[Berlin-wireless] Batman und andere Fragen
Linus Lüssing
linus.luessing
Di Mär 30 19:31:43 CEST 2010
Moin moin,
So, nun muss ich doch die Berliner Liste auch nochmal infiltrieren :).
Unser Ansatz und Fokus, sowie Strategien, die wir bisher
ausprobiert haben, sehen sicherlich bei weitem anders als in den
herkömmlichen Netzen aus.
Wir benutzen hier batman-adv und nach gut einem Jahr an vielen
Patches läuft das ganze nun auch ziemlich stabil ;). Und ja, auch
der Mesh-Layer läuft momentan ausschließlich auf IPv6 - aus
folgendem Grund: Insgesamt sehen wir den Mesh-Layer nicht so sehr
als die zuständige Schicht für einen Internetzugang an, sondern
eher als Transportschicht für Netze jeglicher Art. Unsere erste
Zielsetzung ist es somit, ein für alle - auch KiPo-Gegnern, die
lieber alles authorisiert hätten - nutzbares Intranet zu schaffen,
dass sie ohne schlechtes gewissen nutzen können, was nicht heißen
soll, dass es bei uns keinen (auch unauthorisierten)
Internetzugang gibt. Jepp, und hier kommt schon die erste von zwei
Arten an VPN-Tunneln, die wir hier nutzen zum Zuge: Um das
Henne-Ei-Problem zu lösen tunneln wir momentan ganze batman-adv
Ethernet-Frames auch über das Internet um einzelne Mesh-Wolken
miteinander zu verbinden. Wir haben hier auch nicht so ganz das
Problem, dass es keine Breitbandzugänge gäbe, viel eher haben wir
hier das Problem, dass es zu viele Konservative gibt, die keinen
offenen Internetzugang anbieten wollen damit sie selber nicht
Probleme mit dem Gesetz kriegen; diese Leute sind aber durchaus
bereit, neutrale Bandbreite zur Verfügung zu stellen - also warum
nicht für solche Inter-Cloud-Connections benutzen?
Des weiteren haben wir hierdurch bei weitem weniger Gegenwind
(zumindest solange, bis diese konservativeren Leute irgendwann
bemerken, dass die Grenze "böses Internet" garnicht so scharf und
eindeutig gezogen werden kann). Mit dem Vorteil, dass uns sowohl
die Stadt selber als auch gewisse Firmen mit interessanten Punkten
zum Funken zur Verfügung stehen. So laufen z.B. unter Kooperation
mit Karstadt 8 Nodes in derem Restaurant-Bereich sowie auf deren
Dach (herrliche Aussicht! Super zentral in der Innestadt, schön
hoch). Jene 8 Router senden neben dem Mesh-Layer ein zusätzliches
Interface für einen Hotspot-Zugang aus - Karstadt hat sich also
für einen eher geregelten Internetzugang entschieden (was auch aus
deren Position in Verbindung mit der beschissenen politischen Lage
momentan verständlich ist) für dessen Gesamteinrichtung wir ohne
finanzielle Gegenleistung uns gekümmert haben. Als Gegenleistung
können wir nun halt diese sehr günstig gelegene Infrastruktur für
unsere Zwecke mitnutzen, da ja die Router beides aussenden, Mesh
und Hotspot, nur das Hotspot-Netz benutzt halt das Mesh-Netz für
seine Zwecke in diesem Einzugsbereich. Hier ist die zweite
Tunnelart, die momentan benutzt wird: Nicht Mesh durch einen
VPN-Tunnel, sondern VPN-Tunnel durch das Mesh.
Diese Art von VPN-Tunnel wird nun aber noch zu weiteren Zwecken
bei uns benutzt: Momentan können zwei oder mehr Router durch einen
einfachen Knopf-Druck und einem LAN-Kabel zwischen den Geräten für
diesen kurzen Zeitpunkt miteinander gepaart werden, die Geräte
tauschen dann automatisch ohne dass man irgendeinen PC oder
ähnliches anschmeißen muss hierfür (oder gar auf einer Konsole
rumhacken o.ä.) ihre public-keys für das VPN aus. Nach diesem
Prozedere bauen diese beiden Router dann über das Mesh falls
möglich ihr VPN auf. Dies soll insbesondere z.B. Nachbarschaften,
oder Studenten-WGs helfen, günstig mit Leuten, denen sie
vertrauen, ein dediziertes Internet-Sharing zu betreiben oder
Leuten mit zu großen Wohnungen in denen ein WLAN-Router nicht
ausreicht (und z.B. WDS oder Repeater-Mode als simple Methode
notwendig wäre) - ohne irgendein Fachwissen von der Materie zu
haben. Dank der ICCs kann dieses Sharing dann sogar über größere
physische Distanzen erfolgen.
