Freifunk Köln, Bonn und Umgebung - Benutzerbeiträge [de]

Server:Bonn

2025-04-02T13:45:31Z

Cptechnik: /* Bonn 4 */

[[Kategorie:Infrastruktur]][[Kategorie:Server]]
Physische Server mit der Bezeichung "Bonn x" { x = 4,6,7 }

== <s>Bonn 4</s> ==
:<s>Ein Geschenk, dass bald abgeschaltet werden könnte.</s>
: <s>ecovisio.de, Bonn</s>
: <s>81.173.204.217</s>
: <s>proxmox VMs:</s>
:<s>- 24 dns2</s>
:<s>- 44 umland2</s>
:<s>- 50 Bonn4sn</s>
:<s>- 52 node-ffrl2</s>

2025: Offline
== Bonn 6 ==
:hetzner.de Falkenstein
:gemietet (Thomas, Peter, Bonn)
:IP: 157.90.178.17
:proxmox VMs:
:- 100 - 63-node-ffrl1
:- 101 - 61-webproxy bonn6
:- 102 - 62-Bonn6 (Supernode
:- 103 - 64-umland1
:- 104 - 65-ansible
:- 105 - 66-updates
:- 106 - 67-dns1

== Bonn 7 ==
:hetzner.de Falkenstein
:gemietet (Thomas, Peter, Bonn)
:IP: 157.90.178.15
:proxmox VMs:
:- Supernode Bonn 7
:- 100 - 71-webproxy bonn7
:- 101 - 72-bonn7
:- 102 - 73-jenkins
:- 103 - 74-meshviewer

KBU-Nachbarn

2025-04-02T05:55:04Z

Cptechnik: /* Rhein-Sieg-Kreis */ Rhein-Sieg- nicht nur der Rhein-Sieg Kreis

Wer ist unser Freifunk-Nachbar?

== Überregional ==
* https://freifunk.net
** https://freifunk.net/wie-mache-ich-mit/community-finden/
** https://forum.freifunk.net
** https://wiki.freifunk.net
* http://www.freifunk-karte.de/

== Linksrheinisch ==
* [KBU] Euskirchen - https://ffeu.de/ (https://www.roots-at-eifel.net/)
* [KBU] Bad Münstereifel - https://badmuenstereifelaktiv.de/freifunk/ bzw https://www.roots-at-eifel.net/
* [KBU] Schleiden
* [http://freifunk-rheinbach.de/ Rheinbach]
* [FFRS] [https://freifunk-rhein-sieg.net/kontakt Meckenheim]

== Rechtsrheinisch ==

=== Kürten ===
* [https://www.facebook.com/FreifunkKuerten web]
* [https://wiki.freifunk-rheinland.net/wiki/K%C3%BCrten wiki]
* (verwaist) https://wifi-kuerten.de/firmware/

=== Hürth, Bedburg ===
=== Gummersbach ===
=== Neunkirchen ===

=== Rund um die Sieg ===
==== Troisdorf ====
[http://www.freifunk-troisdorf.de/ web] [https://wiki.freifunk-rheinland.net/wiki/Troisdorf wiki] [https://forum.freifunk.net/c/community/troisdorf/29 forum] [https://map.freifunk-troisdorf.de/ map]

Treffen:
* jeden 1. Dienstag/Monat, ab 19 Uhr. <s>AWO Troisdorf-Mitte, [https://www.openstreetmap.org/way/178490074 Wilhelm-Hamacher-Platz 12, 53840 Troisdorf]</s>
* wegen Corona: online mit Jitsi: https://meet.freifunk-rhein-sieg.net/communitytreffen <ref>https://freifunk-troisdorf.de/kontakt_treffen/ - abgerufen: 02:45, 2. Dez. 2021 (CET)</ref>
* slack

==== Hennef ====
[https://www.freifunk-hennef.de web/www] -
[https://map.freifunk-hennef.de map/wiki] -
[https://forum.freifunk.net/c/community/hennef/84 forum] -
[https://map.freifunk-hennef.de map/karte]

==== Rhein-Sieg ====
([http://www.freifunk-siegburg.de/ Siegburg], Sankt Augustin, Lohmar, Niederkassel, Windeck, Altenkirchen,... - nicht nur der Rhein-Sieg Kreis) 
[http://freifunk-rhein-sieg.net web/www]
[https://forum.freifunk.net/c/community/rhein-sieg/99 forum]
[https://map.freifunk-rhein-sieg.net/ map/karte]
[https://downloader.freifunk-rhein-sieg.net/ Firmware Downloader]

== Süden ==
* [https://freifunk-myk.de/ Freifunk MYK – Mayen-Koblenz] / [https://wiki.freifunk-myk.de/ Wiki]

[[Kategorie:Community]]

Meshviewer

2024-06-24T01:52:02Z

Cptechnik: Admin Informationen

HIER WIRD DRAN GEARB4IETET...!

Eine Übersicht unseres netzes bzw der betriebenen Router kann man unter der Adresse

<big>'''https://map.kbu.freifunk.net'''</big>

anschauen.

== Timeout-Zeiten ==
* Router offline
** Wenn ein Router ausgeschaltet wird, wird er nach ''1 Minute'' rot dargestellt
* Router verschwunden
** Router (in rot) werden nach ''7 Tagen'' von der Karte genommen.
* Links werden auf Grund ihrer Zuverlässigkeit angezeigt.
** Ist die Verbindung gut in grün,
** ist sie ausgefallen in rot, und
** je schlechter die Verbindung wird, je mehr ändert sich die Linkfarbe von grün in rot.

== Details zum Router ==

=== IP Adressen ===
Ein klick auf die IP Adresse öffnet die direkte Statusseite, die direkt vom Router kommt.

=== Symbolbedeutung ===
* Gruppe: Anzahl der Teilnehmer
* roter Punkt: 2,4 GHz Teilnehmer (Einstieg)
* gelber Punkt: 5 GHz Teilnehmer (Einstieg)
* türkiser (blau-grüner) Punkt: Teilnehmer die übers LAN oder anderweitig Freifunk nutzen

=== Verbindung ===
Hier werden die Mesh-Verbindungen aufgelistet, ob per Funk oder übers LAN (Netzwerksymbol) oder WAN oder per VPN (Wiregurard)
.

== Mögliche Fehlermeldungen ==
Falls die Karte mal hängt, also ein JSON Fehler angezeigt wird, kann es sein dass der Euskirchener Server die Daten nicht bereitstellt, das passiert schonmal.

Am besten den Admins Bescheid geben (matrix oder zur Not Mailingliste)!

( Wer die Debug-Konsole vom Browser öffnet wird unter Netzwerk sehen, dass dort eine Datei nicht oder mit großer Verzögerung geladen werden kann. )

== Admin Informationen ==
* läuft auf [http://Server:Bonn Bonn] 7

[[Kategorie:Karte]]
[[Kategorie:Map]]
[[Kategorie:Netzdesign]]

Benutzer:Cptechnik/Hardware

2024-06-11T17:55:48Z

Cptechnik: 34

<noinclude>
Diese Seite dient als Subseite und wird includiert
</noinclude>
<nowiki>https://kbu.freifunk.net/wiki/index.php?title=Benutzer:Cptechnik/Hardware</nowiki>
[[Benutzer:Cptechnik/Hardware|https://kbu.freifunk.net/wiki/index.php?title=Benutzer:Cptechnik/Hardware]]

{| class="wikitable sortable"
|-
! CP-ID !! 2/5 Ghz !! Gerät !! Hood offz !! FastD/ Wiresh. !! Version cp !! Version offz
!Kommentar
|-
| cpt00 || 2 || TP-Link TL-WA901N || KBU Hood Bonn V2 || FastD|| v2021.1.2-FastD || v2021.1.2-FastD / gluon-v2021.1.2
|
|-
| cpt01 || 2 || TP-Link CPE210 v1.1 || KBU Hood Bonn || <big>Wiresh</big>|| v2021.1.2+ || v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
| cpt02 || 2 || TP-Link CPE210 v3.0 || KBU Hood Bonn || <big>Wiresh</big>|| v2021.1.2+ || v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
| <s>cpt03 ||align=right| 5 || <s>TP-Link CPE510 v1.1</s> || <s>KBU Hood Umland</s> || <s><big>Wiresh</big></s> || <s>2016.2 </s> || <s>2016.2-exp20180205 / gluon-v2016.2.7-2-g3d824bd2 </s> kaputt geflasht🙇‍♂️
|
|-
| cpt04 || 2 || TP-Link CPE210 v3.0 || KBU Hood Umland V2 || <big>Wiresh</big>|| '''v2022.1.2''' || v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
| cpt05 ||align=right| 5 || TP-Link CPE510 v1.1 || KBU Hood Umland || <big>Wiresh</big>|| v2021.1.2+ || v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
| cpt06 || 2 || TP-Link TL-WA801N/ND v2 || KBU Hood Umland || FastD|| v2021.1.2-FastD || v2021.1.1-Wireguard / gluon-v2021.1.1+
|
|-
| cpt07 || 2 || D-Link DIR-505 rev. A1 || KBU Hood Umland || <big>Wiresh</big>|| ''' v2022.1.1-Wireguard '''||
|
|-
| cpt08 || 2 || D-Link DIR-505 rev. A2 || <s>KBU Hood Umland V2</s> || <big><s>Wiresh</s></big>|| <s>v2022.1-b4</s> || kaputt geflasht🙇‍♂️
|
|-
| cpt09 || 2 || TP-Link CPE210 v3.0 || KBU Hood Umland V2 || <big>Wiresh</big>|| v2021.1.2+ ||
|Mic / DH4
|-
| cpt10 || 2|| D-Link DIR-505 rev. A2|| KBU Hood Umland V2|| <big>Wiresh</big>|| v2021.1.2+
|
|
|-
| cpt11 || 2 || TP-Link TL-WA850RE v1 || KBU Hood Umland || FastD|| v2021.1.2 || v2021.1.2-FastD / gluon-v2021.1.2
|wolfi
|-
| cpt12 || 2 || TP-Link TL-WA850RE v1 || KBU Hood Umland || FastD|| v2021.1.1 neu || v2021.1.1-FastD / gluon-v2021.1.1
|wolfi
|-
| <s>cpt13</s> || <s>2</s> || <s>''- TP-Link TL-WA850RE v1 -''</s>|| <s>FastD</s> || || || kaputt geflasht🙇‍♂️
|
|-
| cpt14 || 2 || TP-Link TL-WA850RE v1.2 || KBU Hood Umland || FastD|| v2021.1.2 || v2021.1.2-FastD / gluon-v2021.1.2
|Huckepack
|-
| cpt15 ||align=center| 2+5 || TP-Link RE450 v1 || KBU Hood Umland V2 || <big>Wiresh</big>|| v2021.1.1 neu ||
|mic?
|-
| cpt16 || 2 || TP-Link TL-WA850RE v1 || KBU Hood Umland V2 || FastD|| v2021.1.1 neu ||
|
|-
| cpt17 ||align=center| 2+5 || TP-Link RE450 v1 || KBU Hood Umland V2 || <big>Wiresh</big>|| v2021.1.1 neu ||
|momo
|-
| cpt18 || 2 || TP-Link TL-WA801N/ND v5 || KBU Hood Umland V2 || <big>Wiresh</big>||'''v2022.1.1-Wireguard'''||
|t-com
|-
|cpt19||2||TP-Link TL-WA850RE v1||KBU Hood Umland V2||<big>Wiresh</big>|| ||
|
|-
|cpt20|| 2||TP-Link Archer C5 v1||KBU Hood Umland V2||<big>Wiresh</big>||'''v2022.1.4+-mdom.wireguard'''||v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
|cpt21 ||2 ||TP-Link TL-WA801N/ND v2||KBU Hood Umland V2||FastD||v2021.1.2||v2021.1.2-FastD / gluon-v2021.1.2
|
|-
|cpt22||2 ||TP-Link TL-WA801N/ND v2|| KBU Hood Umland V2||FastD||v2021.1.2||v2021.1.2-FastD / gluon-v2021.1.2
|
|-
|cpt23
|
|
|
|
|
|
|
|-
|cpt24
|
|
|
|
|
|
|
|-
|cpt25|| align="center" |2+5|| TP-Link RE450 v1||KBU Hood Umland V2||<big>Wiresh</big>||v2021.1.2+||[https://map.kbu.freifunk.net/#!/de/map/ec086b9084ce map] - [http://[2a03:2260:118:63:ee08:6bff:fe90:84ce]/ router]
|bb
|-
|cpt26|| align="center" |2+5 || TP-Link RE450 v1||KBU Hood Umland V2||<big>Wiresh</big>||v2021.1.2-Wireguard||v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
| cpt27
| 2
|TP-Link CPE210 v1.1
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''<big>v2022.1.4+-mdom.wireguard</big>'''
|[https://map.kbu.freifunk.net/#!/de/map/18d6c7ccbeee map] - [http://[2a03:2260:118:63:1ad6:c7ff:fecc:beee]/ router]
|
|-
| cpt28
| 2
|TP-Link CPE210 v1.1
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/de/map/18a6f73deb0a map] - [http://[2a03:2260:118:63:1ad6:c7ff:fecc:beee]/ router] ffkbu-18a6f73deb0a
|
|-
| cpt29
| 2
|TP-Link CPE210 v1.1
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/de/map/18d6c7870c54 map] - [http://[2a03:2260:118:63:1ad6:c7ff:fe87:c54]/ router]
|
|-
| cpt30
| 2
|TP-Link CPE210 v1.1
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/60e327a17c0a map] - [http://[2a03:2260:118:63:62e3:27ff:fea1:7c0a]/ router]
|
|-
| cpt31
| 2
|TP-Link CPE210 v1.1
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/de/map/cc32e57c6a5e map] - [http://[2a03:2260:118:63:ce32:e5ff:fe7c:6a5e]/ router]
|
|-
|cpt32
|2+5
|TP-Link RE200 v3
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/de/map/98dac4846ccf map] - [http://[2a03:2260:118:63:9ada:c4ff:fe84:6ccf]/ router]
|
|-
|cpt34
|2+5
|TP-Link RE200 v2
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2023.1.1-mdom.wireguard'''
|[https://map.kbu.freifunk.net/#!/de/map/b04e262e59a4 map] - [http://[2a03:2260:118:63:b24e:26ff:fe2e:59a4]/ router]
|
|-
|
|
|
|
|
|
|
|
|-
|cpt41
|2+5
|TP-Link Archer C7 v2
|KBU Hood Umland V2
|<big>Wiresh</big>
|'''v2022.1.4+-mdom.wireguard'''
|v2021.1.2-Wireguard / gluon-v2021.1.2+
|
|-
|
|
|
|
|
|
|
|
|-
|
|
|
|
|
|
|
|
|-
|ohne
|
|D-Link DIR-505
|
|
|
|
|mic?
|-
|ohne|| align="center" |2+5 || TP-Link RE450 v3|| || || ||falsche HW-Version 🤦
|
|-
|ohne|| align="center" |2+5|| Archer C7v1||- OpenWRT... zuk. Router
- könnte o. 5GHz... aber...
| || ||falsche HW-Version 🤦
|
|-
|ohne|| align="center" |2+5||Archer C5v2||wird gar nicht unterstützt|| || ||falsche HW-Version 🤦
|
|}
03 - kaputt geflasht, meldete firmware passt nicht, obwohl es genau die richtige war, -force...brick... , vielleicht war das Image defekt...
08 - kaputt geflasht,
13 - kaputt geflasht,

Server:Bonn

2024-03-07T20:50:05Z

Cptechnik:

[[Kategorie:Infrastruktur]][[Kategorie:Server]]
Physische Server mit der Bezeichung "Bonn x" { x = 4,6,7 }

