Freifunk Köln, Bonn und Umgebung - Benutzerbeiträge [de]

IP Subnetze

2015-07-14T13:56:09Z

Pr0j3ctx: /* IPv4 / DHCP */

[[Kategorie:Infrastruktur]]

== IP-Subnetze ==

Für den Köln-Bonner Raum sind die folgenden Subnetze reserviert:
* [http://wiki.freifunk.net/IP-Netze#172.16.0.0.2F12 172.26.0.0/15] -> Ist
* [http://wiki.freifunk.net/IP-Netze#10.0.0.0.2F8 10.158.0.0/15] -> Soll

Und sind hier eingetragen: http://wiki.freifunk.net/IP-Netze. Die Umstellung auf das
10er Netz soll dieses Jahr (2015) erfolgen.

==== IPv4 / DHCP ====

IPv4-Adressen und DHCP-Ranges können wie folgt aufgeteilt werden.

{| class="wikitable sortable"
|- bgcolor="#efefef"
!Name
!Zugewiesenes Subnetz
! IP
! DHCP-Range
! Kommentar
! Kontakt
|-
|fastd1
|172.27.0.0/21
|172.27.0.1
|172.27.0.10 - 172.27.7.254
| Online
|[[User:gevatter|gevatter]]
|-
|fastd3
|172.27.8.0/21
|172.27.8.1
|172.27.8.10 - 172.27.15.254
| Online
|[[User:Yanosz|Yanosz]]
|-
|fastd4
|172.27.16.0/21
|172.27.16.1
|172.27.16.10 - 172.27.23.254
| Online
|[[User:Yanosz|Yanosz]]
|-
|fastd5
|172.27.24.0/21
|172.27.24.1
|172.27.24.10 - 172.27.31.254
| Wiederaufbau
|[[User:pr0j3ctx|pr0j3ctx]]
|-
|fastd6
|172.27.32.0/21
|172.27.32.1
|172.27.32.10 - 172.27.39.254
| Online
|[[User:kaleng|kaleng]]
|-
|fastd7
|172.27.40.0/21
|172.27.40.1
|172.27.40.10 - 172.27.47.254
| nicht vergeben
|
|-
|fastd8
|172.27.48.0/21
|172.27.48.1
|172.27.48.10 - 172.27.55.254
| reserviert
|[[User:Nunatak|Nunatak]]
|-
|fastd2
|172.27.56.0/21
|172.27.56.1
|172.27.56.10 - 172.27.63.254
| Online
|[[User:Yanosz|Yanosz]]
|-
|fastd10
|172.27.72.0/21
|172.27.72.1
|172.27.72.10 - 172.27.79.254
| batman-adv 2014.3 test
| jonny bee
|-
|}

==== IPv4 / tinc -Backbone ====

172.27.255.0/24

public-keys: [https://github.com/ff-kbu/bbkeys| bbkeys]

{| class="wikitable sortable"
|- bgcolor="#efefef"
! IP
! Name
! Funktion/Komentar
! Kontakt
|-
|172.27.255.1
|paula.kbu.freifunk.net
|dns
|
|-
|172.27.255.2
|paula.kbu.freifunk.net
|www
|
|-
|172.27.255.3
|paul.kbu.freifunk.net
|exit-gw
|
|-
|172.27.255.6
|collectd.kbu.freifunk.net
|
|
|-
|172.27.255.7
|jenkins.kbu.freifunk.net
|build-server
|
|-
|172.27.255.8
|backup.kbu.freifunk.net
|backup
|
|-
|172.27.255.13
|
|monitoring
|
|-
|172.27.255.21
|fastd1.kbu.freifunk.net
|Supernode
|gevatter
|-
|172.27.255.22
|fastd2.kbu.freifunk.net
|Supernode
|Yanosz
|-
|172.27.255.23
|fastd3.kbu.freifunk.net
|Supernode
|Yanosz
|-
|172.27.255.24
|fastd4.kbu.freifunk.net
|Supernode
|Yanosz
|-
|172.27.255.26
|fastd6.kbu.freifunk.net
|Supernode
|kaleng
|-
|172.27.255.30
|fastd10.kbu.freifunk.net
|Supernode batadv2014.3
|Jonny Bee
|-
|}

==== FFRL-Uplink ====

Der Freifunk Rheinland stellt uns die folgenden Subnetze für einen Fallback-Uplink zur Verfügung:
* 185.66.194.32/29
* 2a03:2260:1004::/48
Die Umsetzung wird unter [[FFRL-Uplink]] beschrieben.

==== IPv6-Subnetze ====

Es werden die folgenden Adressbereiche verwendet:
* fdd3:5d16:b5dd::/48 Unique Local Addresses (ULA)
* 2001:67C:20A0:B100::/56 Global.
Quelle: [[Architektur]]

== v2 ==
WIP.

