[Berlin-wireless] Freifunk auf unserem Dach

wg1337 freifunk
Fr Mai 2 22:11:40 CEST 2014


On 02.05.2014 17:46, Philipp Borgers wrote:
> Die IPs der Router auf dem Rathaus findet ihr im Wiki:
>
> http://wiki.freifunk.net/Berlin:Standorte:Rathaus_Neukoelln#IPs
>
> Wenn euer Setup erfolgreich mit dem Rathaus verbunden ist, solltet ihr
> den Core-Router unter 104.206.3.1 erreichen. Wenn ihr gucken wollt, ob
> ihr vom Rathaus weiter kommt, könnt ihr z.B. den Core-Router der
> Martin-Luther-Kirche pingen: 104.206.1.14

Wir erreichen vom Router im Wohnzimmer per ping 104.206.3.26, 
104.206.3.3 und 104.206.3.1 die werden auch im Webinterface angezeigt.
Die Kirche geht auch
traceroute to 104.206.1.14 (104.206.1.14), 30 hops max, 38 byte packets
  1  mid13.rhnk-core.olsr (104.206.3.26)  1.168 ms  1.280 ms  0.932 ms
  2  mid2.f2a-core-rt.olsr (104.131.7.28)  32.503 ms  110.626 ms 95.515 ms
  3  mid1.martin-luther-core.olsr (104.206.1.14)  1842.886 ms 2764.946 
ms  256.882 ms

Von der Nanostation aus geht das nicht.

> Die 104.205.0.77 ist die IP des Internet-Routers auf dem neuen Interface?
>

Das ist der Router im Wohnzimmer. Die Nanostation hat 104.205.0.78

> Was habt ihr jetzt auf der Nanostation installiert? Freifunk-Firmware
> oder Ubiquiti-Firmware? Ideal wäre, wenn ihr nochmal beschreibt, was ihr
> wo konfiguriert habt. Konfiguration kopieren geht auch.
>
Wir haben folgendes gemacht. Auf der Nanostation läuft noch die 
Herstellersoftware. Da haben wir wie beschrieben gescannt und dann einen 
Accesspoint ausgewählt. Dann haben wir noch der Nanostation die IP 
104.205.0.78, Netspask 255.255.255.252 und Gateway 104.205.0.77 verpasst.
Auf dem Router im Wohnzimmer haben wir den Switch umkonfiguriert und 
noch ein Interface rhnk angelegt:

config switch
         option name 'switch0'
         option reset '1'
         option enable_vlan '1'
                                                config switch_vlan
         option device 'switch0'
         option vlan '0'
         option ports '0t 2 3 4'
                                         config switch_vlan
         option device 'switch0'
         option vlan '1'
         option ports '0t 1'

config interface 'dhcp'
         option ifname 'eth0.0'
         option type 'bridge'
         option proto 'static'
         option ipaddr '104.205.0.49'
         option netmask '255.255.255.240'
         option ip6assign '64'

config interface 'rhnk'
         option ifname 'eth0.1'
         option proto 'static'
         option ipaddr '104.205.0.77'
         option netmask '255.255.255.252'

> Auf dem Internet-Router müsst ihr sicherstellen, dass der Port an dem
> die Nanostation hängt auch in der Firewall (/etc/config/firewall) in der
> richtigen Zone (freifunk) ist. Man kann eine Liste von Interfaces
> angeben. Das sollte verhindern, dass Daten einfach so ins Internet
> geleitet werden.

in /etc/config/firewall haben wir rhnk dazugeschrieben:

config zone 'zone_freifunk'
     option masq '1'
     option input 'ACCEPT'
     option forward 'REJECT'
     option name 'freifunk'
     option output 'ACCEPT'
     option network 'tunl0 wireless0 wireless1 dhcp ffvpn rhnk'
     list masq_src '255.255.255.255/32'
     list masq_src '192.168.42.1/24'

> Der Internet-Router muss auf dem Interface zur Nanostation OLSR sprechen
> um mit dem ganzen Netz zu sprechen. Das könnt ihr in /etc/config/olsrd
> einstellen.

Da haben wir nichts gemacht. Aber da steht das rhnk steht schon drin, 
muss das so?

config LoadPlugin
     option library 'olsrd_arprefresh.so.0.1'

config LoadPlugin
     option library 'olsrd_txtinfo.so.0.1'
     option accept '0.0.0.0'

config LoadPlugin
     option library 'olsrd_jsoninfo.so.0.0'
     option ignore '0'
     option accept '0.0.0.0'

config olsrd
     option RtTableDefault '112'
     option RtTableTunnel '113'
     option RtTable '111'
     option IpVersion '6and4'
     option AllowNoInt 'yes'
     option NatThreshold '0.75'
     option LinkQualityAlgorithm 'etx_ff'
     option FIBMetric 'flat'
     option TcRedundancy '2'
     option SmartGateway 'yes'
     option Pollrate '0.025'
     option LinkQualityLevel '2'
     option OlsrPort '698'
     option SmartGatewayUplink 'both'
     option Willingness '3'
     option SmartGatewaySpeed '20000 100000'