== Bonn 4 ==
:Ein Geschenk, dass bald abgeschaltet werden könnte.
: ecovisio.de, Bonn
: 81.173.204.217
: proxmox VMs:
:- 24 dns2
:- 44 umland2
:- 50 Bonn4sn
:- 52 node-ffrl2

== Bonn 6 ==
:hetzner.de Falkenstein
:gemietet (Thomas, Peter, Bonn)
:IP: 157.90.178.17
:proxmox VMs:
:- 100 - 63-node-ffrl1
:- 101 - 61-webproxy bonn6
:- 102 - 62-Bonn6 (Supernode
:- 103 - 64-umland1
:- 104 - 65-ansible
:- 105 - 66-updates
:- 106 - 67-dns1

== Bonn 7 ==
:hetzner.de Falkenstein
:gemietet (Thomas, Peter, Bonn)
:IP: 157.90.178.15
:proxmox VMs:
:- Supernode Bonn 7
:- 100 - 71-webproxy bonn7
:- 101 - 72-bonn7
:- 102 - 73-jenkins
:- 103 - 74-meshviewer

Server:Bonn

2024-03-07T20:46:39Z

Cptechnik:

[[Kategorie:Infrastruktur]][[Kategorie:Server]]
Physische Server mit der Bezeichung "Bonn x" { x = 4,6,7 }

== Bonn 4 ==
Ein Geschenk, dass bald abgeschaltet werden könnte.
ecovisio.de, Bonn
81.173.204.217
proxmox VMs:
- 24 dns2
- 44 umland2
- 50 Bonn4sn
- 52 node-ffrl2

== Bonn 6 ==
hetzner.de Falkenstein
gemietet (Thomas, Peter, Bonn)
IP: 157.90.178.17
proxmox VMs:
- Supernode Bonn 6
- 100 - 63-node-ffrl1
- 101 - 61-webproxy bonn6
- 102 - 64-umland1
- 104 - 65-ansible
- 105 - 66-updates
- 106 - 67-dns1

== Bonn 7 ==
hetzner.de Falkenstein
gemietet (Thomas, Peter, Bonn)
IP: 157.90.178.15
proxmox VMs:
- Supernode Bonn 7
- 100 - 71-webproxy bonn7
- 101 - 72-bonn7
- 102 - 73-jenkins
- 103 - 74-meshviewer

Server:Bonn7

2024-03-07T20:31:59Z

Cptechnik: Umleitung zu Bonn (Server)

#REDIRECT [[Server:Bonn]]

Server:Bonn6

2024-03-07T20:31:31Z

Cptechnik: Umleitung zu Bonn (Server)

#REDIRECT [[Server:Bonn]]

Server:Bonn6

2024-03-07T20:31:09Z

Cptechnik: Weiterleitungsziel von Bonn nach Index.php?title=Server:Bonn geändert

#REDIRECT [[index.php?title=Server:Bonn]]

Server:Bonn

2024-03-07T20:30:40Z

Cptechnik: Erstellung

[[Kategorie:Infrastruktur]][[Kategorie:Server]]
Physische Server mit der Bezeichung "Bonn x" { x = 4,6,7 }

== Bonn 4 ==
Ein Geschenk, dass bald abgeschaltet werden könnte.

== Bonn 6 ==
hetzner.de Falkenstein
gemietet (Thomas, Peter, Bonn)
proxmox VMs:
- Supernode Bonn 6

== Bonn 7 ==
hetzner.de Falkenstein
gemietet (Thomas, Peter, Bonn)
proxmox VMs:
- Supernode Bonn 7

Server:Bonn6

2024-03-07T20:30:09Z

Cptechnik: Umleitung zu Bonn (Server)

#REDIRECT [[Bonn]]

Server:Bonn6

2024-03-07T20:28:48Z

Cptechnik: Umleitung zu Bonn (Server)

#REDIRECT Bonn

Serverliste:Supernodes

2024-03-07T20:21:53Z

Cptechnik: Maschinen referenziert

[[Kategorie:Infrastruktur]]
[[Kategorie:Netzdesign]]
[[Kategorie:Server]]

Some Supernodes have stats, if you click their URL.

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Bonn '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Bonn1|<s>Bonn1</s>]]
| <s>bonn1.kbu.freifunk.net</s>
| [http://bgp.he.net/ip/5.9.102.119 <s>5.9.102.119</s>]
|<s>Parabol</s>
| <s>XXXXX</s>
| [[Supernode|<s>Supernode</s>]]
| <s>[[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian</s>
| [https://www.hetzner.de <s>hetzner.de</s>]
| <s>Falkenstein</s>
|-
| [[Server:Bonn2|<s>Bonn2</s>]]
| <s>bonn2.kbu.freifunk.net</s>
| [http://bgp.he.net/ip/163.172.107.146 <s>163.172.107.146</s>]
|<s>Monopuls</s>
| <s>XXXXX</s>
| [[Supernode|<s>Supernode</s>]]
| <s>[[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian</s>
| [https://www.online.net <s>Online.net</s>]
| <s>Paris</s>
|-
| [[Server:Bonn4|Bonn4]]
| bonn4.kbu.freifunk.net
| [http://bgp.he.net/ip/81.173.204.217 81.173.204.217]
|Bonn 4
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.ecovisio.de ecovisio.de]
| Bonn
|-
| [[Server:Bonn6|Bonn6]]
| bonn6.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn7|Bonn7]]
| bonn7.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.15 157.90.178.15]
|Bonn 7
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|}
(Parabol und Monopuls gehen bzw sind vom Netz)

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Koeln ==
WORK IN PROGRESS
10.158.8.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:VPN1|<s>VPN1</s>]]
| [http://vpn1.kbu.freifunk.net/ <s>vpn1.kbu.freifunk.net</s>]
| [http://bgp.he.net/ip/163.172.107.146 <s>163.172.107.146</s>]
|<s>Monopuls</s>
| <s>10.158.0.1/21</s>
| <s>[[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone</s>
| <s>[[Benutzer:Rampone|rampone]], CommunityServer(monopuls)</s>
|
| <s>FR - Paris</s>
|-
| [[Server:VPN3|VPN3]]
| [http://vpn3.kbu.freifunk.net/ vpn3.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
|
| 10.158.16.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|-
| [[Server:VPN4|VPN4]]
| vpn4.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
|
| 10.158.24.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN5|VPN5]]
| vpn5.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
|
| 10.158.32.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN6|VPN6]]
| vpn6.kbu.freifunk.net (parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
|
| 10.158.40.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)
|-
| [[Server:VPN7|VPN7]]
| vpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
|
| 10.158.48.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:VPN8|VPN8]]
| vpn8.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
|
| 10.158.56.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Umland ==
WORK IN PROGRESS
10.158.144.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:UVPN1|UVPN1]]
| uvpn1.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.128.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN2|UVPN2]]
| uvpn2.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.136.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN4|UVPN4]]
| uvpn4.kbu.freifunk.net(gw04)
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.158.152.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:UVPN5|UVPN5]]
| uvpn5.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.160.1/21
| [[Supernode]] via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN6|UVPN6]]
| uvpn6.kbu.freifunk.net(parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.168.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)

|-
| [[Server:UVPN7|UVPN7]]
| uvpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.176.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:UVPN8|UVPN8]]
| [http://uvpn8.kbu.freifunk.net/ uvpn8.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.184.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Umland '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Umland1|Umland1]]
| umland1.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
|Umland2
|umland2.kbu.freifunk.net
|81.173.204.217
|Bonn 4
|XXXXX
|[[Supernode]]
|[[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
|[https://www.ecovisio.de ecovisio.de]
|Bonn
|}

== Hood Euskirchen ==
10.19.64.0/24 vergeben für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU1|FFEU1]]
| gw01.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.19.24.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.19.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.19.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:FFEU5|FFEU5]]
| gw05.ffeu.de
| [http://bgp.he.net/ip/78.47.189.91 78.47.189.91]
| 10.19.56.0/21
| [[Supernode]]
| [[Benutzer:arwed|arwed]]
| [http://hetzner.de HETZNER]
|

|-
| [[Server:FFEU7|FFEU7]]
| gw07.ffeu.de
| [http://bgp.he.net/ip/185.11.138.154 185.11.138.154]
| 10.19.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Serverway
| ---

|-
| [[Server:FFEU8|FFEU8]]
| gw08.ffeu.de
| -
| 10.19.80.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Online.net
| ---

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/37.58.63.74 37.58.63.74]
| 10.19.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Leaseweb
| ---

|-
| [[Server:FFEU99|FFEU99]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.92.0/23
| [[Lokaler Supernode]]
| [[Benutzer:Arwed|Arwed]]
| Mechernich
| ---

|-
| [[Server:FFEU100|FFEU100]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.96.0/21
| [[Lokaler Supernode]]
| [[Benutzer:k3v1n|k3v1n]]
| Kirchheim-Steinbach-Schwimmbad
| ---

|}

== Hood Bad Muenstereifel ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.20.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.20.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.20.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.20.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

== Hood Mechernich ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.21.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.21.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.21.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.21.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

Serverliste:Supernodes

2024-03-07T20:11:20Z

Cptechnik: Maschinen referenziert

[[Kategorie:Infrastruktur]]
[[Kategorie:Netzdesign]]
[[Kategorie:Server]]

Some Supernodes have stats, if you click their URL.

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Bonn '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Bonn1|Bonn1]]
| bonn1.kbu.freifunk.net
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
|Parabol
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn2|Bonn2]]
| bonn2.kbu.freifunk.net
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
|Monopuls
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.online.net Online.net]
| Paris
|-
| [[Server:Bonn4|Bonn4]]
| bonn4.kbu.freifunk.net
| [http://bgp.he.net/ip/81.173.204.217 81.173.204.217]
|Bonn 4
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.ecovisio.de ecovisio.de]
| Bonn
|-
| [[Server:Bonn6|Bonn6]]
| bonn6.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn7|Bonn7]]
| bonn7.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.15 157.90.178.15]
|Bonn 7
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|}
== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Koeln ==
WORK IN PROGRESS
10.158.8.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:VPN1|VPN1]]
| [http://vpn1.kbu.freifunk.net/ vpn1.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.158.0.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:Rampone|rampone]], CommunityServer(monopuls)
|
| FR - Paris
|-
| [[Server:VPN3|VPN3]]
| [http://vpn3.kbu.freifunk.net/ vpn3.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.16.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|-
| [[Server:VPN4|VPN4]]
| vpn4.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.24.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN5|VPN5]]
| vpn5.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.32.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN6|VPN6]]
| vpn6.kbu.freifunk.net (parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.40.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)
|-
| [[Server:VPN7|VPN7]]
| vpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.48.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:VPN8|VPN8]]
| vpn8.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.56.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Umland ==
WORK IN PROGRESS
10.158.144.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:UVPN1|UVPN1]]
| uvpn1.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.128.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN2|UVPN2]]
| uvpn2.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.136.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN4|UVPN4]]
| uvpn4.kbu.freifunk.net(gw04)
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.158.152.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:UVPN5|UVPN5]]
| uvpn5.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.160.1/21
| [[Supernode]] via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN6|UVPN6]]
| uvpn6.kbu.freifunk.net(parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.168.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)

|-
| [[Server:UVPN7|UVPN7]]
| uvpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.176.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:UVPN8|UVPN8]]
| [http://uvpn8.kbu.freifunk.net/ uvpn8.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.184.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Umland '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Umland1|Umland1]]
| umland1.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
|Umland2
|umland2.kbu.freifunk.net
|81.173.204.217
|Bonn 4
|XXXXX
|[[Supernode]]
|[[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
|[https://www.ecovisio.de ecovisio.de]
|Bonn
|}

== Hood Euskirchen ==
10.19.64.0/24 vergeben für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU1|FFEU1]]
| gw01.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.19.24.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.19.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.19.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:FFEU5|FFEU5]]
| gw05.ffeu.de
| [http://bgp.he.net/ip/78.47.189.91 78.47.189.91]
| 10.19.56.0/21
| [[Supernode]]
| [[Benutzer:arwed|arwed]]
| [http://hetzner.de HETZNER]
|

|-
| [[Server:FFEU7|FFEU7]]
| gw07.ffeu.de
| [http://bgp.he.net/ip/185.11.138.154 185.11.138.154]
| 10.19.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Serverway
| ---

|-
| [[Server:FFEU8|FFEU8]]
| gw08.ffeu.de
| -
| 10.19.80.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Online.net
| ---

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/37.58.63.74 37.58.63.74]
| 10.19.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Leaseweb
| ---

|-
| [[Server:FFEU99|FFEU99]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.92.0/23
| [[Lokaler Supernode]]
| [[Benutzer:Arwed|Arwed]]
| Mechernich
| ---

|-
| [[Server:FFEU100|FFEU100]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.96.0/21
| [[Lokaler Supernode]]
| [[Benutzer:k3v1n|k3v1n]]
| Kirchheim-Steinbach-Schwimmbad
| ---

|}

== Hood Bad Muenstereifel ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.20.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.20.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.20.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.20.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

== Hood Mechernich ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.21.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.21.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.21.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.21.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

Serverliste:Supernodes

2024-03-07T20:09:51Z

Cptechnik: Maschinen referenziert

[[Kategorie:Infrastruktur]]
[[Kategorie:Netzdesign]]
[[Kategorie:Server]]

Some Supernodes have stats, if you click their URL.

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Bonn '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Bonn1|Bonn1]]
| bonn1.kbu.freifunk.net
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
|Parabol
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn2|Bonn2]]
| bonn2.kbu.freifunk.net
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
|
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.online.net Online.net]
| Paris
|-
| [[Server:Bonn4|Bonn4]]
| bonn4.kbu.freifunk.net
| [http://bgp.he.net/ip/81.173.204.217 81.173.204.217]
|Bonn 4
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.ecovisio.de ecovisio.de]
| Bonn
|-
| [[Server:Bonn6|Bonn6]]
| bonn6.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn7|Bonn7]]
| bonn7.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.15 157.90.178.15]
|Bonn 7
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|}
== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Koeln ==
WORK IN PROGRESS
10.158.8.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:VPN1|VPN1]]
| [http://vpn1.kbu.freifunk.net/ vpn1.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.158.0.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:Rampone|rampone]], CommunityServer(monopuls)
|
| FR - Paris
|-
| [[Server:VPN3|VPN3]]
| [http://vpn3.kbu.freifunk.net/ vpn3.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.16.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|-
| [[Server:VPN4|VPN4]]
| vpn4.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.24.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN5|VPN5]]
| vpn5.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.32.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN6|VPN6]]
| vpn6.kbu.freifunk.net (parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.40.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)
|-
| [[Server:VPN7|VPN7]]
| vpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.48.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:VPN8|VPN8]]
| vpn8.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.56.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Umland ==
WORK IN PROGRESS
10.158.144.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:UVPN1|UVPN1]]
| uvpn1.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.128.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN2|UVPN2]]
| uvpn2.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.136.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN4|UVPN4]]
| uvpn4.kbu.freifunk.net(gw04)
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.158.152.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:UVPN5|UVPN5]]
| uvpn5.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.160.1/21
| [[Supernode]] via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN6|UVPN6]]
| uvpn6.kbu.freifunk.net(parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.168.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)

|-
| [[Server:UVPN7|UVPN7]]
| uvpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.176.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:UVPN8|UVPN8]]
| [http://uvpn8.kbu.freifunk.net/ uvpn8.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.184.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Umland '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
!Maschine
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Umland1|Umland1]]
| umland1.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
|Bonn 6
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
|Umland2
|umland2.kbu.freifunk.net
|81.173.204.217
|Bonn 4
|XXXXX
|[[Supernode]]
|[[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
|[https://www.ecovisio.de ecovisio.de]
|Bonn
|}

== Hood Euskirchen ==
10.19.64.0/24 vergeben für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU1|FFEU1]]
| gw01.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.19.24.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.19.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.19.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:FFEU5|FFEU5]]
| gw05.ffeu.de
| [http://bgp.he.net/ip/78.47.189.91 78.47.189.91]
| 10.19.56.0/21
| [[Supernode]]
| [[Benutzer:arwed|arwed]]
| [http://hetzner.de HETZNER]
|

|-
| [[Server:FFEU7|FFEU7]]
| gw07.ffeu.de
| [http://bgp.he.net/ip/185.11.138.154 185.11.138.154]
| 10.19.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Serverway
| ---

|-
| [[Server:FFEU8|FFEU8]]
| gw08.ffeu.de
| -
| 10.19.80.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Online.net
| ---

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/37.58.63.74 37.58.63.74]
| 10.19.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Leaseweb
| ---

|-
| [[Server:FFEU99|FFEU99]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.92.0/23
| [[Lokaler Supernode]]
| [[Benutzer:Arwed|Arwed]]
| Mechernich
| ---

|-
| [[Server:FFEU100|FFEU100]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.96.0/21
| [[Lokaler Supernode]]
| [[Benutzer:k3v1n|k3v1n]]
| Kirchheim-Steinbach-Schwimmbad
| ---

|}

== Hood Bad Muenstereifel ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.20.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.20.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.20.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.20.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

== Hood Mechernich ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.21.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.21.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.21.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.21.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

Serverliste:Supernodes

2024-03-07T20:00:12Z

Cptechnik: Kategorie Server

[[Kategorie:Infrastruktur]]
[[Kategorie:Netzdesign]]
[[Kategorie:Server]]

Some Supernodes have stats, if you click their URL.