{| class="wikitable sortable"
|- bgcolor="#efefef"
!Name
! legacy-IP Subnetz
! legacy-IP
! legacy-IP DHCP-Range
! IP Subnetz
! IP
! ULA Subnetz
! BB-legacy-IP
! BB-IP
|-
|vpn1
|10.158.0.0/21
|10.158.0.1
|10.158.0.10 - 110.158.7.254
|2001:67c:20a0:b111::/64
|2001:67c:20a0:b111::1
|fdd3:5d16:beef::/64
|10.158.255.101
|fdd3:5d16:beef:1::101
|-
|vpn2
|10.158.8.0/21
|10.158.8.1
|10.158.8.10 - 110.158.7.254
|2001:67c:20a0:b112::/64
|2001:67c:20a0:b112::1
|fdd3:5d16:beef::/64
|10.158.255.102
|fdd3:5d16:beef:1::102
|}

Serverliste:Supernodes

2015-07-14T13:49:45Z

Pr0j3ctx:

[[Kategorie:Infrastruktur]]

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Fastd1|Fastd1]]
| fastd1.kbu.freifunk.net
| [http://bgp.he.net/ip/78.46.68.75 78.46.68.75]
| 172.27.0.1
| [[Supernode]]
| [[Benutzer:Gevatter|gevatter]]
| [https://www.hetzner.de/hosting/kontakt/telefon-support Hetzner]
| Nürnberg

|-
| [[Server:Fastd4|Fastd4]]
| fastd4.kbu.freifunk.net
| [http://bgp.he.net/ip/5.189.134.60 5.189.134.60]
| 172.27.16.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]], kevin
| [https://contabo.de/ Contabo]
| München

|-
| [[Server:Fastd5|Fastd5]]
| fastd5.kbu.freifunk.net
| [http://bgp.he.net/ip/94.23.104.41 94.23.104.41]
| 172.27.24.1
| [[Supernode]], ''im Aufbau''
| [[Benutzer:pr0j3ctx|pr0j3ctx]]
| [https://www.soyoustart.com/de/support/ So you Start]
| FR - Roubaix

|-
| [[Server:Fastd6|Fastd6]]
| fastd6.kbu.freifunk.net
| [http://bgp.he.net/ip/37.120.169.214 37.120.169.214]
| 172.27.32.1
| [[Supernode]], [[FFRL-Uplink]]
| [[Benutzer:kaleng|kaleng]]
| [https://www.netcup.de/kontakt/telefonsupport.php netcup]
| Karlsruhe

|-
| [[Server:Fastd7|Fastd7]]
| fastd7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.9.67.131 5.9.67.131]
| 172.27.40.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]], scotty
| [https://www.hetzner.de/hosting/kontakt/telefon-support Hetzner]
| Falkenstein (DC 16)

|-
| [[Server:Fastd8|Fastd8]]
| fastd8.kbu.freifunk.net
| [http://bgp.he.net/ip/62.210.220.197 62.210.220.197]
| 172.27.48.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]],yanosz
| [http://www.online.net/en Online.net]
| FR - Paris

|}

Serverliste:Supernodes

2015-07-14T13:48:59Z

Pr0j3ctx:

[[Kategorie:Infrastruktur]]

{| class="wikitable center sortable mw-datatable"

! style="width:4em" | Server
! style="width:11em"| DNS-Namen
! style="width:12em"| Ext. IP-Adressen
! style="width:8em" | Int. IP-Adressen
! style="width:6em" | Funktion
! style="width:7em" | Kontakt
! style="width:6em" | Hoster
! RZ Standort
|-
| [[Server:Fastd1|Fastd1]]
| fastd1.kbu.freifunk.net
| [http://bgp.he.net/ip/78.46.68.75 78.46.68.75]
| 172.27.0.1
| [[Supernode]]
| [[Benutzer:Gevatter|gevatter]]
| [https://www.hetzner.de/hosting/kontakt/telefon-support Hetzner]
| Nürnberg

|-
| [[Server:Fastd4|Fastd4]]
| fastd4.kbu.freifunk.net
| [http://bgp.he.net/ip/5.189.134.60 5.189.134.60]
| 172.27.16.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]], kevin
| [https://contabo.de/ Contabo]
| München

|-
| [[Server:Fastd5|Fastd5]]
| fastd5.kbu.freifunk.net
| [http://bgp.he.net/ip/94.23.104.41 94.23.104.41]
| 172.27.24.1
| [[Supernode]], ''im Aufbau''
| [[Benutzer:pr0j3ctx|pr0j3ctx]]
| [https://www.soyoustart.com/de/support/ So you Start]
| FR - Roubaix

|-
| [[Server:Fastd6|Fastd6]]
| fastd6.kbu.freifunk.net
| [http://bgp.he.net/ip/37.120.169.214 37.120.169.214]
| 172.27.32.1
| [[Supernode]], [[FFRL-Uplink]]
| [[Benutzer:kaleng|kaleng]]
| [https://www.netcup.de/kontakt/telefonsupport.php netcup]
| Karlsruhe

|-
| [[Server:Fastd7|Fastd7]]
| fastd7.kbu.freifunk.net
| [http://bgp.he.net/ip/5.9.67.131 5.9.67.131]
| 172.27.40.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]], scotty
| [https://www.hetzner.de/hosting/kontakt/telefon-support Hetzner]
| Falkenstein (DC 16)

|-
| [[Server:Fastd8|Fastd8]]
| fastd7.kbu.freifunk.net
| [http://bgp.he.net/ip/62.210.220.197 62.210.220.197]
| 172.27.48.1
| [[Supernode]]
| [[Benutzer:kaleng|kaleng]],yanosz
| [http://www.online.net/en Online.net]
| FR - Paris

|}

Supernode-puppet

2014-12-02T09:51:30Z

Pr0j3ctx:

Was ist puppet für Supernodes?

Puppet ( http://puppetlabs.com/ ) ist ein Konfigurationsmanagement tool.

Hier wird es dazu verwendet um mit möglichst wenig aufwand einen Supernode für Freifunk-KBU zu konfigurieren.

Voraussetzung: Debian 7 Mininmalinstallation (z.B. auf vhost) 

des weiteren:
* Zugewiesener Fastd-Server mit
* fastd-secret key
* auth für register

= Installation =
apt-get install git puppet;
git clone https://github.com/kaleng/supernode /etc/puppet/modules;
cp /etc/puppet/modules/supernode.pp /etc/puppet/manifests/
# editiere /etc/puppet/manifests/supernode.pp
puppet apply /etc/puppet/manifests/supernode.pp;

Supernode

2014-08-21T07:56:31Z

Pr0j3ctx: /* fastd-service */

{{TOCright}}

== Voraussetzungen ==
[[https://en.wikipedia.org/wiki/Supernode_%28networking%29 wikipedia-article]]

Benötigte Software

1) [[https://projects.universe-factory.net/projects/fastd fastd]] mesh-node-vpn

2) [[https://github.com/ff-kbu/fastd-service vpn-key-upload]] todo: remove overhead (apache,ruby,sinatra ...), [https://en.wikipedia.org/wiki/KISS_principle kiss principle]]
not documented in here (todo)

3) [[http://www.open-mesh.org/projects/open-mesh/wiki batman-adv]]

4) [[http://www.tinc-vpn.org/ tinc]] mesh-backbone-vpn

5) OS: debian wheezy (or whatever you like)

Du benötigst ausserdem: 
* einen fastd-private-key
* eine IPv4/IPv6 Adresse und ein Subnetz
* eine IPv4 Adresse für das Backbone-Netz

== Vorbereitungen ==
In der /etc/sysctl.conf muss folgendes gesetzt sein:
<pre>
cat >> /etc/sysctl.conf <<EOF
net.ipv4.ip_forward=1
net.ipv4.ip_no_pmtu_disc=1
net.ipv4.route.flush=1
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.all.accept_ra=0
EOF
</pre>

Danach die /etc/sysctl.conf neu einlesen:
<pre>
sysctl -p
</pre>

Für Batman-adv und fastd-Pakete in /etc/apt/apt/sources.list hinzufügen:
<pre>
echo "deb http://repo.universe-factory.net/debian/ sid main" >>/etc/apt/sources.list
</pre>

GPG-Key importieren:
<pre>
gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
gpg -a --export 16EF3F64CB201D9C | apt-key add -
apt-get update
</pre>

== Batman-adv ==
=== Installation ===
Dies sollte auf debian wheezy batman-adv 2013.4.0 installieren.
<pre>
apt-get install batman-adv-dkms
echo "batman-adv" >> /etc/modules
</pre>

== fastd ==
=== Installation ===

<pre>
apt-get install fastd
</pre>

=== Konfiguration ===
==== fastd.conf ====
"[YOUR SECRET KEY HERE]" Sollte dabei durch den fastd-secret-key ersetzt werden (erfragen)
<pre>
mkdir /etc/fastd/mesh-vpn;
cat > /etc/fastd/mesh-vpn/fastd.conf << EOF
# Log warnings and errors to stderr
#log level warn;
log level error;

# Log everything to a log file
#log to "/var/log/fastd-mesh-vpn.log" level debug;
log to "/var/log/fastd-mesh-vpn.log" level warn;

# Set the interface name
interface "mesh-vpn";

# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20
method "salsa2012+gmac";
method "null";

# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;

# Secret key generated by 'fastd --generate-key'
secret "[YOUR SECRET KEY HERE]";

# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;

# Include peers from the directory 'peers'
include peers from "peers";
include peers from "backbone";

on up "./fastd-up";
# on down "./fastd-down";

on establish "
NODE_ID=${PEER_NAME:0:12}
/usr/bin/curl -u vpn2:XXXXXX -X POST -d viewpoint=fastd2 -d mac=$NODE_ID -d vpn_sw=fastd -d vpn_status=up -d ip=$PEER_ADDRESS http://register.kbu.freifunk.net/nodes/update_vpn_status &
";
on disestablish "
NODE_ID=${PEER_NAME:0:12}
/usr/bin/curl -u vpn2:XXXXXX -X POST -d viewpoint=fastd2 -d mac=$NODE_ID -d vpn_sw=fastd -d vpn_status=down -d ip=$PEER_ADDRESS http://register.kbu.freifunk.net/nodes/update_vpn_status &
";
EOF
</pre>
Hinweise:
* Username / Password stehen im Keypass.
* Viewpoint (hier: fastd2) anpassen
* Grundsätzlich wird die Node-ID nicht escpaed. Shell-code injections ist aber nicht möglich, da mon_serv nur node_ids der Form $mac_$key zulässt.
* Die Calls auf der Script sind synchron - Daher "&". fastd blockiert solange das Script nicht terminiert ist. (Zumindest Stand 04/2014)
Ordnerstruktur anlegen:
<pre>
mkdir /etc/fastd/mesh-vpn/backbone
mkdir /etc/fastd/mesh-vpn/peers
</pre>

==== Backbone ====
Backbone Keys einrichten:
<pre>
$:/etc/fastd/mesh-vpn# ls backbone/
fastd1 fastd2 fastd3 fastd4 fastd5 fastd6 fastd7 fastd8
$:/etc/fastd/mesh-vpn# cat backbone/*
key "4f856d95bd596ac7724edca73a19e6e9d142b374df27166bb1a78e58785efc59";
remote ipv4 "fastd1.kbu.freifunk.net" port 10000;

key "e1916b66c4f8a795e217877cf72607d952e796463c7024dd9a6a47ae2929bc10";
remote ipv4 "fastd2.kbu.freifunk.net" port 10000;

key "d56181dfe9b5ac7cfe68a94c0ce406322a9924286a751673da0dcb28ad5218b0";
remote ipv4 "fastd3.kbu.freifunk.net" port 10000;

key "9b3f65f99963343e2785c8c4fad65e70b73ee7e1205d63bd84f3e2decb53e621";
remote ipv4 "fastd4.kbu.freifunk.net" port 10000;

key "6e4546121d16e7189715aef8ceb78ab58d59462720969318445f97b4301374d1";
remote ipv4 "fastd5.kbu.freifunk.net" port 10000;

key "2a2c69dbb3b9fd90d7eb8e2f70be70b472d811cd4f3743ad9f5002d14b5c94cd";
remote ipv4 "fastd6.kbu.freifunk.net" port 10000;

key "68de6815a89270c8eaf7832deedb8da098aad2ae5793cd2cd55dec3541ad28f2";
remote ipv4 "fastd7.kbu.freifunk.net" port 10000;

key "b41a9714b1178ce428b15af0b6055cc204b39af2088ef3b371d8c36219eedd1e";
remote ipv4 "fastd8.kbu.freifunk.net" port 10000;
</pre>

[[https://github.com/ff-kbu/fff/tree/v0.3-generic/files/lib/freifunk/mesh-vpn/backbone fastd-backbone]] for more

==== fastd-up ====
<pre>
cat > /etc/fastd/mesh-vpn/fastd-up << EOF
#/bin/sh
/sbin/ip link set dev mesh-vpn up
/usr/sbin/batctl if add mesh-vpn
/usr/sbin/batctl gw_mode server
/sbin/ifconfig bat0 [DEINE IPv4 Addresse hier] netmask 255.255.192.0 up

/sbin/ifconfig bat0:0 172.27.0.2 netmask 255.255.192.0 up

/sbin/ip rule add from 172.27.0.0/18 table ffkbu
/sbin/ip route add 172.27.0.0/18 dev bat0 table ffkbu
/sbin/ip route flush cache
EOF
</pre>

fastd-up ausführbar machen:
<pre>
chmod +x /etc/fastd/mesh-vpn/fastd-up
</pre>

=== UDP-Queue Größe ===
Durch Broadcasts können können auf Supernodes kurzzeitig hohe Lastspitzen enstehen. In der aktuellen batman-adv-Version wird jedes Broadcast-Paket zudem 3x auf jedem Link versendet.
Die vergleichweise hohe Datenrate von 100MBit/s zwischen Supernodes bewirkt darüber hinaus, dass broadcast-Pakete mit 100MBit/s eingehen können, während sie gleichzeitig an alle Nodes gesendet werden müssen.

Linux-Distributionen sehen per Default Queue-Größen im Bereich von 128 KB vor (http://www.cyberciti.biz/faq/linux-tcp-tuning/). Supernodes sind somit nicht in der Lage entsprechende Lastspitzen zu puffern und während Idle-Times zu versenden. Läuft die UDP-Queue über, so loggt fastd:
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
Jeder Log-Eintrag entspricht einem Paket, dass nicht enqueued werden konnte und damit verworfen wurde. Die Queue-Größen können via systctl angepasst werden (http://wwwx.cs.unc.edu/~sparkst/howto/network_tuning.php). Auf fastd2 wird zur Zeit verwendet:
#/etc/sysctl.conf
net.core.rmem_max=83886080
net.core.wmem_max=83886080
net.core.rmem_default=83886080
net.core.wmem_default=83886080

Das System verfügt dadurch über 80MB Speicher für Queues. Per default stehen ebenfalls 80MB zur Verfügung. Die konfigurierten 80MB reichen aus, um die 100MBit/s Verbindung über mehrere Sekunden auszulasten und Lastspitzen abzufangen.

== Backbone Netz (tinc) ==
=== Installation ===
<pre>
apt-get install tinc bridge-utils
</pre>

=== Konfiguration ===
<pre>
mkdir /etc/tinc/backbone
echo "backbone" >> /etc/tinc/nets.boot # Dies sagt tinc, dass es das Netz "backbone" starten soll
cd /etc/tinc/backbone
# Public keys der anderen Teilnehmer:
git clone https://github.com/ff-kbu/bbkeys
ln -s bbkeys/ hosts
</pre>

Jetzt fehlt noch des eigene Public/Private Keypaar. 
Die Keys sollten in /etc/tinc/backbone gespeichert werden. 
Den Public-Key in den Namen des Supernodes umbenennen und nach bbkeys/ kopieren.
<pre>
tincd -K
cp rsa_key.pub bbkeys/[supernodename]
</pre>
Bevor jetzt der pub-key gepushed werden kann, muss tinc noch gesagt werden, welche Adressen über diesen Node zu routen sind. 
Also im .pub key:
<pre>
Subnet=172.27.255.X/32
Subnet=172.27.Y.0/21
Subnet=fdd3:5d16:b5dd:3::X/128
Subnet=2001:67c:20a0:b10Z::/64

-----BEGIN RSA PUBLIC KEY-----
</pre>
Und schliesslich:
<pre>
cd bbkeys; git push;
</pre>

==== tinc.conf ====
<pre>
cat > /etc/tinc/backbone/tinc.conf << EOF
Name=[supernodename]
Device=/dev/net/tun
Mode=router
Compression=9
ConnectTo=paula
ConnectTo=paul
EOF
</pre>

==== tinc-up ====
'''Wichtig:''' in der datei muss wirklich $INTERFACE stehen. Tinc ersetzt dies automatisch durch das entsprechende interface bei ausführung.
<pre>
cat > /etc/tinc/backbone/tinc-up << EOF
#!/bin/sh
ifconfig \$INTERFACE 172.27.255.[Backbone IPv4 Adresse hier] netmask 255.255.255.0 up

ip route add 172.27.255.0/24 dev backbone table ffkbu
ip route add default dev backbone table ffkbu
ip -6 addr add fdd3:5d16:b5dd:3::X/64 dev \$INTERFACE
ip -6 addr add 2001:67c:20a0:b10Y::1/128 dev \$INTERFACE
ip -6 route add default via fdd3:5d16:b5dd:3::3
EOF
</pre>

Auch diese Datei muss ausführbar gemacht werden:
<pre>
chmod +x /etc/tinc/backbone/tinc-up
</pre>

Danach sollte der Ordner etwa so aussehen:
<pre>
$:/etc/tinc/backbone# ls
bbkeys
hosts -> bbkeys
rsa_key.priv
rsa_key.pub
tinc.conf
tinc-up
</pre>

== Routing ==

we need to set up policy based routing.

<pre>
echo "200 ffkbu" >> /etc/iproute2/rt_tables
</pre>
fastd-up und tinc-up erledigen den rest: 

ip rule ls
<pre>
ip rule ls
0: from all lookup local
32765: from 172.27.0.0/18 lookup ffkbu
32766: from all lookup main
32767: from all lookup default
</pre>

ip route list table ffkbu
<pre>
ip route list table ffkbu
default dev backbone scope link
172.27.0.0/18 dev bat0 scope link
172.27.255.0/24 dev backbone scope link
</pre>

== IPv4 DHCP ==
=== Installation ===
<pre>
apt-get install isc-dhcp-server
</pre>

=== Konfiguration ===
<pre>
cat > /etc/dhcp/dhcpd.conf << EOF

option domain-name "mesh.kbu.freifunk.net";
option domain-name-servers 85.214.20.141, 213.73.91.35;

default-lease-time 60;
max-lease-time 720;

log-facility local7;

subnet 172.27.0.0 netmask 255.255.192.0 {
range 172.27.X.10 172.27.Y.255;
option routers 172.27.X.1;
}
EOF
</pre>

== IPv6 ==
=== Installation ===
<pre>
apt-get install radvd
</pre>

=== Konfiguration ===
<pre>
cat > /etc/radvd.conf << EOF
interface bat0 {
AdvSendAdvert on;
AdvHomeAgentFlag off;
MinRtrAdvInterval 10;
MaxRtrAdvInterval 30;
AdvOtherConfigFlag on;
AdvSourceLLAddress off;
AdvLinkMTU 1350; #1442 - fastd - batman-adv - See wiki for details
prefix 2001:67c:20a0:b10Y::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
prefix fdd3:5d16:b5dd::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};
EOF

/etc/init.d/radvd start
</pre>

=fastd-service=
Achtung, Pfade und Hostnamen anpassen. Das ist hier exemplarisch
apt-get install apache2 ruby-sinatra libapache2-mod-passenger sudo psmisc git
mkdir -p /srv/www/fastd1.ffm.freifunk.net
cd /srv/www/fastd1.ffm.freifunk.net
git clone https://github.com/freifunk-ffm/fastd-service.git

<pre>
cat >> /etc/apache2/sites-enabled/000-fastd1.conf <<EOF
<VirtualHost *:80>
ServerAdmin info@EMAIL
DocumentRoot /srv/www/fastd1.ffm.freifunk.net/fastd-service/public
<Directory /srv/www/fastd1.ffm.freifunk.net/fastd-service/public>
Allow from all
Options -MultiViews
</Directory>
ErrorLog /srv/www/fastd1.ffm.freifunk.net/logs/error.log
CustomLog /srv/www/fastd1.ffm.freifunk.net/logs/access.log combined
</VirtualHost>
EOF
</pre>

Anpassung der conf.yml:
register_url: http://USER:PASSWORT@register.bb.ffm.freifunk.net
crash_dump_path: /var/log/ath9k-crash
fastd_peer_dir: /etc/fastd/mesh-vpn/peers
fastd_reload_cmd: sudo ./fastd_hup

gem install netaddr json sinatra sinatra-contrib rack rails rake
chown -R www-data /srv/www/fastd1.ffm.freifunk.net

per visudo die folgende Zeile hinzufügen (Pfad anpassen)
www-data ALL = NOPASSWD: /srv/www/fastd1.ffm.freifunk.net/fastd-service/fastd_hup

Anmerkung:
Es kann sein, dass man in fastd_service.rb folgende Zeile auskommentieren muss:
register Sinatra::MultiRoute

=[[Anycast_DNS]]=
{{:Anycast_DNS}}

Supernode

2014-08-21T07:45:45Z

Pr0j3ctx:

{{TOCright}}

== Voraussetzungen ==
[[https://en.wikipedia.org/wiki/Supernode_%28networking%29 wikipedia-article]]

Benötigte Software

1) [[https://projects.universe-factory.net/projects/fastd fastd]] mesh-node-vpn

2) [[https://github.com/ff-kbu/fastd-service vpn-key-upload]] todo: remove overhead (apache,ruby,sinatra ...), [https://en.wikipedia.org/wiki/KISS_principle kiss principle]]
not documented in here (todo)

3) [[http://www.open-mesh.org/projects/open-mesh/wiki batman-adv]]

4) [[http://www.tinc-vpn.org/ tinc]] mesh-backbone-vpn

5) OS: debian wheezy (or whatever you like)

Du benötigst ausserdem: 
* einen fastd-private-key
* eine IPv4/IPv6 Adresse und ein Subnetz
* eine IPv4 Adresse für das Backbone-Netz

== Vorbereitungen ==
In der /etc/sysctl.conf muss folgendes gesetzt sein:
<pre>
cat >> /etc/sysctl.conf <<EOF
net.ipv4.ip_forward=1
net.ipv4.ip_no_pmtu_disc=1
net.ipv4.route.flush=1
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.all.accept_ra=0
EOF
</pre>

Danach die /etc/sysctl.conf neu einlesen:
<pre>
sysctl -p
</pre>

Für Batman-adv und fastd-Pakete in /etc/apt/apt/sources.list hinzufügen:
<pre>
echo "deb http://repo.universe-factory.net/debian/ sid main" >>/etc/apt/sources.list
</pre>

GPG-Key importieren:
<pre>
gpg --keyserver pgpkeys.mit.edu --recv-key 16EF3F64CB201D9C
gpg -a --export 16EF3F64CB201D9C | apt-key add -
apt-get update
</pre>

== Batman-adv ==
=== Installation ===
Dies sollte auf debian wheezy batman-adv 2013.4.0 installieren.
<pre>
apt-get install batman-adv-dkms
echo "batman-adv" >> /etc/modules
</pre>

== fastd ==
=== Installation ===

<pre>
apt-get install fastd
</pre>

=== Konfiguration ===
==== fastd.conf ====
"[YOUR SECRET KEY HERE]" Sollte dabei durch den fastd-secret-key ersetzt werden (erfragen)
<pre>
mkdir /etc/fastd/mesh-vpn;
cat > /etc/fastd/mesh-vpn/fastd.conf << EOF
# Log warnings and errors to stderr
#log level warn;
log level error;

# Log everything to a log file
#log to "/var/log/fastd-mesh-vpn.log" level debug;
log to "/var/log/fastd-mesh-vpn.log" level warn;

# Set the interface name
interface "mesh-vpn";

# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20
method "salsa2012+gmac";
method "null";

# Bind to a fixed port, IPv4 only
bind 0.0.0.0:10000;

# Secret key generated by 'fastd --generate-key'
secret "[YOUR SECRET KEY HERE]";

# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
mtu 1426;

# Include peers from the directory 'peers'
include peers from "peers";
include peers from "backbone";

on up "./fastd-up";
# on down "./fastd-down";

on establish "
NODE_ID=${PEER_NAME:0:12}
/usr/bin/curl -u vpn2:XXXXXX -X POST -d viewpoint=fastd2 -d mac=$NODE_ID -d vpn_sw=fastd -d vpn_status=up -d ip=$PEER_ADDRESS http://register.kbu.freifunk.net/nodes/update_vpn_status &
";
on disestablish "
NODE_ID=${PEER_NAME:0:12}
/usr/bin/curl -u vpn2:XXXXXX -X POST -d viewpoint=fastd2 -d mac=$NODE_ID -d vpn_sw=fastd -d vpn_status=down -d ip=$PEER_ADDRESS http://register.kbu.freifunk.net/nodes/update_vpn_status &
";
EOF
</pre>
Hinweise:
* Username / Password stehen im Keypass.
* Viewpoint (hier: fastd2) anpassen
* Grundsätzlich wird die Node-ID nicht escpaed. Shell-code injections ist aber nicht möglich, da mon_serv nur node_ids der Form $mac_$key zulässt.
* Die Calls auf der Script sind synchron - Daher "&". fastd blockiert solange das Script nicht terminiert ist. (Zumindest Stand 04/2014)
Ordnerstruktur anlegen:
<pre>
mkdir /etc/fastd/mesh-vpn/backbone
mkdir /etc/fastd/mesh-vpn/peers
</pre>

==== Backbone ====
Backbone Keys einrichten:
<pre>
$:/etc/fastd/mesh-vpn# ls backbone/
fastd1 fastd2 fastd3 fastd4 fastd5 fastd6 fastd7 fastd8
$:/etc/fastd/mesh-vpn# cat backbone/*
key "4f856d95bd596ac7724edca73a19e6e9d142b374df27166bb1a78e58785efc59";
remote ipv4 "fastd1.kbu.freifunk.net" port 10000;

key "e1916b66c4f8a795e217877cf72607d952e796463c7024dd9a6a47ae2929bc10";
remote ipv4 "fastd2.kbu.freifunk.net" port 10000;

key "d56181dfe9b5ac7cfe68a94c0ce406322a9924286a751673da0dcb28ad5218b0";
remote ipv4 "fastd3.kbu.freifunk.net" port 10000;

key "9b3f65f99963343e2785c8c4fad65e70b73ee7e1205d63bd84f3e2decb53e621";
remote ipv4 "fastd4.kbu.freifunk.net" port 10000;

key "6e4546121d16e7189715aef8ceb78ab58d59462720969318445f97b4301374d1";
remote ipv4 "fastd5.kbu.freifunk.net" port 10000;

key "2a2c69dbb3b9fd90d7eb8e2f70be70b472d811cd4f3743ad9f5002d14b5c94cd";
remote ipv4 "fastd6.kbu.freifunk.net" port 10000;

key "68de6815a89270c8eaf7832deedb8da098aad2ae5793cd2cd55dec3541ad28f2";
remote ipv4 "fastd7.kbu.freifunk.net" port 10000;

key "b41a9714b1178ce428b15af0b6055cc204b39af2088ef3b371d8c36219eedd1e";
remote ipv4 "fastd8.kbu.freifunk.net" port 10000;
</pre>

[[https://github.com/ff-kbu/fff/tree/v0.3-generic/files/lib/freifunk/mesh-vpn/backbone fastd-backbone]] for more

==== fastd-up ====
<pre>
cat > /etc/fastd/mesh-vpn/fastd-up << EOF
#/bin/sh
/sbin/ip link set dev mesh-vpn up
/usr/sbin/batctl if add mesh-vpn
/usr/sbin/batctl gw_mode server
/sbin/ifconfig bat0 [DEINE IPv4 Addresse hier] netmask 255.255.192.0 up

/sbin/ifconfig bat0:0 172.27.0.2 netmask 255.255.192.0 up

/sbin/ip rule add from 172.27.0.0/18 table ffkbu
/sbin/ip route add 172.27.0.0/18 dev bat0 table ffkbu
/sbin/ip route flush cache
EOF
</pre>

fastd-up ausführbar machen:
<pre>
chmod +x /etc/fastd/mesh-vpn/fastd-up
</pre>

=== UDP-Queue Größe ===
Durch Broadcasts können können auf Supernodes kurzzeitig hohe Lastspitzen enstehen. In der aktuellen batman-adv-Version wird jedes Broadcast-Paket zudem 3x auf jedem Link versendet.
Die vergleichweise hohe Datenrate von 100MBit/s zwischen Supernodes bewirkt darüber hinaus, dass broadcast-Pakete mit 100MBit/s eingehen können, während sie gleichzeitig an alle Nodes gesendet werden müssen.

Linux-Distributionen sehen per Default Queue-Größen im Bereich von 128 KB vor (http://www.cyberciti.biz/faq/linux-tcp-tuning/). Supernodes sind somit nicht in der Lage entsprechende Lastspitzen zu puffern und während Idle-Times zu versenden. Läuft die UDP-Queue über, so loggt fastd:
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
2013-03-30 12:32:01 +0100 --- Warning: sendmsg: Resource temporarily unavailable
Jeder Log-Eintrag entspricht einem Paket, dass nicht enqueued werden konnte und damit verworfen wurde. Die Queue-Größen können via systctl angepasst werden (http://wwwx.cs.unc.edu/~sparkst/howto/network_tuning.php). Auf fastd2 wird zur Zeit verwendet:
#/etc/sysctl.conf
net.core.rmem_max=83886080
net.core.wmem_max=83886080
net.core.rmem_default=83886080
net.core.wmem_default=83886080

Das System verfügt dadurch über 80MB Speicher für Queues. Per default stehen ebenfalls 80MB zur Verfügung. Die konfigurierten 80MB reichen aus, um die 100MBit/s Verbindung über mehrere Sekunden auszulasten und Lastspitzen abzufangen.

== Backbone Netz (tinc) ==
=== Installation ===
<pre>
apt-get install tinc bridge-utils
</pre>

=== Konfiguration ===
<pre>
mkdir /etc/tinc/backbone
echo "backbone" >> /etc/tinc/nets.boot # Dies sagt tinc, dass es das Netz "backbone" starten soll
cd /etc/tinc/backbone
# Public keys der anderen Teilnehmer:
git clone https://github.com/ff-kbu/bbkeys
ln -s bbkeys/ hosts
</pre>

Jetzt fehlt noch des eigene Public/Private Keypaar. 
Die Keys sollten in /etc/tinc/backbone gespeichert werden. 
Den Public-Key in den Namen des Supernodes umbenennen und nach bbkeys/ kopieren.
<pre>
tincd -K
cp rsa_key.pub bbkeys/[supernodename]
</pre>
Bevor jetzt der pub-key gepushed werden kann, muss tinc noch gesagt werden, welche Adressen über diesen Node zu routen sind. 
Also im .pub key:
<pre>
Subnet=172.27.255.X/32
Subnet=172.27.Y.0/21
Subnet=fdd3:5d16:b5dd:3::X/128
Subnet=2001:67c:20a0:b10Z::/64