config InterfaceDefaults
     option MidValidityTime '500.0'
     option TcInterval '2.0'
     option HnaValidityTime '125.0'
     option HelloValidityTime '125.0'
     option TcValidityTime '500.0'
     option Ip4Broadcast '255.255.255.255'
     option MidInterval '25.0'
     option HelloInterval '3.0'
     option HnaInterval '10.0'
     option Mode 'mesh'

config LoadPlugin
     option UdpDestPort '224.0.0.251 5353'
     option P2pdTtl '10'
     option library 'olsrd_p2pd.so.0.1.0'
     option ignore '0'
     list NonOlsrIf 'wireless0dhcp'

config Interface
     option ignore '0'
     option interface 'wireless0'
     option Mode 'mesh'

config Hna4
     option netmask '255.255.255.240'
     option netaddr '104.205.0.48'

config LoadPlugin
     option interval '30'
     option file '/var/run/olsrd.watchdog'
     option library 'olsrd_watchdog.so.0.1'

config LoadPlugin
     option lon '13.445185566405606'
     option services_file '/var/etc/services.olsr'
     option library 'olsrd_nameservice.so.0.3'
     option suffix '.olsr'
     option latlon_file '/var/run/latlon.js'
     option lat '52.471192481033456'
     option hosts_file '/tmp/hosts/olsr'

config Hna6
     option prefix '48'
     option netaddr 'FD35:7B85:10DF:0:0:0:0:0'

config LoadPlugin
     option library 'olsrd_dyn_gw_plain.so.0.4'

config Interface
     option ignore '0'
     option interface 'wireless1'
     option Mode 'mesh'

config Interface
     option ignore '0'
     option interface 'rhnk'
     option Mode 'mesh'

Folgendes lässt sich noch beobachten:

traceroute vom Router im Wohnzimmer zu 8.8.8.8 führt am vpn vorbei 
direkt über unser DSL. traceroute von der Nanostation aus führt über den 
Router im Wohnzimmer auch am vpn vorbei über unser DSL. traceroute von 
meinem Notebook das im freifunk hängt, ist wie gewünscht
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
  1  104.205.0.49 (104.205.0.49)  1.982 ms  2.660 ms  4.786 ms
  2  172.31.240.1 (172.31.240.1)  21.938 ms  22.710 ms  23.505 ms
  3  bgp01.berlin.freifunk.net (77.87.48.1)  24.277 ms  25.278 ms 26.068 ms
  4  vlan935.sepia.in-berlin.de (217.197.91.131)  28.462 ms  29.270 ms 
30.233 ms
  5  vlan84.octalus.in-berlin.de (192.109.82.65)  33.174 ms  34.874 ms 
37.646 ms
  6  google.ber.ecix.net (194.9.117.34)  37.644 ms  20.613 ms  20.977 ms
  7  209.85.249.182 (209.85.249.182)  24.227 ms 209.85.249.184 
(209.85.249.184)  25.177 ms  26.320 ms
  8  66.249.95.175 (66.249.95.175)  27.107 ms  27.103 ms  29.553 ms
  9  216.239.48.53 (216.239.48.53)  29.522 ms 64.233.174.55 
(64.233.174.55)  29.533 ms 64.233.174.53 (64.233.174.53)  29.512

Wir haben noch einen zweiten Router in der Küche stehen (104.205.1.193), 
der meshed mit dem im Wohnzimmer und von dem aus klappt das mit dem VPN:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
  1  mid2.wg1337.olsr (104.205.0.14)  1.229 ms  1.190 ms  1.093 ms
  2  172.31.240.1 (172.31.240.1)  23.554 ms  23.637 ms  19.943 ms
  3  bgp01.berlin.freifunk.net (77.87.48.1)  26.492 ms  21.515 ms 20.780 ms
  4  vlan935.sepia.in-berlin.de (217.197.91.131)  19.102 ms  21.691 ms 
18.107 ms
  5  vlan84.octalus.in-berlin.de (192.109.82.65)  18.799 ms  23.875 ms 
24.018 ms
  6  google.ber.ecix.net (194.9.117.34)  19.617 ms  23.474 ms  21.955 ms
  7  209.85.249.184 (209.85.249.184)  20.404 ms  30.739 ms  20.956 ms
  8  64.233.175.185 (64.233.175.185)  26.715 ms  64.233.175.187 
(64.233.175.187)  22.497 ms  66.249.95.175 (66.249.95.175)  22.618 ms
  9  64.233.174.55 (64.233.174.55)  21.070 ms  20.826 ms 64.233.174.53 
(64.233.174.53)  28.060 ms
10  *  *  *
11  google-public-dns-a.google.com (8.8.8.8)  24.675 ms  41.397 ms 24.315 ms


Nach unserer Firewall, die wir in unserem internen Netz betreiben gibt 
es super viele Verbindungen (1297) vom Wohnzimmerrouter, die es wohl 
nicht gäbe, wenn alles durchs VPN ginge. Das ist irgendwie schräg.
Die Routen auf dem Wohnzimerrouter sind auch schräg:
root at wg1337:~# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window irtt 
Iface
default         192.168.42.1    0.0.0.0         UG        0 0          0 
eth1
104.0.0.0       *               255.0.0.0       U         0 0          0 
wlan0
104.0.0.0       *               255.0.0.0       U         0 0          0 
wlan1
104.205.0.48    *               255.255.255.240 U         0 0          0 
br-dhcp
104.205.0.76    *               255.255.255.252 U         0 0          0 
eth0.1
172.31.240.0    *               255.255.240.0   U         0 0          0 
ffvpn
192.168.42.0    *               255.255.255.0   U         0 0          0 
eth1

Wo ist denn z.B. konfiguriert, dass Packete an 172.31.240.0 gehen? Und 
die Routingtabelle auf dem Küchenrouter sind ganz anders aus, da sind 
865 Freifunkrouten drin.

> Wir können das auch im Jabber versuchen zu debuggen:
>
> booo at jabber.spline.de
>
> LG Philipp

Dem Binco gehen die Ideen aus^^ Ich denke die Firewall spinnt und das 
Policyrouting kapieren wir noch nich.. Was meint ihr?


Schöne Grüße
maria
>
> On 02.05.2014 12:21, wg1337 wrote:
>> Danke für die Hinweise, ich denke wir haben gestern was hinbekommen. Wir
>> haben uns erstmal mit freifunk-bbb-rhnk-ssw verbunden
>> (freifunk-bbb-rhnk-oso würde auch gehen und btw wir sehen auch
>> freifunk-martin-luther-sw) Wir haben der Nanostation die IP 104.205.0.78
>> gegeben und mit unserem Freifunkrouter im Wohnzimmer verbunden (auf dem
>> haben wir einen der Switchports umkonfiguriert und noch ein Interface
>> für ein Netzwerk mit der Nanostation angelegt).
>> Wie testen wir jetzt am besten ob da auch was vom Rathaus ankommt und
>> wieder zurück geht und ob unser Internet richtig benutzt wird? Die
>> Graphen auf der Nanostation und auf dem Freifunkrouter gehen schon
>> lustig hoch und runter. Nur eine Sache kommt uns komisch vor:
>> Wenn ich mit meinem Laptop in unserem Freifunk bin und ein traceroute
>> mache, gehen die Packete über
>>
>> traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
>>   1  104.205.0.49 (104.205.0.49)  2.566 ms  3.245 ms  5.125 ms
>>   2  172.31.240.1 (172.31.240.1)  22.555 ms  24.734 ms  26.192 ms
>>   3  bgp01.berlin.freifunk.net (77.87.48.1)  27.001 ms  27.854 ms 28.656 ms
>>   4  vlan935.sepia.in-berlin.de (217.197.91.131)  29.441 ms  30.241 ms
>> 31.141 ms
>>   5  vlan84.octalus.in-berlin.de (192.109.82.65)  32.333 ms  34.094 ms
>> 35.119 ms
>>   6  google.ber.ecix.net (194.9.117.34)  36.070 ms  24.303 ms  21.882 ms
>>   7  209.85.249.184 (209.85.249.184)  24.071 ms  24.875 ms  29.587 ms
>>   8  66.249.95.143 (66.249.95.143)  29.594 ms 66.249.95.175
>> (66.249.95.175)  32.655 ms 64.233.175.187 (64.233.175.187)  32.617 ms
>>   9  216.239.48.53 (216.239.48.53)  32.622 ms 64.233.174.55
>> (64.233.174.55)  33.445 ms 216.239.48.53 (216.239.48.53)  32.596 ms
>> 10  * * *
>> 11  google-public-dns-a.google.com (8.8.8.8)  21.893 ms  22.736 ms
>> 23.642 ms
>>
>> ein traceroute auf der nanostation sieht so aus:
>> 1         104.205.0.77     0.505 ms · 0.379 ms · 0.322 ms
>> 2         217.0.119...     16.007 ms · 48.543 ms · 15.955 ms
>> 3         217.0.76...     54.295 ms · 18.113 ms · 57.684 ms
>> 4         62.154.47.69     155.259 ms · 16.187 ms · 60.107 ms
>> 5         194.25.211.26     18.833 ms · 62.464 ms · 16.542 ms
>> 6         209.85.249.182     36.444 ms · 72.146 ms · 16.399 ms
>> 7         64.233.175.187     17.644 ms · 16.884 ms · 54.441 ms
>> 8         64.233.174.53     17.277 ms · 93.991 ms · 17.091 ms
>> 9             * · * · *
>> 10         8.8.8.8     16.930 ms · 53.368 ms · 16.634 ms
>>
>>
>> Das sieht irgendwie falsch aus. Die Packete von der Nanostation müssen
>> doch auch durch das VPN, oder?
>>
>> Schöne Grüße
>> maria





Mehr Informationen über die Mailingliste Berlin