anhand der Config Files aus einem meiner Gluon Geräte stricken

Es wird hier auch keine automatischen Upgrades geben, da die Access Points kein Gluon bekommen werden. Ist das ein Problem solange die Geräte manuell gepflegt werden?

So, mit den Nodes bin ich durch. Gluon mit eigener Konfiguration backen geht, ist den Aufwand aber nicht wert. Das werde ich also in Zukunft mit Skripten machen die unsere Radius Dinge dazu packen.

Ihr habt mehrere Möglichkeiten für den VPN Gateway genannt, welche würdet ihr mir derzeit empfehlen?

Radius Dinge? Was genau hast du denn mit dem Setup vor?

So wie ich verstanden habe ist das ein ziemlich advanced Wohnheimnetz, das seine Hardware zentral administriert haben möchte. Da kann man sich das Leben auf unterschiedliche Methoden erleichtern (oder verkomplizieren.)
Radius kann man da durchaus für einige Dinge abrichten, für die es nicht gedacht war. SW-Rollout gehört sicher mit dazu.

Das advanced nehme ich natürlich gebauchpinselt zu Kenntnis :smile:

Wir möchten Freifunk nur zusätzlich für Besucher und Anwohner anbieten unsere Bewohner sollen weiterhin wlan mit WPA2 und login per Radius Server verwenden. Die Technik ist analog zu Eduroam falls das bekannt ist. Nur so können sie auch diverse Interne Dienste, wie das buchen von Räumen, Newsgoup, ipTV und vieles mehr nutzen.

Dazu kommen monitoring Dienste wie Munin, damit wir in Bereichen in denen das WLAN über lange Zeit stark genutzt wird gezielt zusätzliche Geräte aufstellen können.

Da wir hier inzwischen alles nach hochverfügbarkeits Gesichtpunkten auslegen möchte ich daher zwei VMs aufsetzten die für die Außenanbindung zuständig sind und den Traffic aus dem Freifunk vlan über das mesh on lan feature zu den ffrl Servern schaufeln.

Dafür suche ich noch nach einer Empfehlung, soweit ich es sehe kann ich entweder die passende Batman-Adv Version selber installieren und den Rest manuell konfigurieren oder Puppet nutzen, dessen Status ich nicht wirklich kenne.

Wozu würdet ihr mir raten?

@MrMM: melde Dich doch mal per PM bei mir :wink:

Wäre schön wenn ihr die Ergebnisse dann hier posten könntet.
Ich, und bestimmt auch andere, lesen still interessiert mit…
geht auch um das Festhalten von WIssen und so…

3 Likes