-----BEGIN RSA PUBLIC KEY-----
</pre>
Und schliesslich:
<pre>
cd bbkeys; git push;
</pre>

==== tinc.conf ====
<pre>
cat > /etc/tinc/backbone/tinc.conf << EOF
Name=[supernodename]
Device=/dev/net/tun
Mode=router
Compression=9
ConnectTo=paula
ConnectTo=paul
EOF
</pre>

==== tinc-up ====
'''Wichtig:''' in der datei muss wirklich $INTERFACE stehen. Tinc ersetzt dies automatisch durch das entsprechende interface bei ausführung.
<pre>
cat > /etc/tinc/backbone/tinc-up << EOF
#!/bin/sh
ifconfig \$INTERFACE 172.27.255.[Backbone IPv4 Adresse hier] netmask 255.255.255.0 up

ip route add 172.27.255.0/24 dev backbone table ffkbu
ip route add default dev backbone table ffkbu
ip -6 addr add fdd3:5d16:b5dd:3::X/64 dev \$INTERFACE
ip -6 addr add 2001:67c:20a0:b10Y::1/128 dev \$INTERFACE
ip -6 route add default via fdd3:5d16:b5dd:3::3
EOF
</pre>

Auch diese Datei muss ausführbar gemacht werden:
<pre>
chmod +x /etc/tinc/backbone/tinc-up
</pre>

Danach sollte der Ordner etwa so aussehen:
<pre>
$:/etc/tinc/backbone# ls
bbkeys
hosts -> bbkeys
rsa_key.priv
rsa_key.pub
tinc.conf
tinc-up
</pre>

== Routing ==

we need to set up policy based routing.

<pre>
echo "200 ffkbu" >> /etc/iproute2/rt_tables
</pre>
fastd-up und tinc-up erledigen den rest: 

ip rule ls
<pre>
ip rule ls
0: from all lookup local
32765: from 172.27.0.0/18 lookup ffkbu
32766: from all lookup main
32767: from all lookup default
</pre>

ip route list table ffkbu
<pre>
ip route list table ffkbu
default dev backbone scope link
172.27.0.0/18 dev bat0 scope link
172.27.255.0/24 dev backbone scope link
</pre>

== IPv4 DHCP ==
=== Installation ===
<pre>
apt-get install isc-dhcp-server
</pre>

=== Konfiguration ===
<pre>
cat > /etc/dhcp/dhcpd.conf << EOF

option domain-name "mesh.kbu.freifunk.net";
option domain-name-servers 85.214.20.141, 213.73.91.35;

default-lease-time 60;
max-lease-time 720;

log-facility local7;

subnet 172.27.0.0 netmask 255.255.192.0 {
range 172.27.X.10 172.27.Y.255;
option routers 172.27.X.1;
}
EOF
</pre>

== IPv6 ==
=== Installation ===
<pre>
apt-get install radvd
</pre>

=== Konfiguration ===
<pre>
cat > /etc/radvd.conf << EOF
interface bat0 {
AdvSendAdvert on;
AdvHomeAgentFlag off;
MinRtrAdvInterval 10;
MaxRtrAdvInterval 30;
AdvOtherConfigFlag on;
AdvSourceLLAddress off;
AdvLinkMTU 1350; #1442 - fastd - batman-adv - See wiki for details
prefix 2001:67c:20a0:b10Y::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
prefix fdd3:5d16:b5dd::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};
EOF

/etc/init.d/radvd start
</pre>

=fastd-service=
Achtung, Pfade und Hostnamen anpassen. Das ist hier exemplarisch
apt-get install apache2 ruby-sinatra libapache2-mod-passenger sudo psmisc git
mkdir -p /srv/www/fastd1.ffm.freifunk.net
cd /srv/www/fastd1.ffm.freifunk.net
git clone https://github.com/freifunk-ffm/fastd-service.git

<pre>
cat >> /etc/apache2/sites-enabled/000-fastd1.conf <<EOF
<VirtualHost *:80>
ServerAdmin info@EMAIL
DocumentRoot /srv/www/fastd1.ffm.freifunk.net/fastd-service/public
<Directory /srv/www/fastd1.ffm.freifunk.net/fastd-service/public>
Allow from all
Options -MultiViews
</Directory>
ErrorLog /srv/www/fastd1.ffm.freifunk.net/logs/error.log
CustomLog /srv/www/fastd1.ffm.freifunk.net/logs/access.log combined
</VirtualHost>
EOF
</pre>

Anpassung der conf.yml:
register_url: http://USER:PASSWORT@register.bb.ffm.freifunk.net
crash_dump_path: /var/log/ath9k-crash
fastd_peer_dir: /etc/fastd/mesh-vpn/peers
fastd_reload_cmd: sudo ./fastd_hup

gem install netaddr json sinatra sinatra-contrib rack rails rake
chown -R www-data /srv/fastd1.ffm.freifunk.net

per visudo die folgende Zeile hinzufügen (Pfad anpassen)
www-data ALL = NOPASSWD: /srv/www/fastd1.ffm.freifunk.net/fastd-service/fastd_hup

Anmerkung:
Es kann sein, dass man in fastd_service.rb folgende Zeile auskommentieren muss:
register Sinatra::MultiRoute

=[[Anycast_DNS]]=
{{:Anycast_DNS}}