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Bonn '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Bonn1|Bonn1]]
| bonn1.kbu.freifunk.net
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn2|Bonn2]]
| bonn2.kbu.freifunk.net
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.online.net Online.net]
| Paris
|-
| [[Server:Bonn4|Bonn4]]
| bonn4.kbu.freifunk.net
| [http://bgp.he.net/ip/81.173.204.217 81.173.204.217]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.ecovisio.de ecovisio.de]
| Bonn
|-
| [[Server:Bonn6|Bonn6]]
| bonn6.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
| [[Server:Bonn7|Bonn7]]
| bonn7.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.15 157.90.178.15]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:k3v1n|k3v1n]], JohnnyBee, Nunatak, Julian
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|}
== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Koeln ==
WORK IN PROGRESS
10.158.8.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:VPN1|VPN1]]
| [http://vpn1.kbu.freifunk.net/ vpn1.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.158.0.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:Rampone|rampone]], CommunityServer(monopuls)
|
| FR - Paris
|-
| [[Server:VPN3|VPN3]]
| [http://vpn3.kbu.freifunk.net/ vpn3.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.16.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|-
| [[Server:VPN4|VPN4]]
| vpn4.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.24.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN5|VPN5]]
| vpn5.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.32.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:VPN6|VPN6]]
| vpn6.kbu.freifunk.net (parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.40.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)
|-
| [[Server:VPN7|VPN7]]
| vpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.48.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:VPN8|VPN8]]
| vpn8.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.56.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) Hood Umland ==
WORK IN PROGRESS
10.158.144.0/24 reserviert für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:UVPN1|UVPN1]]
| uvpn1.kbu.freifunk.net(gw01)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.158.128.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN2|UVPN2]]
| uvpn2.kbu.freifunk.net(gw02)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.158.136.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN4|UVPN4]]
| uvpn4.kbu.freifunk.net(gw04)
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.158.152.1/21
| [[Supernode]] v4 via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:UVPN5|UVPN5]]
| uvpn5.kbu.freifunk.net(gw05)
| [http://bgp.he.net/ip/5.189.142.97 5.189.142.97]
| 10.158.160.1/21
| [[Supernode]] via mullvad, bmx6bone
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:UVPN6|UVPN6]]
| uvpn6.kbu.freifunk.net(parabol)
| [http://bgp.he.net/ip/5.9.134.236 5.9.134.236]
| 10.158.168.1/21
| [[Supernode]] ffrl v4&v6 & offer @bmx6bone
| [[Benutzer:K3v1neu|K3v1n]] [[Benutzer:rampone|rampone]], Simon
| Hetzner
| Falkenstein (DC 16)

|-
| [[Server:UVPN7|UVPN7]]
| uvpn7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.104.107.56 5.104.107.56]
| 10.158.176.1/21
| [[Supernode]] ffrl v4 @bmx6bone
| [[Benutzer:Dennis|Dennis]], [[Benutzer:rampone|rampone]]
| Myloc
| Düsseldorf

|-
| [[Server:UVPN8|UVPN8]]
| [http://uvpn8.kbu.freifunk.net/ uvpn8.kbu.freifunk.net]
| [http://bgp.he.net/ip/163.172.42.239 163.172.42.239]
| 10.158.184.1/21
| [[Supernode]] v4 via bmx6, preferred gw06(ffrl), bmx6bone
| [[Benutzer:moneo|moneo]], [[Benutzer:Rampone|rampone]]
| [https://www.online.net/en/dedicated-server/dedibox-xc online.net]
| FR - Paris (DC2 Saal101)
|}

== Batman-adv Compat15 Netz (SSID kbu.freifunk.net) ffkbu Umland '''v2''' ==

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Umland1|Umland1]]
| umland1.kbu.freifunk.net
| [http://bgp.he.net/ip/157.90.178.17 157.90.178.17]
| XXXXX
| [[Supernode]]
| [[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
| [https://www.hetzner.de hetzner.de]
| Falkenstein
|-
|Umland2
|umland2.kbu.freifunk.net
|81.173.204.217
|XXXXX
|[[Supernode]]
|[[Benutzer:Simon|Simon]], [[Benutzer:K3v1neu|K3v1n]], [[Benutzer:Twinter|JohnnyBee]], [[Benutzer:Nunatak|Nunatak]], [[Benutzer:Jzielke|Julian]], [[Benutzer:cptechnik|Peter]]
|[https://www.ecovisio.de ecovisio.de]
|Bonn
|}

== Hood Euskirchen ==
10.19.64.0/24 vergeben für feste ipv4

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU1|FFEU1]]
| gw01.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.150.229 5.189.150.229]
| 10.19.24.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de (OFFLINE)
| [http://bgp.he.net/ip/5.189.164.226 5.189.164.226]
| 10.19.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://contabo.net CONTABO]
| München

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/62.210.108.175 62.210.108.175]
| 10.19.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Frankfurt

|-
| [[Server:FFEU5|FFEU5]]
| gw05.ffeu.de
| [http://bgp.he.net/ip/78.47.189.91 78.47.189.91]
| 10.19.56.0/21
| [[Supernode]]
| [[Benutzer:arwed|arwed]]
| [http://hetzner.de HETZNER]
|

|-
| [[Server:FFEU7|FFEU7]]
| gw07.ffeu.de
| [http://bgp.he.net/ip/185.11.138.154 185.11.138.154]
| 10.19.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Serverway
| ---

|-
| [[Server:FFEU8|FFEU8]]
| gw08.ffeu.de
| -
| 10.19.80.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Online.net
| ---

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/37.58.63.74 37.58.63.74]
| 10.19.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| Leaseweb
| ---

|-
| [[Server:FFEU99|FFEU99]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.92.0/23
| [[Lokaler Supernode]]
| [[Benutzer:Arwed|Arwed]]
| Mechernich
| ---

|-
| [[Server:FFEU100|FFEU100]]
| gw99.ffeu.de
| [http://bgp.he.net/ip/0.0.0.0 0.0.0.0]
| 10.19.96.0/21
| [[Lokaler Supernode]]
| [[Benutzer:k3v1n|k3v1n]]
| Kirchheim-Steinbach-Schwimmbad
| ---

|}

== Hood Bad Muenstereifel ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.20.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.20.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.20.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.20.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

== Hood Mechernich ==
{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort

|-
| [[Server:FFEU2|FFEU2]]
| gw02.ffeu.de
| [http://bgp.he.net/ip/195.154.54.87 195.154.54.87]
| 10.21.32.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris

|-
| [[Server:FFEU4|FFEU4]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/163.172.40.165 163.172.40.165]
| 10.21.48.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net online.net]
| Paris

|-
| [[Server:FFEU7|FFEU7]]
| gw04.ffeu.de
| [http://bgp.he.net/ip/5.9.102.119 5.9.102.119]
| 10.21.72.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [HETZNER]
| Nürnberg

|-
| [[Server:FFEU9|FFEU9]]
| gw09.ffeu.de
| [http://bgp.he.net/ip/163.172.107.146 163.172.107.146]
| 10.21.88.0/21
| [[Supernode]]
| [[Benutzer:K3v1neu|K3v1n]]
| [http://online.net Online.net]
| Paris
| ---
|}

Server:Jenkins

2024-03-07T19:55:37Z

Cptechnik: Die Seite wurde neu angelegt: „Kategorie:InfrastrukturKategorie:Server Domain: https://jenkins.kbu.freifunk.net/ VM auf Bonn 7 (Maschine) 103 / 73-jenkins 157.90.178.15“

[[Kategorie:Infrastruktur]][[Kategorie:Server]]

Domain: https://jenkins.kbu.freifunk.net/

VM auf Bonn 7 (Maschine)

103 / 73-jenkins

157.90.178.15

Server:Map

2024-03-07T19:44:50Z

Cptechnik:

[[Kategorie:Infrastruktur]][[Kategorie:Server]]

== 2023 ==
VM auf Bonn 7 (Maschine)

== Host (alt) ==
VM auf Monopuls

* IPs:
** Ipv6: 2a01:4f8:162:3474:: / 64 Gateway: fe80::1
Kevin träge IP-Adressen nach - die Hosts bekommen ULA-Adressen

Services:
* Freifunk-Karte (meshviewer,yannic), Apache
** https://map.kbu.freifunk.net
** https://map.ffkbu.de
** https://map.ffeu.de

Im Backend gibt es für jede Hood ein eigener Prozess.

Admins / Kontakt:
* [[User:k3v1n]]

TODO:
* Wie kann ich feststellen, warum die Freifunk-karte nicht funktioniert?
* Wie kann ich debuggen, welche Werte ich an die Karte übermittele?
* Unter welchen Ports, etc. sind die Server in welchen Hoods erreichbar?
* Werden persönliche Daten verarbeitet?
* Wie hilft mir die Karten, den Kontakt zu einem defekten Knoten zu finden?

Benutzer:Cptechnik

2024-03-02T09:31:07Z

Cptechnik: das liegt wo?

{{TOCright}}

=== Kontakt ===
* [https://mailhide.io/e/mSZS5NCC f*******@cp*******.de]
* <ref>PGP [http://de.wikipedia.org/pgp wikipedia], zusätzlicher Text.</ref> [https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xa11fc16936343ff51b8bf4fa5e4d0c56dd448ecb 5E4D0C56DD448ECB] A11F C169 3634 3FF5 1B8B F4FA 5E4D 0C56 DD44 8ECB
* meine [[Benutzer:Cptechnik/Schlüssel|Schlüssel]]

=== Benutzer-Unterseiten ===
* [[Benutzer:Cptechnik/Bearbeitungsvorschläge]]
* [[Benutzer:Cptechnik/die-suche]] ...nach dem Gral?
* [[Benutzer:Cptechnik/gluon-2021.1.1]]
* [[Benutzer:Cptechnik/gluon-2022.1]]
* [[Benutzer:Cptechnik/Konsolenbefehle]]
* [[Benutzer:Cptechnik/Nachfolger für WA850RE]]Nachfolger für TP-Link TL-WA850RE (WA860RE)
* [[Benutzer:Cptechnik/PGWK]] Peters Garten WLAN Kiste ... Autark mit wa801
* [[Benutzer:Cptechnik/pimp-my-router-cp]] Tips und Tricks an der Konsole
* [[Benutzer:Cptechnik/Vorratsdatenspeicherung]]
* [[Benutzer:Cptechnik/Argumente]]
* [[Benutzer:Cptechnik/gefundene-Videos]]

=== meine Lesezeichen: ===
* [[Spezial:Kategorien|Kategorien]]
** [https://kbu.freifunk.net/wiki/index.php?title=Kategorie:Vorlagen Vorlagen] »» <nowiki>[[Kategorie:Vorlagen]]</nowiki>
** [https://kbu.freifunk.net/wiki/index.php?title=Kategorie:Erste_Schritte Erste_Schritte] »» <nowiki>[[Kategorie:Erste Schritte]] </nowiki>
** [https://kbu.freifunk.net/wiki/index.php?title=Kategorie:Anleitungen Kategorie:Anleitungen]

* [[Pimp_my_Node#Arbeiten_auf_der_Shell|Shell / Konsole]]
** [[Pimp_my_Node#Freifunk-Knoten_von_der_Map_entfernen|Knoten von der Map entfernen]]
* mein Downloadserver : http://tgws.de/ffi/ (... http-access für die Betas )

=== meine Änderungen: ===
https://kbu.freifunk.net/wiki/index.php?title=Spezial:Beitr%C3%A4ge/Cptechnik

=== Meine Tips ===
==== Schellschnipsl====

* p4 : ping -4 $1 // p6 : ping -6 $1
* ln -s /usr/local/bin ~/ulb
* .zshrc / .bashrc : alias -g ll='ls -alF'
* Wifi Scan / iwscan V1: echo "iw dev client0 scan|grep SSID">iwscan;chmod +x iwscan;mv iwscan /usr/bin ...V2: iw client0 scan | grep 'BSS\|SSID\|freq\|signal'

====SSH funktioniert plötzlich nicht ====
Wenn "Plötzlich" bzw nach einem Update im Jahr 2022 die Freifunkrouter nicht mehr erreichbar sind...
Unable to negotiate with 192.168.x.x port 22: no matching host key type found. Their offer: ssh-rsa

Dann könnte es daran liegen, dass in OpenSSH die kompromitierte RSA/SHA1 variante "abgeschaltet" wurde.

Unter Linux kann man dann in der Konfigurationsdatei ~/.ssh/config einfach die Einträge
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
einfügen, und die Clients werden wieder verbunden. Natürlich kann man das auch auf die Freifunkrouter auch beschränken, oder auf den einzelnen...

Host fc9i cpt09i
HostName 192.168.25.109
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

Host fc* cpt*
User root
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

*https://forum.ubuntuusers.de/topic/ssh-problem-nach-update-auf-22-04-lts/
*https://askubuntu.com/questions/836048/ssh-returns-no-matching-host-key-type-found-their-offer-ssh-dss

===Warum machst Du das?===
* ...warum
** [https://digit.social/tag/digitale-teilhabe Digitale Teilhabe - https://digit.social/tag/digitale-teilhabe]
** Wir können keinen darum bitten mehr Bus zu fahren, wenn es keinen gibt - also, erstmal Freifunk aufbauen, und nicht fragen... wer nutzt das denn...?
** https://www.bonn.de/freifunk Informationen über das von der Stadt Bonn geförderte, nichtkommerzielle Freifunk-WLAN-Netz.
** Freifunk-Vision:
*** Die vision von freifunk ist die Verbreitung freier Netzwerke, die Demokratisierung der Kommunikationsmedien und die Förderung lokaler Sozialstrukturen.
**** [CryptoCon15<nowiki>]</nowiki> - freifunk in der überwachten Welt – [https://www.youtube.com/watch?v=uL4QatRZCag Youtube] / [https://media.ccc.de/v/CC15_-_38_-_de_-_lounge_-_201505091600_-_freifunk_in_der_uberwachten_welt_-_andi_brau ccc-Media]

* Communitys
**https://wiki.freifunk-franken.de/w/Monitoring
**https://wiki.ffrn.de/Commandline-administration#Rolle_des_Knotens_setzen:_node_.28default.29.2C_uplink.2C_meshonly.2C_temp
**https://wiki.freifunk.net/Konsole

* TFTP
**https://wiki.freifunk.net/TP-Link_CPE210/TFTP-Flash_unter_Windows
**https://wiki.freifunk.net/Lippe:TP-Link-TFTP-Recovery
**https://wiki.freifunk.net/TP-Link_WR841ND/TFTP-Flash_mit_Tftpd64_(Windows)
**https://wiki.freifunk.net/Ubiquiti_M-Serie/TFTP-Flash_mit_Tftpd64_(Windows)

===meine Hardware:===

{{Benutzer:Cptechnik/Hardware}}

====Konfigurationsdateien====
...die gespeichert werden bei Konfigurationsübernahme...
etc/config/autoupdater
etc/config/dhcp
etc/config/dropbear
etc/config/firewall
etc/config/firewall.ffkbu
etc/config/firewall.gluon
etc/config/gluon
etc/config/gluon-node-info
etc/config/gluon-setup-mode
etc/config/gluon-wan-dnsmasq
etc/config/network
etc/config/simple-tc
etc/config/ssid-changer
etc/config/system
etc/config/ubootenv
etc/config/uhttpd
etc/config/uradvd
etc/config/wireguard
etc/config/wireless
etc/dropbear/authorized_keys
etc/dropbear/dropbear_ed25519_host_key
etc/dropbear/dropbear_rsa_host_key
etc/group
etc/hosts
etc/inittab
etc/opkg/keys/0120a0fa5e857fed
etc/opkg/keys/4d017e6f1ed5d616
etc/passwd
etc/profile
etc/rc.local
etc/shadow
etc/shells
etc/shinit
etc/sysctl.conf
lib/gluon/core/sysconfig/.keep
lib/gluon/core/sysconfig/gluon_version
lib/gluon/core/sysconfig/lan_ifname
lib/gluon/core/sysconfig/primary_mac
lib/gluon/core/sysconfig/setup_ifname
lib/gluon/core/sysconfig/wan_ifname
<references />

=== das liegt wo? ===

jenkins

images - Monopuls

Umstrukturierung 2022

2024-01-31T10:45:28Z

Cptechnik: erneuert

Datei:Neue Netzstruktur Schema.png

2024-01-31T10:42:10Z

Cptechnik: Cptechnik lud eine neue Version von Datei:Neue Netzstruktur Schema.png hoch

== Beschreibung ==
Ersteller: JulianZ

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:32:31Z

Cptechnik: anpassen ans wiki syntax - v 3.2

===Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


=== Kommunikationsablauf===


==== Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
=== Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
==== Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
==== Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


==== DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


==== WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


==== NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


==== Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


==== Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


==== Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


=== Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
==== DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
==== Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


==== DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

=== Referenzen===
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:31:34Z

Cptechnik: anpassen ans wiki syntax - v 3.1

===Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


=== Kommunikationsablauf===


==== Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
=== Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
==== Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
==== Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


==== DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


==== WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


==== NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


==== Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


==== Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


==== Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


=== Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
==== DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
==== Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


==== DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

== Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:30:45Z

Cptechnik: anpassen ans wiki syntax - v 3

#[[#einleitung|Einleitung]]
#[[#netzwerkdiagramm|Netzwerkdiagramm]]
#[[#kommunikationsablauf|Kommunikationsablauf]]
#*[[#client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#dns-auflösung|3.3 DNS-Auflösung]]
#*[[#routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


=== Kommunikationsablauf===


==== Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
=== Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
==== Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
==== Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


==== DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


==== WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


==== NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


==== Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


==== Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


==== Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


=== Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
==== DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
==== Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


==== DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

== Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:28:58Z

Cptechnik: anpassen ans wiki syntax - v 2

#[[#einleitung|Einleitung]]
#[[#netzwerkdiagramm|Netzwerkdiagramm]]
#[[#kommunikationsablauf|Kommunikationsablauf]]
#*[[#client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#dns-auflösung|3.3 DNS-Auflösung]]
#*[[#routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


=== Kommunikationsablauf===


==== Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
=== Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
==== Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
==== Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


==== DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


==== WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


==== NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


==== Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


==== Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


==== Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
====7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


====7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

==Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:26:06Z

Cptechnik: anpassen ans wiki syntax - v1

#[[#einleitung|Einleitung]]
#[[#netzwerkdiagramm|Netzwerkdiagramm]]
#[[#kommunikationsablauf|Kommunikationsablauf]]
#*[[#client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#dns-auflösung|3.3 DNS-Auflösung]]
#*[[#routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


====3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


====4.1 GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
====5.2 Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


====5.5 WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


====5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


====5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


====5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
====7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


====7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

==Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Technische Anbindung öffentlicher Einrichtungen

2024-01-18T19:20:42Z

Cptechnik: Erstellung, ausgegliedert aus Umstrukturierung 2022

==Technische Anbindung öffentlicher Einrichtungen==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


====3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


====4.1 GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren.
add system image /tmp/firmware.tar
====5.2 Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: WAN2
*ETH2: LAN
====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name ffup01
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


====5.5 WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ipsi::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


====5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


====5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


====5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
====7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


====7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

==Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Umstrukturierung 2022

2024-01-13T15:05:21Z

Cptechnik: Technische Anbindung öffentlicher Einrichtungen

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Technische Anbindung öffentlicher Einrichtungen==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


====3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


====4.1 GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab:
*Für ER-X, ER-10X, ER-X-SFP und EP-R6:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar
* Für ER-4, ER-6P, ER-12 und ER-12P:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar

====5.2 Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: SVC
*ETH2: WAN2 (optional)
*ETH3: LAN1
*ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


====5.5 WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


====5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


====5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


====5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
====7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


====7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

==Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Umstrukturierung 2022

2024-01-13T15:01:30Z

Cptechnik: Netzwerkdiagramm

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===
[[Datei:Neue Netzstruktur Schema.png|alternativtext=Neue Netzstruktur Schema|zentriert|mini|780x780px]]


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


====3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


====4.1 GRE (Generic Routing Encapsulation)====

*'''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab:
*Für ER-X, ER-10X, ER-X-SFP und EP-R6:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar
* Für ER-4, ER-6P, ER-12 und ER-12P:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar

====5.2 Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: SVC
*ETH2: WAN2 (optional)
*ETH3: LAN1
*ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


====5.5 WireGuard-VPN-Konfiguration====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


====5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


====5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


====5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
====7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


====7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

==Referenzen==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

<references />

Umstrukturierung 2022

2024-01-13T14:47:25Z

Cptechnik: code formatierung

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation)====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

*'''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab:
* Für ER-X, ER-10X, ER-X-SFP und EP-R6:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar
* Für ER-4, ER-6P, ER-12 und ER-12P:
add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar

==== 5.2 Portkonfiguration:====
Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt:
* ETH0: WAN1
* ETH1: SVC
* ETH2: WAN2 (optional)
* ETH3: LAN1
* ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:
set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:
set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4


====5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:
set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:
set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4


====5.7 Firewall-Regeln====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:
set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22


==== 5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:
set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable


====5.9 Abschluss der Konfiguration====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:
commit
save
exit
set date ntp


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
==== 7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie

<code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code>

konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

*'''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

== Referenzen ==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T14:34:38Z

Cptechnik: Grafiken

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation)====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

*'''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.


[[Datei:Ubiquiti-edgerouter-4.jpg|alternativtext=Ubiquiti-edgerouter|mini|Ubiquiti-edgerouter]]
===5. Routerkonfiguration===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>


====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>


====5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>


====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>


====5.7 Firewall-Regeln====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>


==== 5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>


====5.9 Abschluss der Konfiguration====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>


===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


[[Datei:Unifi provisioning.png|mini|alternativtext=Unifi provisioning|Unifi provisioning]]
====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


[[Datei:Uisp provisioning.png|mini|alternativtext=Uisp provisioning|Uisp provisioning]]
==== 7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

*'''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

== Referenzen ==
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Datei:Uisp provisioning.png

2024-01-13T14:32:07Z

Cptechnik:

Uisp provisioning

Datei:Unifi provisioning.png

2024-01-13T14:30:10Z

Cptechnik:

Unifi provisioning

Datei:Ubiquiti-edgerouter-4.jpg

2024-01-13T14:19:32Z

Cptechnik:

Umstrukturierung 2022

2024-01-13T14:15:25Z

Cptechnik: /* Referenzen */

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation)====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

*'''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


===5. Routerkonfiguration===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

====5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

====5.7 Firewall-Regeln====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

====5.9 Abschluss der Konfiguration====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

*'''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

=== Referenzen ===
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T14:15:08Z

Cptechnik: Referenz

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation)====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

*'''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


===5. Routerkonfiguration===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

====5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

====5.7 Firewall-Regeln====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

====5.9 Abschluss der Konfiguration====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

*'''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

=== Referenzen ===
Referenzen
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T14:13:33Z

Cptechnik: Referenz

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden. <ref>[https://matrix.to/#/!mWQOqTrcDpdAspBQVZ:matrix.org/$uPzwcCg5kVDaEsENxMT5d5-WXgGc8SIsj1HMRUSFPWw?via=matrix.org&via=tchncs.de&via=networkx.de], Beitrag von Julian in Matrix</ref>


==Freifunk KBU Netzübersicht==


===Inhaltsverzeichnis===

#[[#1-einleitung|Einleitung]]
#[[#2-netzwerkdiagramm|Netzwerkdiagramm]]
#[[#3-kommunikationsablauf|Kommunikationsablauf]]
#*[[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#*[[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#*[[#33-dns-auflösung|3.3 DNS-Auflösung]]
#*[[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#*[[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#*[[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#*[[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#*[[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
#[[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#*[[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#*[[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#*[[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
#[[#5-routerkonfiguration|Routerkonfiguration]]
#*[[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#*[[#52-portkonfiguration|5.2 Portkonfiguration]]
#*[[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#*[[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#*[[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#*[[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#*[[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#*[[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
#[[#6-unifi-provisionierung|Unifi Provisionierung]]
#*[[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#*[[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#*[[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#*[[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#*[[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#*[[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#*[[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
#[[#7-uisp-provisionierung|UISP Provisionierung]]
#*[[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#*[[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#*[[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#*[[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#*[[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#*[[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#*[[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
#[[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


===1. Einleitung===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


===2. Netzwerkdiagram===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


===3. Kommunikationsablauf===


====3.1 Client-Verbindung zum Router====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


====3.2 Zuweisung von IP-Adressen====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


====3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


====3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


====3.5 Verbindung zu Freifunk Rheinland====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


====3.6 Unifi Accesspoints-Integration====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


====3.7 UISP Controller-Konnektivität====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


===4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation)====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
*'''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


====4.2 BGP (Border Gateway Protocol)====

*'''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
*'''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


====4.3 OSPF (Open Shortest Path First)====

*'''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
*'''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


===5. Routerkonfiguration===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


====5.1 Firmware-Upgrade:====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


====5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

====5.4 DNS- und DHCP-Einstellungen====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

====5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

====5.6 NTP (Network Time Protocol) Einstellungen====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

====5.7 Firewall-Regeln====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

====5.9 Abschluss der Konfiguration====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

===6. Unifi Provisionierung===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


====6.1 Physische Verbindung und Initialisierung====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


====6.2 DHCP und Netzwerkzuweisung====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


====6.3 DNS-Auflösung des Unifi Controllers====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


====6.4 Kommunikation mit dem Unifi Controller====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


====6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


====6.6 Betriebsbereitschaft und Management====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


====6.7 Sicherheitsaspekte====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


===7. UISP Provisionierung===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


====7.3 DNS-Konfiguration für UISP====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


====7.4 Firewall-Konfiguration====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


====7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


====7.6 Registrierung und Authentifizierung am UISP-Server====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


====7.7 Überwachung und Verwaltung====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


===8. Glossar der verwendeten Technologien===

*'''Freifunk''': [https://freifunk.net/ Freifunk Website]
*'''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
*'''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
*'''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
*'''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
*'''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]
<references group="Referrenzen" />
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T14:10:28Z

Cptechnik: Versuch Referenz

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden.


== Freifunk KBU Netzübersicht ==


=== Inhaltsverzeichnis ===

# [[#1-einleitung|Einleitung]]
# [[#2-netzwerkdiagramm|Netzwerkdiagramm]]
# [[#3-kommunikationsablauf|Kommunikationsablauf]]
#* [[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#* [[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#* [[#33-dns-auflösung|3.3 DNS-Auflösung]]
#* [[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#* [[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#* [[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#* [[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#* [[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
# [[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#* [[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#* [[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#* [[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
# [[#5-routerkonfiguration|Routerkonfiguration]]
#* [[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#* [[#52-portkonfiguration|5.2 Portkonfiguration]]
#* [[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#* [[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#* [[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#* [[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#* [[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#* [[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
# [[#6-unifi-provisionierung|Unifi Provisionierung]]
#* [[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#* [[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#* [[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#* [[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#* [[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#* [[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#* [[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
# [[#7-uisp-provisionierung|UISP Provisionierung]]
#* [[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#* [[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#* [[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#* [[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#* [[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#* [[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#* [[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
# [[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


=== 1. Einleitung ===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== 2. Netzwerkdiagram ===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


=== 3. Kommunikationsablauf ===


==== 3.1 Client-Verbindung zum Router ====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== 3.2 Zuweisung von IP-Adressen ====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== 3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== 3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== 3.5 Verbindung zu Freifunk Rheinland ====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== 3.6 Unifi Accesspoints-Integration ====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== 3.7 UISP Controller-Konnektivität ====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln ====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== 4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud ===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation) ====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
* '''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== 4.2 BGP (Border Gateway Protocol) ====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
* '''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== 4.3 OSPF (Open Shortest Path First) ====

* '''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
* '''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


=== 5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== 5.1 Firmware-Upgrade: ====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


==== 5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

==== 5.4 DNS- und DHCP-Einstellungen ====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

==== 5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

==== 5.6 NTP (Network Time Protocol) Einstellungen ====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

==== 5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen ====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

==== 5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

=== 6. Unifi Provisionierung ===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== 6.1 Physische Verbindung und Initialisierung ====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


==== 6.2 DHCP und Netzwerkzuweisung ====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== 6.3 DNS-Auflösung des Unifi Controllers ====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== 6.4 Kommunikation mit dem Unifi Controller ====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== 6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== 6.6 Betriebsbereitschaft und Management ====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


==== 6.7 Sicherheitsaspekte ====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== 7. UISP Provisionierung ===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration ====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP ====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


==== 7.3 DNS-Konfiguration für UISP ====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== 7.4 Firewall-Konfiguration ====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== 7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== 7.6 Registrierung und Authentifizierung am UISP-Server ====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== 7.7 Überwachung und Verwaltung ====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== 8. Glossar der verwendeten Technologien ===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
* '''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
* '''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
* '''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
* '''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
* '''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]
<references />
[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T14:05:54Z

Cptechnik: Vorwort

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]
== Vorwort ==
Da sich der Freifunk vom experimentellen Bürgerfunk mehr und mehr im KBU Netz zur Versorgung von Unterkünften gewandelt hat, hat sich auch ein Problem ergeben: Batman ist überfordert mit der Versorgung der Unterkünften, und das Managen der vielen Geräte über eine gemeinsame Verwaltungssoftware vereinfacht die Arbeit, die in den letzten Jahren an ganz wenigen hängen geblieben ist. Da ist jede Performance-Steigerung und Vereinfachung der Arbeit für Administratoren wichtiger als die flexible Netzstruktur eines Bürgerfunks, der aber weiterhin möglich sein soll. Dafür muss das Netz aber komplett auf den Kopf gestellt werden, und erfolgreiche Vorgehensweisen aus anderen Community's können mit einfließen und uralter Ballast kann abgestoßen werden.


== Freifunk KBU Netzübersicht ==


=== Inhaltsverzeichnis ===

# [[#1-einleitung|Einleitung]]
# [[#2-netzwerkdiagramm|Netzwerkdiagramm]]
# [[#3-kommunikationsablauf|Kommunikationsablauf]]
#* [[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#* [[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#* [[#33-dns-auflösung|3.3 DNS-Auflösung]]
#* [[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#* [[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#* [[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#* [[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#* [[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
# [[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#* [[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#* [[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#* [[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
# [[#5-routerkonfiguration|Routerkonfiguration]]
#* [[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#* [[#52-portkonfiguration|5.2 Portkonfiguration]]
#* [[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#* [[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#* [[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#* [[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#* [[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#* [[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
# [[#6-unifi-provisionierung|Unifi Provisionierung]]
#* [[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#* [[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#* [[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#* [[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#* [[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#* [[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#* [[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
# [[#7-uisp-provisionierung|UISP Provisionierung]]
#* [[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#* [[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#* [[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#* [[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#* [[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#* [[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#* [[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
# [[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


=== 1. Einleitung ===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== 2. Netzwerkdiagram ===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


=== 3. Kommunikationsablauf ===


==== 3.1 Client-Verbindung zum Router ====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== 3.2 Zuweisung von IP-Adressen ====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== 3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== 3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== 3.5 Verbindung zu Freifunk Rheinland ====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== 3.6 Unifi Accesspoints-Integration ====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== 3.7 UISP Controller-Konnektivität ====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln ====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== 4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud ===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation) ====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
* '''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== 4.2 BGP (Border Gateway Protocol) ====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
* '''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== 4.3 OSPF (Open Shortest Path First) ====

* '''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
* '''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


=== 5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== 5.1 Firmware-Upgrade: ====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


==== 5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

==== 5.4 DNS- und DHCP-Einstellungen ====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

==== 5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

==== 5.6 NTP (Network Time Protocol) Einstellungen ====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

==== 5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen ====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

==== 5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

=== 6. Unifi Provisionierung ===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== 6.1 Physische Verbindung und Initialisierung ====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


==== 6.2 DHCP und Netzwerkzuweisung ====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== 6.3 DNS-Auflösung des Unifi Controllers ====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== 6.4 Kommunikation mit dem Unifi Controller ====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== 6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== 6.6 Betriebsbereitschaft und Management ====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


==== 6.7 Sicherheitsaspekte ====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== 7. UISP Provisionierung ===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration ====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP ====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


==== 7.3 DNS-Konfiguration für UISP ====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== 7.4 Firewall-Konfiguration ====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== 7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== 7.6 Registrierung und Authentifizierung am UISP-Server ====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== 7.7 Überwachung und Verwaltung ====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== 8. Glossar der verwendeten Technologien ===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
* '''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
* '''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
* '''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
* '''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
* '''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Umstrukturierung 2022

2024-01-13T12:53:26Z

Cptechnik: Erstellung

[[Datei:Neue Netzstruktur Schema.png|mini|alternativtext=Neue Netzstruktur|Neue Netzstruktur]]

== Freifunk KBU Netzübersicht ==


=== Inhaltsverzeichnis ===

# [[#1-einleitung|Einleitung]]
# [[#2-netzwerkdiagramm|Netzwerkdiagramm]]
# [[#3-kommunikationsablauf|Kommunikationsablauf]]
#* [[#31-client-verbindung-zum-router|3.1 Client-Verbindung zum Router]]
#* [[#32-zuweisung-von-ip-adressen|3.2 Zuweisung von IP-Adressen]]
#* [[#33-dns-auflösung|3.3 DNS-Auflösung]]
#* [[#34-routing-über-wireguard-vpn|3.4 Routing über Wireguard-VPN]]
#* [[#35-verbindung-zu-freifunk-rheinland|3.5 Verbindung zu Freifunk Rheinland]]
#* [[#36-unifi-accesspoints-integration|3.6 Unifi Accesspoints-Integration]]
#* [[#37-uisp-controller-konnektivität|3.7 UISP Controller-Konnektivität]]
#* [[#38-firewall-und-sicherheitsregeln|3.8 Firewall- und Sicherheitsregeln]]
# [[#4-gre-bgp-und-ospf-im-kontext-von-freifunk-und-hetzner-cloud|GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud]]
#* [[#41-gre-generic-routing-encapsulation|4.1 GRE (Generic Routing Encapsulation)]]
#* [[#42-bgp-border-gateway-protocol|4.2 BGP (Border Gateway Protocol)]]
#* [[#43-ospf-open-shortest-path-first|4.3 OSPF (Open Shortest Path First)]]
# [[#5-routerkonfiguration|Routerkonfiguration]]
#* [[#51-firmware-upgrade|5.1 Firmware-Upgrade]]
#* [[#52-portkonfiguration|5.2 Portkonfiguration]]
#* [[#53-grundeinstellungen-des-routers|5.3 Grundeinstellungen des Routers]]
#* [[#54-dns--und-dhcp-einstellungen|5.4 DNS- und DHCP-Einstellungen]]
#* [[#55-wireguard-vpn-konfiguration|5.5 WireGuard-VPN-Konfiguration]]
#* [[#56-ntp-network-time-protocol-einstellungen|5.6 NTP (Network Time Protocol) Einstellungen]]
#* [[#57-firewall-regeln|5.7 Firewall-Regeln]]
#* [[#58-systemleistung-und-optimierungen|5.8 Systemleistung und Optimierungen]]
#* [[#59-abschluss-der-konfiguration|5.9 Abschluss der Konfiguration]]
# [[#6-unifi-provisionierung|Unifi Provisionierung]]
#* [[#61-physische-verbindung-und-initialisierung|6.1 Physische Verbindung und Initialisierung]]
#* [[#62-dhcp-und-netzwerkzuweisung|6.2 DHCP und Netzwerkzuweisung]]
#* [[#63-dns-auflösung-des-unifi-controllers|6.3 DNS-Auflösung des Unifi Controllers]]
#* [[#64-kommunikation-mit-dem-unifi-controller|6.4 Kommunikation mit dem Unifi Controller]]
#* [[#65-provisionierung-und-konfiguration|6.5 Provisionierung und Konfiguration]]
#* [[#66-betriebsbereitschaft-und-management|6.6 Betriebsbereitschaft und Management]]
#* [[#67-sicherheitsaspekte|6.7 Sicherheitsaspekte]]
# [[#7-uisp-provisionierung|UISP Provisionierung]]
#* [[#71-vorbereitung-der-edgeos-konfiguration|7.1 Vorbereitung der EdgeOS-Konfiguration]]
#* [[#72-einrichtung-einer-statischen-route-zu-uisp|7.2 Einrichtung einer statischen Route zu UISP]]
#* [[#73-dns-konfiguration-für-uisp|7.3 DNS-Konfiguration für UISP]]
#* [[#74-firewall-konfiguration|7.4 Firewall-Konfiguration]]
#* [[#75-einrichtung-der-uisp-agent-software-auf-dem-router|7.5 Einrichtung der UISP-Agent-Software auf dem Router]]
#* [[#76-registrierung-und-authentifizierung-am-uisp-server|7.6 Registrierung und Authentifizierung am UISP-Server]]
#* [[#77-überwachung-und-verwaltung|7.7 Überwachung und Verwaltung]]
# [[#8-glossar-der-verwendeten-technologien|Glossar der verwendeten Technologien]]


=== 1. Einleitung ===

Dieses Dokument bietet eine umfassende Übersicht und technische Anleitung zur Konfiguration und Verwendung eines EdgeOS-basierten Routers im Kontext des Freifunk KBU Netzwerks. Ziel ist es, eine detaillierte Darstellung der Netzwerkkonfiguration, des Provisionierungsprozesses von Unifi Accesspoints und der Integration des UISP-Controllers zu bieten.

Das Dokument richtet sich an Netzwerkadministratoren, IT-Fachleute und technisch versierte Freifunk-Enthusiasten, die ein tiefgreifendes Verständnis der Funktionsweise und Konfiguration eines Freifunk-kompatiblen Routers erlangen möchten. Es behandelt verschiedene Aspekte der Netzwerkkonfiguration, einschließlich DHCP- und DNS-Einstellungen, VPN-Einrichtung über WireGuard, NTP-Konfiguration, Firewall-Regeln und die Integration und Verwaltung von Unifi Accesspoints und des UISP-Controllers.

Zusätzlich beinhaltet das Dokument ein Netzwerkdiagramm zur Visualisierung der Netzwerktopologie sowie ein Glossar der verwendeten Technologien und Konzepte, um dem Leser ein besseres Verständnis der einzelnen Komponenten und deren Zusammenspiel zu ermöglichen.

Der Fokus liegt dabei auf der praktischen Anwendung und dem Verständnis der Technologien im Kontext des Freifunk-Netzwerks, mit besonderem Augenmerk auf die Besonderheiten und Anforderungen, die mit der Verwendung von Ubiquiti-Geräten und EdgeOS in einem Freifunk-Umfeld einhergehen.


=== 2. Netzwerkdiagram ===

<img style="float: none; padding: 24px 0px" src="netz.jpg">


=== 3. Kommunikationsablauf ===


==== 3.1 Client-Verbindung zum Router ====

Clients verbinden sich über LAN-Ports oder WLAN mit dem Router. Diese Verbindung erfolgt entweder direkt über die LAN-Ports des Routers oder indirekt über angeschlossene WLAN-Access-Points.


==== 3.2 Zuweisung von IP-Adressen ====

Sobald eine Verbindung hergestellt ist, weist der DHCP-Server des Routers dem Client eine IPv4-Adresse aus einem definierten Bereich (z.B. <code>10.200.0.0/16</code> zu. IPv6 Adressen werden gemäß SLAAC generiert, dessen Präfix der Router via RadV zuweist. Die Router-Adresse dient als Standard-Gateway für die Clients und wird für die Weiterleitung des Datenverkehrs verwendet.


==== 3.3 DNS-Auflösung ====

Der Router agiert als DNS-Relay inkl. Caching. DNS-Anfragen der Clients werden vom Router an konfigurierte DNS-Server weitergeleitet, um Domainnamen in IP-Adressen aufzulösen.


==== 3.4 Routing über Wireguard-VPN ====

Für ausgehenden Datenverkehr stellt der Router eine gesicherte Wireguard-VPN-Verbindung zu vordefinierten Exitnodes her. Diese VPN-Verbindung fungiert als Tunnel, durch den der gesamte Client-Datenverkehr geleitet wird. Die Wireguard-Verbindung nutzt eine dedizierte interne IP-Adresse für die Tunnel-Schnittstelle und stellt über diese eine Verbindung zu den öffentlichen IP-Adressen der Freifunk Exitnodes her.


==== 3.5 Verbindung zu Freifunk Rheinland ====

Nach dem Durchlaufen des Wireguard-Tunnels wird der Datenverkehr von den Freifunk Exitnodes zum Freifunk Rheinland Backbone weitergeleitet. Dies ermöglicht den Clients den Zugang zum Internet und zu Freifunk-spezifischen Diensten.


==== 3.6 Unifi Accesspoints-Integration ====

Unifi Accesspoints, die über das LAN-Netzwerk mit dem Router verbunden sind, können auf den Unifi Controller zugreifen, der für die Verwaltung und Konfiguration der WLAN-Access-Points zuständig ist. Dies erfolgt über spezifische Ports, die in den Firewall-Regeln des Routers definiert sind.


==== 3.7 UISP Controller-Konnektivität ====

Der Router selbst kann eine Verbindung zum UISP Controller herstellen, der für die Fernüberwachung und -verwaltung von Ubiquiti-Geräten im Netzwerk genutzt wird. Diese Verbindung erfolgt über eine spezifische statische Route, die den Traffic zum UISP Controller lenkt.


==== 3.8 Firewall- und Sicherheitsregeln ====

Der Router implementiert eine Reihe von Firewall-Regeln, um den Datenverkehr zu und von den Clients sowie zwischen den verschiedenen Diensten und externen Zielen zu regulieren. Diese Regeln schützen das Netzwerk vor unerwünschtem Zugriff und gewährleisten die Sicherheit des Datenverkehrs.


=== 4. GRE, BGP und OSPF im Kontext von Freifunk und Hetzner Cloud ===

In einem Freifunk-Netzwerk, insbesondere wenn es in der Hetzner Cloud implementiert wird, spielen GRE (Generic Routing Encapsulation), BGP (Border Gateway Protocol) und OSPF (Open Shortest Path First) eine zentrale Rolle für die Netzwerkeffizienz und -stabilität. Diese Technologien ermöglichen eine flexible, skalierbare und effiziente Netzwerkkonfiguration und -verwaltung. Im Folgenden wird der Sinn und Zweck dieser Technologien im Kontext von Freifunk und Hetzner Cloud erläutert:


==== 4.1 GRE (Generic Routing Encapsulation) ====

* '''Zweck''': GRE wird in Freifunk-Netzwerken verwendet, um eine Punkt-zu-Punkt-Verbindung zwischen verschiedenen Netzwerkgeräten über ein IP-basiertes Netzwerk zu ermöglichen. Dies ist besonders nützlich in Cloud-Umgebungen wie Hetzner Cloud, wo Geräte über das Internet verbunden sind.
* '''Vorteile''': GRE ermöglicht die Kapselung verschiedener Netzwerkprotokolle über IP-Netzwerke, wodurch die Schaffung von virtuellen Netzwerkverbindungen zwischen Geräten in unterschiedlichen geografischen Standorten ermöglicht wird. Es ist eine einfache und effektive Methode, um Netzwerke über unabhängige Infrastrukturen hinweg zu verbinden.


==== 4.2 BGP (Border Gateway Protocol) ====

* '''Zweck''': BGP ist ein Kernprotokoll zur Steuerung der Weiterleitung und des Routings im Internet. In Freifunk-Netzwerken, die auf der Hetzner Cloud basieren, kann BGP dazu verwendet werden, die Routenverteilung zwischen verschiedenen Freifunk-Gateways und der Cloud-Infrastruktur zu steuern.
* '''Vorteile''': Mit BGP können dynamische, effiziente und skalierbare Routing-Entscheidungen getroffen werden. Es unterstützt die Lastverteilung und Redundanz, was in einem wachsenden und sich verändernden Netzwerk wie Freifunk besonders wichtig ist.


==== 4.3 OSPF (Open Shortest Path First) ====

* '''Zweck''': OSPF ist ein internes Gateway-Protokoll, das für das Routing innerhalb eines autonomen Systems wie dem eines Freifunk-Netzwerks verwendet wird. In Kombination mit der Hetzner Cloud ermöglicht OSPF eine effiziente interne Routenberechnung und -verteilung.
* '''Vorteile''': OSPF ist besonders nützlich für komplexe Netzwerktopologien, wie sie in Freifunk-Netzwerken oft vorkommen. Es ermöglicht eine schnelle Anpassung an Netzwerkänderungen, wie z.B. das Hinzufügen oder Entfernen von Knoten, und gewährleistet so eine optimale Routenwahl.

Die Integration von GRE, BGP und OSPF in Freifunk-Netzwerken, die auf Cloud-Diensten wie Hetzner Cloud basieren, bietet eine robuste Lösung für das Routing und die Netzwerkverwaltung. Diese Technologien tragen dazu bei, die Netzwerkleistung zu optimieren, die Skalierbarkeit zu erhöhen und eine hohe Verfügbarkeit und Zuverlässigkeit des Freifunk-Netzwerks zu gewährleisten.

<img style="width: 45%; float: right; padding: 24px 0px 0px 16px" src="ubiquiti-edgerouter-4.jpg">


=== 5. Routerkonfiguration ===

Die Konfiguration des Routers im Freifunk-Netzwerk basiert auf dem EdgeOS-Betriebssystem und umfasst mehrere wichtige Schritte und Kommandos. Die Konfiguration ist in verschiedene Abschnitte gegliedert, darunter Firmware-Upgrade, Portkonfiguration, Netzwerkeinstellungen, DNS- und DHCP-Konfiguration, WireGuard-VPN-Einrichtung, NTP-Konfiguration und Firewall-Regeln. Der folgende Abschnitt beschreibt Auszüge aus dem Provisionierungsscript.


==== 5.1 Firmware-Upgrade: ====

Bevor mit der Konfiguration begonnen wird, ist es wichtig, die Firmware des Routers zu überprüfen und gegebenenfalls zu aktualisieren. Die Befehle für das Firmware-Upgrade hängen vom spezifischen Routermodell ab: - Für ER-X, ER-10X, ER-X-SFP und EP-R6: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e50.v3.0.0-rc.5.5669575.tar</code> - Für ER-4, ER-6P, ER-12 und ER-12P: <code>bash add system image https://dl.ui.com/firmwares/edgemax/v3.0.0-rc.5/ER-e300.v3.0.0-rc.5.5669576.tar</code> ### 5.2 Portkonfiguration Die Portkonfiguration des Routers wird entsprechend den Netzwerkanforderungen eingestellt: - ETH0: WAN1 - ETH1: SVC - ETH2: WAN2 (optional) - ETH3: LAN1 - ETH4: LAN2 (falls vorhanden)


==== 5.3 Grundeinstellungen des Routers ====

Grundeinstellungen umfassen die Definition des Routernamens, der Standortadresse und anderer spezifischer Einstellungen:

<syntaxhighlight lang="bash">set system host-name fflkw
set system location "Musterstraße 123, 12345 Musterstadt"
set system login user ubnt authentication encrypted-password '***'</syntaxhighlight>

==== 5.4 DNS- und DHCP-Einstellungen ====

DNS- und DHCP-Konfigurationen werden vorgenommen, um Netzwerkclients IP-Adressen zuzuweisen und DNS-Anfragen zu verwalten:

<syntaxhighlight lang="bash">set service dhcp-server shared-network-name LAN1 subnet 10.200.0.0/16 start 10.200.0.101 stop 10.200.255.254
set service dns forwarding name-server 10.0.1.3
set service dns forwarding name-server 10.0.1.4</syntaxhighlight>

==== 5.5 WireGuard-VPN-Konfiguration ====

Einrichtung von WireGuard-VPN mit detaillierten Einstellungen für Endpunkte, Gateways und private Schlüssel:

<syntaxhighlight lang="bash">set interfaces wireguard wg0 address 10.100.0.11/32
set interfaces wireguard wg0 address 2a03:2260:101a:100::11/128
set interfaces wireguard wg0 peer *** endpoint 116.203.4.48:19405
set interfaces wireguard wg0 peer *** allowed-ips ::/0,0.0.0.0/0
set interfaces wireguard wg0 private-key /config/auth/wg.key</syntaxhighlight>

==== 5.6 NTP (Network Time Protocol) Einstellungen ====

Konfiguration von NTP-Servern für die Zeit-Synchronisation:

<syntaxhighlight lang="bash">set system ntp server 192.53.103.103 prefer
set system ntp server 10.0.1.3
set system ntp server 10.0.1.4</syntaxhighlight>

==== 5.7 Firewall-Regeln ====

Einrichtung von Firewall-Regeln für verschiedene Szenarien, einschließlich WAN- und LAN-Schnittstellen sowie IPv4- und IPv6-Konfigurationen:

<syntaxhighlight lang="bash">set firewall name WAN_LOCAL_V4 rule 10 action accept
set firewall name WAN_LOCAL_V4 rule 10 protocol icmp
set firewall name WAN_LOCAL_V4 rule 20 action accept
set firewall name WAN_LOCAL_V4 rule 20 protocol tcp
set firewall name WAN_LOCAL_V4 rule 20 destination port 22</syntaxhighlight>

==== 5.8 Systemleistung und Optimierungen ====

Einstellungen zur Systemleistung und Offloading-Optionen, abhängig vom Routermodell:

<syntaxhighlight lang="bash">set system offload hwnat enable
set system offload ipv4 forwarding enable
set system offload ipv6 forwarding enable</syntaxhighlight>

==== 5.9 Abschluss der Konfiguration ====

Speichern der Konfiguration und Ausführen zusätzlicher Befehle zur Sicherstellung der NTP-Zeitsynchronisation:

<syntaxhighlight lang="bash">commit
save
exit
set date ntp</syntaxhighlight>

=== 6. Unifi Provisionierung ===

Der Provisionierungsablauf von Unifi Accesspoints (APs) anhand der gegebenen Routerkonfiguration ist ein mehrstufiger Prozess, der eine nahtlose Integration der APs in das Netzwerk unter Verwendung des Unifi Controllers ermöglicht. Hier ist eine detaillierte Beschreibung des Ablaufs:


==== 6.1 Physische Verbindung und Initialisierung ====

Die Unifi APs werden physisch mit dem Router verbunden, typischerweise über die LAN-Ports des Routers. Sobald die Verbindung hergestellt ist, initialisieren sich die APs und beziehen ihre Grundkonfigurationen über das Netzwerk. <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="unifi_provisioning.png">


==== 6.2 DHCP und Netzwerkzuweisung ====

Die APs erhalten automatisch eine IP-Adresse vom DHCP-Server des Routers. Dieser Schritt ist entscheidend, da die APs eine gültige IP-Adresse benötigen, um mit dem Unifi Controller kommunizieren zu können.


==== 6.3 DNS-Auflösung des Unifi Controllers ====

Der Unifi Controller wird typischerweise über einen Domainnamen angesprochen. Die APs nutzen den DNS-Service des Routers, um die IP-Adresse des Unifi Controllers zu ermitteln. Der Router leitet DNS-Anfragen an die konfigurierten primären und sekundären DNS-Server weiter.


==== 6.4 Kommunikation mit dem Unifi Controller ====

Sobald die APs die IP-Adresse des Unifi Controllers kennen, initiieren sie eine Verbindung zu diesem. Die Firewall-Regeln des Routers erlauben spezifischen Traffic (gemäß den in der Konfiguration definierten Regeln) zu den Ports des Unifi Controllers.


==== 6.5 Provisionierung und Konfiguration =====

Der Unifi Controller erkennt die neuen APs und beginnt mit der Provisionierung. Dies umfasst das Senden von Konfigurationsdaten an die APs, einschließlich Netzwerkeinstellungen, SSIDs und Sicherheitsprotokollen.


==== 6.6 Betriebsbereitschaft und Management ====

Nach Abschluss der Provisionierung sind die APs betriebsbereit und bieten Zugriffspunkte für das WLAN-Netzwerk. Der Unifi Controller überwacht und verwaltet die APs kontinuierlich, ermöglicht Firmware-Updates, Netzwerkanpassungen und Leistungsüberwachung.


==== 6.7 Sicherheitsaspekte ====

Die Sicherheit im gesamten Provisionierungsprozess wird durch die Firewall-Regeln des Routers, die verschlüsselte Kommunikation zwischen den APs und dem Controller sowie durch die Sicherheitsprotokolle der WLAN-Netzwerke gewährleistet.


=== 7. UISP Provisionierung ===

Die Konnektivität eines EdgeOS-basierten Routers mit dem UISP (Ubiquiti Network Management System) erfolgt in mehreren Schritten. Diese Schritte sind speziell auf die Konfiguration und Funktionalitäten von EdgeOS zugeschnitten. Hier ist der Ablauf: <img style="width: 55%; float: right; padding: 24px 0px 0px 16px" src="uisp_provisioning.png">


==== 7.1 Vorbereitung der EdgeOS-Konfiguration ====

Zunächst muss sichergestellt werden, dass der Router korrekt konfiguriert ist und eine stabile Internetverbindung hat. Dies beinhaltet die richtige Einstellung der WAN- und LAN-Interfaces und die Gewährleistung, dass der Router DNS-Anfragen korrekt auflösen kann.


==== 7.2 Einrichtung einer statischen Route zu UISP ====

Im EdgeOS wird eine statische Route zum UISP-Server eingerichtet. Das bedeutet, dass Traffic, der für UISP bestimmt ist, explizit über eine bestimmte Route (typischerweise über das WAN-Interface) gesendet wird. Dies kann durch Befehle wie <code>set protocols static route <UISP_SERVER_IP>/32 next-hop <WAN_INTERFACE_GATEWAY_IP></code> konfiguriert werden.


==== 7.3 DNS-Konfiguration für UISP ====

Der EdgeOS-Router muss in der Lage sein, den DNS-Namen des UISP-Servers aufzulösen. Daher muss der DNS-Dienst des Routers korrekt konfiguriert sein, um Anfragen an die entsprechenden DNS-Server weiterzuleiten.


==== 7.4 Firewall-Konfiguration ====

Die Firewall des Routers muss so konfiguriert werden, dass Verbindungen zum UISP-Server zugelassen werden. Dies umfasst das Öffnen der notwendigen Ports und das Erlauben ausgehenden Traffics zum UISP-Server.


==== 7.5 Einrichtung der UISP-Agent-Software auf dem Router ====

EdgeOS erfordert die Installation und Konfiguration des UISP-Agenten auf dem Router. Dieser Agent ist verantwortlich für die Kommunikation mit dem UISP-Server. Die Installation kann über die Kommandozeile des EdgeOS erfolgen, und der Agent muss mit den entsprechenden Zugangsdaten für den UISP-Server konfiguriert werden.


==== 7.6 Registrierung und Authentifizierung am UISP-Server ====

Nach der Einrichtung des UISP-Agenten muss der Router sich beim UISP-Server registrieren. Dies erfolgt in der Regel über die UISP-Benutzeroberfläche, wo der Router hinzugefügt und authentifiziert wird.


==== 7.7 Überwachung und Verwaltung ====

Sobald die Verbindung hergestellt ist, kann der Router über die UISP-Oberfläche überwacht und verwaltet werden. Dies beinhaltet den Zugriff auf Statusinformationen, Leistungsdaten, Konfigurationseinstellungen und die Möglichkeit, Firmware-Updates zu verwalten.

Dieser Prozess ermöglicht eine effektive Fernverwaltung des EdgeOS-Routers über das UISP, was zu einer verbesserten Netzwerkverwaltung und -überwachung führt.


=== 8. Glossar der verwendeten Technologien ===

* '''Freifunk''': [https://freifunk.net/ Freifunk Website]
* '''EdgeOS''': [https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf EdgeOS User Guide]
* '''WireGuard VPN''': [https://www.wireguard.com/ WireGuard Official Site]
* '''Freifunk Rheinland e.V.''': [https://www.freifunk-rheinland.net/ Freifunk Rheinland Website]
* '''Unifi Controller''': [https://help.ui.com/hc/en-us/categories/200320654-UniFi-Network Unifi Controller Documentation]
* '''UISP (Ubiquiti Network Management System)''': [https://uisp.com UISP Info]

[[Kategorie:Umstrukturierung]]
[[Kategorie:Netzdesign]]

Kategorie:Infrastruktur

2024-01-13T12:46:57Z

Cptechnik: Kategorie

__NOTOC__
== Server ==
=== Exit Nodes ===
{{:Serverliste:Exit_Nodes}}
=== Supernodes ===
{{:Serverliste:Supernodes}}
=== Diverse ===
{{:Serverliste:Diverse}}

[[IP Subnetze]]

'''DNS *.kbu.freifunk.net'''

Ansprechpartner für die Administration des DNS, für die Domain *.kbu.freifunk.net sind:
[[User:kaleng|kaleng]], [[User:gevatter|gevatter]], [[User:d0b|d0b]]

=== Mindmap / Organigramm der Server ===
(Stand 05/2023)
[[Datei:KBU-Freifunk-Server.png|1000px|rahmenlos|ohne|alternativtext=Mindmap der Freifunk-Server|Mindmap der Freifunk-Server]]

[[Kategorie:internes]]
[[Kategorie:Infrastruktur]]

Meshviewer

2024-01-13T12:44:16Z

Cptechnik: Kategorie

HIER WIRD DRAN GEARB4IETET...!

Eine Übersicht unseres netzes bzw der betriebenen Router kann man unter der Adresse

<big>'''https://map.kbu.freifunk.net'''</big>

anschauen.

== Timeout-Zeiten ==
* Router offline
** Wenn ein Router ausgeschaltet wird, wird er nach ''1 Minute'' rot dargestellt
* Router verschwunden
** Router (in rot) werden nach ''7 Tagen'' von der Karte genommen.
* Links werden auf Grund ihrer Zuverlässigkeit angezeigt.
** Ist die Verbindung gut in grün,
** ist sie ausgefallen in rot, und
** je schlechter die Verbindung wird, je mehr ändert sich die Linkfarbe von grün in rot.

== Details zum Router ==

=== IP Adressen ===
Ein klick auf die IP Adresse öffnet die direkte Statusseite, die direkt vom Router kommt.

=== Symbolbedeutung ===
* Gruppe: Anzahl der Teilnehmer
* roter Punkt: 2,4 GHz Teilnehmer (Einstieg)
* gelber Punkt: 5 GHz Teilnehmer (Einstieg)
* türkiser (blau-grüner) Punkt: Teilnehmer die übers LAN oder anderweitig Freifunk nutzen

=== Verbindung ===
Hier werden die Mesh-Verbindungen aufgelistet, ob per Funk oder übers LAN (Netzwerksymbol) oder WAN oder per VPN (Wiregurard)
.

== Mögliche Fehlermeldungen ==
Falls die Karte mal hängt, also ein JSON Fehler angezeigt wird, kann es sein dass der Euskirchener Server die Daten nicht bereitstellt, das passiert schonmal.

Am besten den Admins Bescheid geben (matrix oder zur Not Mailingliste)!

( Wer die Debug-Konsole vom Browser öffnet wird unter Netzwerk sehen, dass dort eine Datei nicht oder mit großer Verzögerung geladen werden kann. )

[[Kategorie:Karte]]
[[Kategorie:Map]]
[[Kategorie:Netzdesign]]

Architektur

2024-01-13T12:40:43Z

Cptechnik: Kategorie

{{TOCright}}
'''Hinweis''': Dieser Artikel beschreibt das Freifunk-Netz aus konzeptioneller Sicht und erklärt viele, tiefe Details. Um einfach mitzumachen musst Du nicht alles davon verstehen - wenn Du Interesse hast, lese einfach weiter :-).

== Kurzzusammenfassung ==

Freifunk-KBU verfolgt die [[Netzwerk-Konfiguration#Komplettes_Bridging | Komplettes Bridging]]-Strategie: Das gesamte KBU-Netz bildet eine Broadcast-Domäne. Fastd-Server verbinden als Supernodes WLAN-Mesh-Partionen. IP-Adressen werden an Clients per DHCP und radvd vergeben. Nodes erhalten keine IPv4 aber eine IPv6 Adresse. Ein routed Backbone-VPN (tinc) verbindet die Supernodes und ermöglicht Routing zum Exit.

== Einleitung ==
Dieser Artikel beschreibt die Architektur des in Köln, Bonn und Umgebung verwendeten Freifunk-Netzes. Dabei wird insbesondere auf die Zusammenhänge zwischen Server-Konfiguration und Firmware-Eigenschaften eingegangen. Hierbei gibt die Architektur vor, wie Nodes, Supernodes, Server und Klienten konfiguriert werden müssen.

Im Rahmen der Einleitung wird die verwendete Strategie (''komplettes Bridging'') dargelegt. Die folgenden Absätze (OSI-2: Bridging, OSI-3: Routing) gehen detailliert auf die verschiedenen Schichten des Netzes ein. Der letzte Absatz gibt einen Ausblick auf mögliche Änderung, die in Zukunft einziehen können.

=== Strategie ===
Das Netz besteht aus Klienten, Nodes und Supernodes. Die verwendete [[Netzwerk-Konfiguration#Komplettes_Bridging | Komplettes Bridging Strategie]] sieht vor, dass das komplette Netz ein einziges zusammenhängendes OSI-2 Segment bildet. Dieses Segment verbindet alle Teilnehmer. Dadurch sind je 2 Klienten in verschiedenen Teilen des Netzes immer über eine zu Grunde liegende Infrastruktur via "Ethernet" (WLAN / LAN) miteinander verbunden. Für die Infrastruktur wird batman-adv (http://www.open-mesh.org/) verwendet - sie wird als hierachisches [[Wikipedia:Peer-to-Peer | P2P-Netz]] realisiert. Somit: 
''Daten zwischen Netzteilnehmer werden als Frames switched, das Netz bildet eine große Broadcast-/Link-Local-Multicast-Domäne.''

=== Supernodes ===
[[Datei:Super-node-overview.png|thumb|300px|right|Abb. 1]]
[[supernode|Supernodes]] (auch: fastd-Server) sind Nodes, die VPN-Verbindungen von Nodes entgegen nehmen. Ein Supernode ist im Internet erreichbar, d.h. Nodes können VPN-Verbindungen dorthin initiieren, auch wenn sie sich z.B. hinter einem [[Wikipedia:Network_Address_Translation | NAT]] befinden. Supernodes verfügen über eine gute Internet-Anbindung (100MBit/s). Jeder Node hält typischerweise VPN-Verbindungen zu ein bis zwei verschiedenen Supernodes - abhängig von der Firmware. Adressen und VPN-Schlüssel der Supernodes sind fest in der Node-Firmware verdrahtet.

Supernodes werden beispielsweise auf dedizierten Servern ohne WLAN-Konnektivität betrieben.
Abb. 1 zeigt die Kommunikation zwischen Klienten, Nodes und Supernodes. Die Nodes A und B sind mit den Supernodes fastd1 und fastd2 verbunden. Über die eingezeichneten Verbindungen werden batman-adv Frames versendet. Der Klient ist im Infrastruktur-Netz an Node A eingebucht - es werden gewöhnliche Wireless-Lan-Frames verwendet. (''kein batman-adv'')

=== Nodes ===
[[Datei:4.1-All-Bridging.png|thumb|300px|right|Abb. 2]]
Auf den Nodes existieren verschiedene Netze, die teilweise mit einander verbunden sind (Abb. 2). Jeder Node spannt dabei zwei Wireless-Lan-Netze und ggf. eine VPN-Verbindung auf.

* ''wlan0'' wird als "Master"-Netz betrieben
* ''wlan1'' arbeitet als "Ad-Hoc"-Netz
* ''tap0'' ist das VPN-Interface.

wlan1 und tap0 sind hierbei dem ''bat0'' Interface hinzugefügt.

''Hinweis'': Aus technischen Gründen (u.a. vlan-Fähigkeit einzelner Geräte), weichen Interface-Namen in der Node-Firmware z.T. ab.

== OSI-2: Data-Link-Layer ==
[[Datei:Osi-2.png|thumb|350px|right|Abb. 3]]

Die komplettes Bridging Strategie sieht vor, dass alle Stationen zu einem OSI-2 Segment zusammen gefasst werden. Hierbei werden LAN, WLAN und VPN-Verbindungen via bridging verbunden. In diesem Absatz wird die Konfiguration der verschiedenen Komponenten des Segements erläutert. Abb. 3 illustriert das Segment. Es besteht aus den Super-Nodes fastd1, fastd2 und fastd3, den Nodes <tt>b0487aaeec16</tt>, <tt>f8d111883fea</tt> und <tt>d85d4cae420c</tt> sowie zwei Klienten.
* Nodes <tt>b0..</tt> und <tt>f8..</tt> sind per Kabel mit dem Internet verbunden und bauen eine VPN-Verbindung zu jeweils zwei Supernodes auf.
* Node <tt>d8..</tt> verfügt über keine kabelgebundene Verbindung zum Internet. Er ist via ad-hoc wlan mit der Wolke verbunden
* Entlang der blau eingezeichneten Verbindungen werden batman-adv Frames ausgetauscht.
Die Klienten werden daher via batman-adv TT-annouces im Mesh bekannt gemacht. Bridge-Loop-Avoidance (BLA) wird nicht verwendet (http://www.open-mesh.org/projects/batman-adv/wiki/Understand-your-batman-adv-network)

=== Node-IDs ===
Jedem Node wird eine eindeutige ID zugewiesen. Sie entspricht der Hardware-Adresse gemäß Aufkleber - Trennzeichen werden entfernt. (Beispiel: Hardware-Adresse: <tt>F4:EC:38:E9:72:34</tt> => Node-ID: <tt>f4ec38e97234</tt>. Verfügt ein Node über mehrere Interfaces, so wird die des ersten (gemäß Treiber- / Kernel Nummerierung) 2.4 GHz-Interface verwendet.

=== Wireless LAN ===
Im Freifunk-KBU Netz wird IEEE 802.11 verwendet:
* Das Infrastruktur-Netz führt die SSID <tt>kbu.freifunk.net</tt>. Für Klienten erscheint es als normaler Accesspoint.
* Das Ad-Hoc Netz nutzt die ESSID und BSSID: <tt>02:d1:11:37:fc:39</tt> (z.T. Abweichungen). Es ermöglicht die direkte Kommunikation zwischen verschiedenen Nodes.

=== VPN ===
==== Verwendung ====
Verfügt ein Node über einen drahtgebundenen Zugang zum Internet, so baut er eine VPN-Verbindung auf. Als VPN wird fastd (https://projects.universe-factory.net/projects/fastd) verwendet. Fastd baut - ähnlich zu l2tp - per Default Verbindungen nur zwischen zu definierten Links auf. Somit ergibt sich keine Redundanz zur batman-adv Topologie-Ermittlung: Für batman-adv existiert ''nicht'' der transitive Abschluss aller konfigurierten fastd-Links als Broadcast-Medium. Das VPN arbeitet hier als Ersatz für ad-hoc wlan Verbindungen: Teile des Netzes zwischen denen keine Verbindungen bestehen, werden über das VPN zusammen gefasst.
Nodes ohne Verbindung zum VPN-Server bilden eine gemeinsames OSI-2 Segment, wenn eine Ad-Hoc Verbindung besteht oder wenn zwischen ihnen eine VPN-Verbindung manuell konfiguriert wurde
(fastd-Peers per Shell im Dateisystem des Nodes hinterlegt). Eine Verbindung zu Supernodes ist nicht zwingend erforderlich. Somit gilt:

''Das VPN verbindet Ad-Hoc Mesh-Partitionen - Partitionen ohne VPN-Link zu Supernodes arbeiten autark.

=== Frame-Typen ===
Für die genutzten Frame-Typen gilt:
* vlan-Tagging wird nicht verwendet.
* VPN und ad-hoc: ''batman-adv''-Frames
* Infrastruktur-Netz: Gewöhnliche Wireless-Lan Frames (IEEE 802.11)

=== MTU / PMTU ===
* wireless-lan Interfaces verwenden als MTU 1500 Byte
* fastd tap-Interfaces verwenden als MTU 1426 Byte

''Hinweise: ''

fastd-Pakete werden per default nicht fragmentiert. Wird eine VPN-Verbindung mit zu kleiner PMTU verwendet, werden die Pakete verworfen. Die MTU 1426 des fastd-Interfaces errechnet sich durch:
* PMTU des Uplinks: 1500 Byte - 8 Byte = 1492 Byte = MTU einer DSL-PPPoE Verbindung
* Overhead fastd: 1492 Byte - 20 Byte (IP) - 8 Byte (UDP) - 24 Byte (fastd) - 14 Byte (Inner Ethernet) = 1426 Byte

Falls keine fastd-Verschlüsselung verwendet wird (Method: 'null') rediziert sich der fastd-Overhead von 24 Byte auf 1 Byte.

Problematisch ist, dass Netcologne bei ADSL typischerweise nur eine PMTU von 1442 (d.h. 50 Byte weniger) zur Verfügung stellt. Hiermit ist fraglich, in wie weit 1426 als MTU für fastd-Interfaces sinnvoll ist (alternativ: 1376). Aktuell werden alle Supernodes ohne PMTU-Discovery betrieben (<tt>sysctl -w net.ipv4.ip_no_pmtu_disc=1</tt>), so dass das Don't Fragment (DF)-Bit seitens fastd auf 0 gesetzt wird und keine Probleme durch Paketverlust auftreten. Auf den Nodes ist PMTU-Discovery derzeit aktiv - Probleme sind jedoch nicht erkennbar. Mittelfristig sollte das Fragmentierungsverhalten seitens fastd konfigurierbar sein: https://projects.universe-factory.net/issues/120

Somit senden radvds eine MTU von 1350 (1376 - batman-adv Overhead) (<tt>AdvLinkMTU 1350</tt>)

== OSI-3: Network Layer ==
Zur Kommunikation im Freifunk-Netz und mit weiteren Netzen ist es erforderlich, IP-Adressen zu Vergeben und Pakete in andere Netze zu routen. Dieser Absatz beschreibt die verwendete Adressierungs- und Routing-Strategien im Freifunk-Netz. Hierbei wird insbesondere auf das Backbone-VPN (Tinc) und auf die Konfiguration der Supernodes eingegangen.

=== IPv4 ===
[[Datei:Osi-3-v4.png|thumb|400px|right|Abb. 5]]
Abb. 5 illustriert die verwendeten IPv4-Netze. Zur Vereinfachung sind nicht alle Supernodes und Server dargestellt. Von ''oben nach unten'' gesehen werden die Netze wie folgt verwendet (vgl. [[IP Subnetze]]).

==== Mesh ====
In der Mesh-Wolke (dem OSI-2 Segment) werden Adressen aus dem Bereich <tt>172.27.0.0/18</tt> verwendet.
* Supernodes ist eine statische Adresse fest zugewiesen. fastd3 verwendet die Adresse <tt>172.27.8.1</tt> während fastd4 <tt>172.27.16.1</tt> nutzt.
* Nodes besitzen keine IPv4 Adresse - sie sind nicht Teil des IPv4-Netzes. (Evtl. bald doch - siehe Abschnitt [[Architektur#Anycast | Anycast]])
* Jedem Supernode ist ein /21 Netz zugeteilt. Hier: fastd3: <tt>172.27.8.0/21</tt>, fastd4: <tt>172.27.16.0/21</tt>. Sie verfügen somit über je 2048 Adressen.
** Jeder Supernode betreibt einen DHCP-Server, der Adressen aus dem zugeteilten Bereich in der Mesh-Cloud vergibt. fastd3 vergibt beispielsweise Adressen aus dem Bereich <tt>172.27.8.10</tt> - <tt>172.27.15.255</tt>
** Jeder Klient im Mesh-Netz bezieht eine IP von einem Supernode. Er nutzt ihn als ''Default-Router'' und ''DNS-Server''. Die Auswahl des Supernodes erfolgt durch den batman-adv Gateway Mode (Vgl. http://www.open-mesh.org/projects/batman-adv/wiki/Gateways).

==== Backbone-VPN / Tinc ====
Alle Supernodes und sonstigen Server des Freifunk-KBU-Netztes sind untereinander über ein dezentrales VPN (Tinc - vgl. http://tinc-vpn.org/) verbunden.
* Das Netz verwendet den Adressbereich <tt>172.27.255.0/24</tt>. Bspw. verwendet fastd3 die Adresse <tt>172.27.55.9</tt> -- fastd4 hingegen <tt>172.27.255.10</tt>
* Das VPN wird als Transport-Netz benutzt: IP-Pakete mit fremden Quell- und Zieladressen werden darüber transportiert.
* Verfügt ein Supernode über Kontakt zu weiteren Netzten so annonciert er eine entsprechende Route. In der Abbildung kann fastd4 über das Tor-Netzwerk Verbindungen zum WWW aufbauen. Er annonciert daher die Route <tt>0.0.0.0/0</tt> (Default Route). Verfügt ein Node über Kontakt im ChaosVPN (http://wiki.hamburg.ccc.de/ChaosVPN) oder IC-VPN (http://wiki.freifunk.net/IC-VPN) so annonciert er diese Netzbereiche.
* Das VPN ist verschlüsselt. Nutzlast wie z.B. Service-Aufrufe müssen daher nicht zusätzlich per SSL/TLS gesichert werden.
* Jeder Router annonciert zusätzlich das ihm zugeteilte Netz -- fastd3: <tt>172.27.8.0/21</tt>, fastd4: <tt>172.27.16.0/21</tt>
* Der Schlüsselaustausch erfolgt via github (https://github.com/ff-kbu/bbkeys).
Paul nimmt hierbei eine Sonderrolle ein: Als einziger, regulärer Router zum Internet kann er als IPv4- und IPv6-Default-Router verwendet werden. Paul ist kein Supernode sondern wickelt lediglich externen Traffic ab.

==== Anycast ====
<todo nicht implementiert>
Jeder Node ist über das Infrastruktur-Netz auf der IP <tt>172.27.0.1</tt> erreichbar. Hierüber können Klienten Status-Informationen des Nodes beziehen, bei dem sie eingebucht sind.
</todo nicht implementiert>

=== IPv6 ===
[[Datei:Osi-3-v6.png|thumb|450px|right|Abb. 6]]
Abb. 6 illustriert die IPv6 Konfiguration. Wie zuvor bei IPv4 sind zur Vereinfachung nicht alle Supernodes und Server dargestellt. Für IPv6 werden die folgenden Addressbereiche verwendet:
* <tt>fdd3:5d16:b5dd::/48</tt> Unique Local Addresses (ULA)
* <tt>2001:67C:20A0:B100::/56</tt> Global.
Die Verwendung der Public IPv6 Address ermöglicht, dass alle Teilnehmer des Freifunk-Netzes extern erreichbar sind.

Von ''oben nach unten'' werden die Netze wie folgt verwendet:

==== Mesh ====
Im Mesh werden ULA und global gültige IPv6-Addressen verwendet. Jedem Supernode ist ein eigenes, globales /64 Subnet zugewiesen. Der Supernode verwendet die Host-ID 1. Hier: fastd3: <tt>2001:67c:20a0:b104::1/6</tt>, fastd4: <tt>2001:67c:20a0:b105::1/64</tt>).

Supernodes versenden Router Advertisments (RA) im kompletten Segment. Nodes und Klienten erhalten aus jedem Pool eine Addresse (stateless autoconfiguration). Jeder Supernode routed IPv6-Pakete zwischen Mesh-Cloud und Internet.

Hinweis: Da der Klient das Default-Gateway zufällig wählt, werden Pakete idR auf verschiedenen Routes zugestellt:
* Sendet der Klient ein Paket, so wird der vom Klienten zufällig gewählte Supernode genutzt
* Empfängt der Klient ein Paket, so richtet sich der Supernode nach der verwendeten Public IPv6 Addresse des Klienten: es wird der Supernode verwendet, aus dessem Subnet die Adresse stammt

==== Backbone-VPN / Tinc ====
Im Backbone-VPN wird IPv6 analog zu IPv4 verwendet (vgl. [[Architektur#Backbone-VPN_.2F_Tinc | Backbone-VPN / Tinc (IPv4)]]. Jedem Teilnehmer ist eine IP aus dem Bereich <tt>fdd3:5d16:b5dd:3::/64</tt> zugewiesen. Die Endziffer entspricht der von IPv4. Bspw. verfügt Paul über die Adressen <tt>172.27.255.3</tt> und <tt>fdd3:5d16:b5dd:3::3</tt>

Supernodes annoncieren fremde Public-V6 Netze des Mesh-Segments mit geringer Priorität im Tinc-Backone. Somit ist sichergestellt, dass bei einem Ausfall eines Supernodes die Addressen weiterhin verwendet werden können. Im kompletten Mesh wird <tt>fdd3:5d16:b5dd::/64</tt> zur internen Adressierung genutzt.

==== Sonstige Bereiche / ULA ====
Einzelnen Anwendungen stehen komplette /64-Netze zur Verfügung gestellt. Entsprechende Adressen sind in der Firmware fest verdrahtet. Die Nutzung eigener /64 Netze ermöglicht es, Server zu transparent migrieren ohne auf DNS angewiesen zu sein. Beispiel: collectd verwendet <tt>fdd3:5d16:b5dd:2::/64</tt>, der collectd-Server ist unter <tt>fdd3:5d16:b5dd:2::1</tt> erreichbar.

== OSI-7: Anwendungen ==
TBD - Hier kommen hin:
* Register
* collectd
* DNS
* Ggf. Squid

== Ausblick / Probleme / TODOs / Offene Punkte ==
# Anycast Info-Page implementieren
# In Tinc 1.0 wird das annoncieren beliebiger Netze hackish, da [http://www.tinc-vpn.org/documentation-1.1/tincctl.8 tincctl] noch nicht nutzbar ist. (Ggf. Scripten)? Alternativ können wir auch OSPF auf allen Tinc-Verbindungen nutzen - Nachteil: Komplexität.
# Wenn Lübeck LFF 0.3.2.1 release hat: Filter für Broadcast / Multicast dokumentieren. -> Weniger Last auf den fastd-Gateways.
# DNS-Caches auf den Supernodes _wirklich_ implementieren - bislang leiten wir ganz "lame" an Paul weiter.

== Notizblock ==
Nix zu sehen - bitte weitergehen.
<strike>

Im OSI-2 Segment werden die folgenden Adressen verwendet:
* 2001:67c:20a0:b102::/64
* fdd3:5d16:b5dd::/64
* fdd3:5d16:b5dd:1::/64

=== Konfiguration Super-Nodes ===
Jeder Super-Node betreibt einen DHCPv4-Server, mit dem er die Konfiguration für die Klienten ausliefert. Gleichzeitig betreibt er einen DNS-Cache - optional ist der Betrieb eines transparenten HTTP-Proxies denkbar.

Die aktuelle Planung sieht 8 Super-Nodes für das FF-KBU vor, auf denen DHCP-Server betrieben werden. Keys und DNS-Namen sind in der Firmware hinterlegt. Bei Bedarf können weitere Super-Nodes hinzugefügt werden.

=== Konfiguration Nodes ===
''<todo> (TODO: Implementierung in der Firmware ausstehend).''

Nodes verwenden im Uplink-Netz zusätzlich den ULA-Bereich
*fdd3:5d16:b5dd:1::/64
Jeder Node kann über seine Public-IPv6, ULA-IPv6, Link-Local-IPv6 Adressen und die IPv4-Adresse seines WAN-Uplink-Netzes erreicht werden. Jedem Node wird dadurch eine eindeutige Adresse aus fdd3:5d16:b5dd::/64 zugewiesen, die aus allen Netzen - mit denen er verbunden ist erreicht werden kann

Gleichzeitig verwendet jeder Node die anycast-Adresse 172.27.0.255, die nur aus dem Infrastruktur-Netz erreichbar ist. Hierdurch kann ein Client explizit abfragen, mit welchem Node er verbunden ist. </todo>

=== IPv6 / RADVD ===
Hinweis: Aktell nicht so umgesetzt - Tinc in Squeeze hat da afair Probleme TODO: Umsetzen.
Super-Nodes betreiben radvd-Server im Adressbereich 2001:67c:20a0:b102::/64 und annoncen sich selbst als Router
</strike>
[[Kategorie:Netzdesign]]

Datei:Neue Netzstruktur Schema.png

2024-01-13T12:36:25Z

Cptechnik: Ersteller: JulianZ

== Beschreibung ==
Ersteller: JulianZ

Jitsi

2023-10-28T11:13:27Z

Cptechnik: aktualisierung - neuer eigener jitsi server

[[Datei:Bildschirmfoto jitsi-im-firefox.png|none|300px|Bildschirmfoto jitsi-im-firefox.png]]
'''Jitsi Meet''', fehlerhaft auch kurz Jitsi genannt, 
ist eine '''Meetingsoftware''' die ohne Client auskommen kann – sie läuft einfach im Browser.

Die Adresse unseres Jitsi-Servers ist: [https://meet.kbu.freifunk.net/lounge https://meet.kbu.freifunk.net]

Hinter dem "/" (Schrägstrich/slash) kann der jeweilige Raum direkt angegeben werden.

Wir treffen uns in "lounge" bzw <div style="font-size:larger; margin-left: 3em;"> '''https://meet.kbu.freifunk.net/lounge'''</div>

Für Android kann [https://play.google.com/store/apps/details?id=org.jitsi.meet playstore-google: Jitsi Meet] – oder für Apple [https://apps.apple.com/de/app/jitsi-meet/id1165103905 appstore-apple: Jitsi Meet] heruntergeladen werden.

('' '''Jitsi''' heisst jetzt '''Jitsi Desktop''' und ist ein '''Instant-Messenger''' für XMPP und weitere Protokolle – das ist nicht Jitsi Meet – nicht verwechseln!'' )

Bitte beim Eintreten den [[Jitsi#Nick ändern|Nick(namen)]] in euren persönlichen ändern! Der wird in den Cookies des Browsers gespeichert.
===Funktionen ===
Jitsi kann
*Text-Chat, Chat, Texten, Schreiben
*Sprach-Chat (Voice-Chat, Konferenz)
*Video-Chat (Video-Konferenz)
*Abstimmungen/Umfragen (im Text-Chat).
Jitsi
*'''läuft nur auf diesem einen Server''' (kein Google-Verteiler/-Benachrichtigungs-Server oder sonstwie)
*ist somit '''datensicher'''
*hat viele, auch '''privat'''e Räume
*benötigt '''keine Anmeldung'''
*benötigt '''keinen Client / Software auf dem PC'''

==== Alternativen ====

* https://meet.kbu.freifunk.net/lounge
* BBB [[Big Blue Button]] des FFRL
* jitsi-Server vom [https://meet.freifunk-rhein-sieg.net/kbu-lounge Freifunk Rhein-Sieg] oder vom
* jitsi-Server vom [https://meet.ffmuc.net/kbu-lounge Freifunk München] oder vom
* Baden-Württembergischen nicht kommerziellem Internet-Provider bawue.social <nowiki>https://meet.bawue.social/kbu-lounge</nowiki>

==Downloadlinks==
Man kann aber auch Klienten/Clients/Programme/Apps auf sein beliebiges Gerät herunterladen:
*Android / Google / PlayStore https://play.google.com/store/apps/details?id=org.jitsi.meet
*iOS / Apple / AppStore https://apps.apple.com/de/app/jitsi-meet/id1165103905
*f-droid https://f-droid.org/en/packages/org.jitsi.meet/
*jitsi-meet-electron: auf [https://github.com/jitsi/jitsi-meet-electron/releases/ github.com] ~150MB Klient als *.deb und *.exe

==Weiterführende Links==
*https://www.kuketz-blog.de/jitsi-meet-datenschutzfreundlich-ohne-google-stun-server/
*[https://wiki.ubuntuusers.de/Howto/Jitsi_Meet_Videokonferenzserver/ wiki.ubuntuusers.de]
*https://de.wikipedia.org/wiki/Jitsi

==Screenshots==
===Allgemein ===

[[Datei:Bildschirmfoto jitsi-im-firefox.png|800px|Bildschirmfoto jitsi-im-firefox.png]]

[[Datei:Bildschirmfoto jitsi-im-firefox2.png|800px|Bildschirmfoto jitsi-im-firefox2.png]]

[[Datei:Bildschirmfoto jitsi-im-firefox3.png|800px|Bildschirmfoto jitsi-im-firefox3.png]]

----

===Nick ändern===
Bitte beim Eintreten den Nick(namen) ändern!
{|
|-
| align="center" |[[Datei:Bildschirmfoto_jitsi-im-firefox_nick-aendern1.png|400px|Bildschirmfoto jitsi-im-firefox.png]] Menü aufrufen
| align="center" |[[Datei:Bildschirmfoto_jitsi-im-firefox_nick-aendern2.png|400px|Bildschirmfoto jitsi-im-firefox2.png]] Änderungsdialog
|}

----

[[Kategorie:Erste Schritte]]

Treffen

2023-10-28T11:01:11Z

Cptechnik: aktualisiert, neuer jitsi server

==Aktuelles==
<div style=;float:right;margin-left:15px;position:relative;top:-20px;>{{Treffen}}</div>
'''Wann:'''
am ersten Donnerstag im Monat ab 20:00 Uhr (die nächsten Termine siehe rechter Kasten)

'''Wo:'''

*'''real'''
**nach Absprache ... irgendwo wo man sitzen und klönen kann...
**nach Absprache im C4 https://koeln.ccc.de/c4/faq/index.xml#anreise
*'''virtuell'''
**<big>[[jitsi]]</big> - eigener Server läuft wieder!
**<big>matrix</big> https://matrix.to/#/#ffkbu:matrix.org
**NICHT AKTIV:
***[[Mailingliste]] wird aussterben... wir nutzen sie nicht mehr aktiv! 
***<big>[[Big Blue Button|BBB - Big Blue Button]]</big> des FFRL - können wir ausweichen...
***IRC – nicht aktiv ... unter https://webirc.hackint.org/#irc://irc.hackint.org/#freifunk kann man sich mit der Freifunk-Community allgemein unterhalten
***Forum – nicht aktiv, unter [https://forum.freifunk.net/ forum.freifunk.net] kann man andere Communitys treffen

Wenn Du an Freifunk interessiert bist und einige Aktive von uns persönlich kennen lernen magst, dann komm' einfach mal vorbei!

<hr>
{{:Sonderveranstaltungen}}
<hr>


==Vergangenes==

*[[Froscon6]] / 20./21. August 2011
*[[SIGINT12]] / 18. bis 20. Mai 2012, Im Mediapark 6, 50670 Köln
*[[SIGINT13]] / 5. bis 7. Juli 2013
*[[FrOSCon8]] / August 2013

==Links zu Veranstaltungen==
*https://events.ccc.de/category/sigint/
*https://www.froscon.de/

[[Kategorie:Kontakt]]
[[Kategorie:Hauptseite-Inhalt]]

[[Kategorie:Wir-ueber-uns]]

Meshviewer

2023-10-28T10:48:01Z

Cptechnik: erstellt

Treffen

2023-10-26T14:18:05Z

Cptechnik: Kleinigkeiten - Fehler - Formatierung

==Aktuelles==
<div style=;float:right;margin-left:15px;position:relative;top:-20px;>{{Treffen}}</div>
'''Wann:'''
am ersten Donnerstag im Monat ab 20:00 Uhr (die nächsten Termine siehe rechter Kasten)

'''Wo:'''

*'''real'''
**nach Absprache ... irgendwo wo man sitzen und klönen kann...
**nach Absprache im C4 https://koeln.ccc.de/c4/faq/index.xml#anreise
*'''virtuell'''
**<big>[[Big Blue Button|BBB - Big Blue Button]]</big> des FFRL
**<big>matrix https://matrix.to/#/#ffkbu:matrix.org</big>
**NICHT AKTIV:
***[[jitsi]] - hatten wir mal, werden wir primär nicht mehr nutzen
***[[Mailingliste]] wird aussterben... wir nutzen sie nicht mehr aktiv! 
***IRC – nicht aktiv ... unter https://webirc.hackint.org/#irc://irc.hackint.org/#freifunk kann man sich mit der Freifunk-Community allgemein unterhalten
***Forum – nicht aktiv, unter [https://forum.freifunk.net/ forum.freifunk.net] kann man andere Communitys treffen

Wenn Du an Freifunk interessiert bist und einige Aktive von uns persönlich kennen lernen magst, dann komm' einfach mal vorbei!

<hr>
{{:Sonderveranstaltungen}}
<hr>


==Vergangenes==

*[[Froscon6]] / 20./21. August 2011
*[[SIGINT12]] / 18. bis 20. Mai 2012, Im Mediapark 6, 50670 Köln
*[[SIGINT13]] / 5. bis 7. Juli 2013
*[[FrOSCon8]] / August 2013

==Links zu Veranstaltungen==
*https://events.ccc.de/category/sigint/
*https://www.froscon.de/

[[Kategorie:Kontakt]]
[[Kategorie:Hauptseite-Inhalt]]

[[Kategorie:Wir-ueber-uns]]

Treffen

2023-10-26T14:17:11Z

Cptechnik: Kleinigkeiten - Fehler - Formatierung

==Aktuelles==
<div style=;float:right;margin-left:15px;position:relative;top:-20px;>{{Treffen}}</div>
'''Wann:'''
am ersten Donnerstag im Monat ab 20:00 Uhr (die nächsten Termine siehe rechter Kasten)

'''Wo:'''

*'''real'''
**nach Absprache ... irgendwo wo man sitzen und klönen kann...
**nach Absprache im C4 https://koeln.ccc.de/c4/faq/index.xml#anreise
*'''virtuell'''
**<big>[[Big Blue Button|BBB - Big Blue Button]] des FFRL</big>
**<big>matrix https://matrix.to/#/#ffkbu:matrix.org</big>
**NICHT AKTIV:
***[[jitsi]] - hatten wir mal, werden wir primär nicht mehr nutzen
***[[Mailingliste]] wird aussterben... wir nutzen sie nicht mehr aktiv! 
***IRC – nicht aktiv ... unter https://webirc.hackint.org/#irc://irc.hackint.org/#freifunk kann man sich mit der Freifunk-Community allgemein unterhalten
***Forum – nicht aktiv, unter [https://forum.freifunk.net/ forum.freifunk.net] kann man andere Communitys treffen

Wenn Du an Freifunk interessiert bist und einige Aktive von uns persönlich kennen lernen magst, dann komm' einfach mal vorbei!

<hr>
{{:Sonderveranstaltungen}}
<hr>


==Vergangenes==

*[[Froscon6]] / 20./21. August 2011
*[[SIGINT12]] / 18. bis 20. Mai 2012, Im Mediapark 6, 50670 Köln
*[[SIGINT13]] / 5. bis 7. Juli 2013
*[[FrOSCon8]] / August 2013

==Links zu Veranstaltungen==
*https://events.ccc.de/category/sigint/
*https://www.froscon.de/

[[Kategorie:Kontakt]]
[[Kategorie:Hauptseite-Inhalt]]

[[Kategorie:Wir-ueber-uns]]

Treffen

2023-10-26T12:40:43Z

Cptechnik: Kleinigkeiten - Fehler - Formatierung

==Aktuelles==
<div style=;float:right;margin-left:15px;position:relative;top:-20px;>{{Treffen}}</div>
'''Wann:'''
am ersten Donnerstag im Monat ab 20:00 Uhr (die nächsten Termine siehe rechter Kasten)

'''Wo:'''

*'''real'''
**nach Absprache ... irgendwo wo man sitzen und klönen kann...
**nach Absprache im C4 https://koeln.ccc.de/c4/faq/index.xml#anreise
*'''virtuell'''
**[[Big Blue Button|BBB - Big Blue Button]]
**matrix https://matrix.to/#/#ffkbu:matrix.org
**[[jitsi]] - hatten wir mal, werden wir primär nicht mehr nutzen
**[[Mailingliste]] wird aussterben... wir nutzen sie nicht mehr aktiv! 

Wenn Du an Freifunk interessiert bist und einige Aktive von uns persönlich kennen lernen magst, dann komm' einfach mal vorbei!

<hr>
{{:Sonderveranstaltungen}}
<hr>


==Vergangenes==

*[[Froscon6]] / 20./21. August 2011
* [[SIGINT12]] / 18. bis 20. Mai 2012, Im Mediapark 6, 50670 Köln
*[[SIGINT13]] / 5. bis 7. Juli 2013
*[[FrOSCon8]] / August 2013

==Links zu Veranstaltungen ==
*https://events.ccc.de/category/sigint/
*https://www.froscon.de/

[[Kategorie:Kontakt]]
[[Kategorie:Hauptseite-Inhalt]]

[[Kategorie:Wir-ueber-uns]]