Und natürlich ist dieses Sharing auch nicht nur zwischen Routern
möglich, die VPN-Software tinc, die momentan auf den Routern
installiert ist läuft ja auch auf Laptops (mit sowohl Windows als
auch Mac als auch Linux) :). So habe ich z.B. mit Freunden, die
nicht komplett ihren Internetzugang freigeben wollten (leider),
auch den Keyaustausch manuell vorgenommen und kann sobald ich jene
Router im Mesh erreiche auch über jene Router ohne P2P-Filter oder
ähnliches doofes Zeug und einer freien Internetleitung surfen.
Des weiteren liegt unser Fokus noch sehr stark auf einem
Studentenwohnheim, auch zentral in der Innestadt, 350m Luftlinie +
Sichtkontakt zu Karstadt. Unsere Uni bietet schon für
Studenten via Internet oder das Uni-Netz selber einen https-proxy
(https://sslgate.uni-luebeck.de) an - und ich gehe mal davon aus,
dass http-Traffic schon den ganzen weniger technisch versierten
Studenten reichen würde. Da die meisten ICCs momentan zu einem
Server in der Uni reichen (die ja genügend Bandbreite hat, aber
keine unauthorisierten Internetzugänge zulässt), wird jene
sslgate-Seite demnächst bei uns direkt im Mesh erreichbar sein -
erste Tests mit "simpleproxy" und einem gehackten IPv6 patch für
jenes noch zusammengehackteren TCP-Proxy, welcher momentan noch
auf meiner Platte liegt, sahen sehr vielversprechend aus. Einen
VPN-Zugang seitens unserer (in dieser hinsicht etwas
rückständigen) Uni ist schon in der Diskussion für all jene
Studenten, die mehr als nur http für die ad-hoc Nutzung brauchen.
Momentan spiele wir auch noch mit dem Gedanken, das batman-adv
Gateway-Feature, welches im SVN-trunk bisher verfügbar ist mit
einzubauen um eine (neben dem manuellen "default-routen-reinhacken"
weniger steinzeitalterliche ;) ) Möglichkeit für unauthorisierten
Internetzugang von Haus aus auf der Firmware per default auf jedem
Router mitanzubieten. Jedoch hätte das natürlich je nach Integration
in der Firmware andere Konsequenzen auf das politische Klima hier.
Wie gesagt hatten wir persönlich uns ersteinmal mehr auf den
Intranet-Layer fokussiert. So kann z.B. in der aktuellen
tinc-Version bei den dedizierten Hotspot-Netzen in derem eigenen
Subnetz nun auch endlich geroamt werden (neben dem allgemeinen
Mesh-roaming im batman-adv natürlich). Außerdem wird die nächste
Version von pidgin nun auch bonjour mit IPv6 sprechen können, es
wird also demnächst hier auch möglich sein, sich mit jemanden im
Mesh direkt ad-hoc ohne Konfigurationsaufwand in Bewegung unterhalten
zu können, ohne dass einmal durch's halbe Internet vorher geroutet
werden muss :). Da batman-adv ja aber auf Layer 2 arbeitet und
außerdem seine Gateway-Informationen im sysfs propagiert, gibt es
noch unendlich viele andere Möglichkeiten, auch noch auf höheren Layern
die Internetgateway-Selektion vorzunehmen (aber sicherlich ist die
aktuelle default-Möglichkeit für das gateway-feature die Lösung,
die die meisten wollen).
Dieses dhcp-splash könnte ich auch noch ganz gut gebrauchen :).
Jedoch habe ich durch kurzes googlen nur einen toten Link im
Leipzig-Wiki zur Seite des Entwicklers bekommen und sonst nur die
fertigen Pakete im Leipzig-Archiv gefunden. Könnte mir da noch wer
ne'n brauchbaren Link geben? Danke :).
Grüße aus Lübeck,
Linus
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 836 bytes
Beschreibung: Digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20100330/25639a0f/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin