[Berlin-wireless] Freifunk auf unserem Dach
wg1337
freifunk
So Mai 4 00:31:37 CEST 2014
So, ich denke unser Problem ist gelöst.
Das Problem war, dass zwei Firewallregeln nicht gesetz wurden:
20001: from all iif eth0.1 unreachable
20001 iif eth0.1 lookup olsr-default
haben gefehlt.
Nachdem die dazugetan wurden, ging der ganze Traffic schön übers VPN.
Nur leider hat der Router das nach nem Neustart immer wieder vergessen :/
Binco und ich haben dann beschlossen hier noch mal alles umzubauen, weil
wir die Firewall auf dem Router nicht verstehen, mit unserer besser
klarkommen und weil wir noch ein Gastnetzwerk hatten das wir jetzt
rausegeschmissen haben.
Jetzt läuft es folgendermaßen:
VPN läuft auf unserer internen Firewall (104.205.0.73) und es gibt ein
vlan, in dem die ganzen Freifunggeräte mit Freifunk-IPs hängen. Wir
haben auch unsere ganzen IPs mal aufgeräumt, umsortiert und ordentlich
in die Tabelle http://ip.berlin.freifunk.net/ip_uebersicht.html
eingetragen. Die Nanostation (|104.205.0.75|) hängt über den
Wohnzimmerouterswitch (|104.205.0.74|) auch mit im vlan. Der Küchrouter
mashed mit dem Wohnzimmerrouter. Alle Geräte und Clients gehen über vpn.
Und über das Rathaus läuft auch alles:
von meinem Laptop aus
traceroute to 104.206.1.14 (104.206.1.14), 30 hops max, 60 byte packets
1 104.205.1.193 (104.205.1.193) 1.192 ms 1.200 ms 1.296 ms
2 wg1337-west.olsr (104.205.0.12) 7.545 ms 12.084 ms 12.194 ms
3 mid9.rhnk-core.olsr (104.206.3.26) 12.844 ms 14.088 ms 17.662 ms
4 mid2.f2a-core-rt.olsr (104.131.7.28) 19.021 ms 20.467 ms 20.513 ms
5 mid1.martin-luther-core.olsr (104.206.1.14) 23.019 ms 23.904 ms 26.084 ms
Ich denk das kann erstmal so bleiben, oder? Was wir jetzt gerne noch
wissen würden ist ob, denn vom Rathaus aus, die Leute auch über uns das
Internet finden oder nicht.
schöne grüße
maria
On 02.05.2014 23:46, Sven-Ola Tuecke wrote:
> N'abend,
>
> hab jetzt nicht alles gelesen. Aber "netstat -r" zeigt nicht alles an, nur die "main" Table. Ruf mal "ip" auf, etwa so:
>
> ip route show table all # zeigt alles
> ip r ls table xxx # einzelne Tabelle, Kurznotation
> ip r ls scope link # Maintable, nur statische Routen
> ip r get 1.2.3.4 # wo gehts hier nach 1.2.3.4?
> ip rule show # Regelliste, wann welche tabelle
> ip l # Interfaceconfig zeigen
> ip -4 a # IPv4 Config zeigen
>
> HTH // Sven-Ola
>
> On 2. Mai 2014 22:11:40 MESZ, wg1337 <freifunk at wg1337.de> wrote:
>> On 02.05.2014 17:46, Philipp Borgers wrote:
>>> Die IPs der Router auf dem Rathaus findet ihr im Wiki:
>>>
>>> http://wiki.freifunk.net/Berlin:Standorte:Rathaus_Neukoelln#IPs
>>>
>>> Wenn euer Setup erfolgreich mit dem Rathaus verbunden ist, solltet
>> ihr
>>> den Core-Router unter 104.206.3.1 erreichen. Wenn ihr gucken wollt,
>> ob
>>> ihr vom Rathaus weiter kommt, könnt ihr z.B. den Core-Router der
>>> Martin-Luther-Kirche pingen: 104.206.1.14
>> Wir erreichen vom Router im Wohnzimmer per ping 104.206.3.26,
>> 104.206.3.3 und 104.206.3.1 die werden auch im Webinterface angezeigt.
>> Die Kirche geht auch
>> traceroute to 104.206.1.14 (104.206.1.14), 30 hops max, 38 byte packets
>> 1 mid13.rhnk-core.olsr (104.206.3.26) 1.168 ms 1.280 ms 0.932 ms
>> 2 mid2.f2a-core-rt.olsr (104.131.7.28) 32.503 ms 110.626 ms 95.515
>> ms
>> 3 mid1.martin-luther-core.olsr (104.206.1.14) 1842.886 ms 2764.946
>> ms 256.882 ms
>>
>> Von der Nanostation aus geht das nicht.
>>
>>> Die 104.205.0.77 ist die IP des Internet-Routers auf dem neuen
>> Interface?
>> Das ist der Router im Wohnzimmer. Die Nanostation hat 104.205.0.78
>>
>>> Was habt ihr jetzt auf der Nanostation installiert? Freifunk-Firmware
>>> oder Ubiquiti-Firmware? Ideal wäre, wenn ihr nochmal beschreibt, was
>> ihr
>>> wo konfiguriert habt. Konfiguration kopieren geht auch.
>>>
>> Wir haben folgendes gemacht. Auf der Nanostation läuft noch die
>> Herstellersoftware. Da haben wir wie beschrieben gescannt und dann
>> einen
>> Accesspoint ausgewählt. Dann haben wir noch der Nanostation die IP
>> 104.205.0.78, Netspask 255.255.255.252 und Gateway 104.205.0.77
>> verpasst.
>> Auf dem Router im Wohnzimmer haben wir den Switch umkonfiguriert und
>> noch ein Interface rhnk angelegt:
>>
>> config switch
>> option name 'switch0'
>> option reset '1'
>> option enable_vlan '1'
>> config switch_vlan
>> option device 'switch0'
>> option vlan '0'
>> option ports '0t 2 3 4'
>> config switch_vlan
>> option device 'switch0'
>> option vlan '1'
>> option ports '0t 1'
>>
>> config interface 'dhcp'
>> option ifname 'eth0.0'
>> option type 'bridge'
>> option proto 'static'
>> option ipaddr '104.205.0.49'
>> option netmask '255.255.255.240'
>> option ip6assign '64'
>>
>> config interface 'rhnk'
>> option ifname 'eth0.1'
>> option proto 'static'
>> option ipaddr '104.205.0.77'
>> option netmask '255.255.255.252'
>>
>>> Auf dem Internet-Router müsst ihr sicherstellen, dass der Port an dem
>>> die Nanostation hängt auch in der Firewall (/etc/config/firewall) in
>> der
>>> richtigen Zone (freifunk) ist. Man kann eine Liste von Interfaces
>>> angeben. Das sollte verhindern, dass Daten einfach so ins Internet
>>> geleitet werden.
>> in /etc/config/firewall haben wir rhnk dazugeschrieben:
>>
>> config zone 'zone_freifunk'
>> option masq '1'
>> option input 'ACCEPT'
>> option forward 'REJECT'
>> option name 'freifunk'
>> option output 'ACCEPT'
>> option network 'tunl0 wireless0 wireless1 dhcp ffvpn rhnk'
>> list masq_src '255.255.255.255/32'
>> list masq_src '192.168.42.1/24'
>>
>>> Der Internet-Router muss auf dem Interface zur Nanostation OLSR
>> sprechen
>>> um mit dem ganzen Netz zu sprechen. Das könnt ihr in
>> /etc/config/olsrd
>>> einstellen.
>> Da haben wir nichts gemacht. Aber da steht das rhnk steht schon drin,
>> muss das so?
>>
>> config LoadPlugin
>> option library 'olsrd_arprefresh.so.0.1'
>>
>> config LoadPlugin
>> option library 'olsrd_txtinfo.so.0.1'
>> option accept '0.0.0.0'
>>
>> config LoadPlugin
>> option library 'olsrd_jsoninfo.so.0.0'
>> option ignore '0'
>> option accept '0.0.0.0'
>>
>> config olsrd
>> option RtTableDefault '112'
>> option RtTableTunnel '113'
>> option RtTable '111'
>> option IpVersion '6and4'
>> option AllowNoInt 'yes'
>> option NatThreshold '0.75'
>> option LinkQualityAlgorithm 'etx_ff'
>> option FIBMetric 'flat'
>> option TcRedundancy '2'
>> option SmartGateway 'yes'
>> option Pollrate '0.025'
>> option LinkQualityLevel '2'
>> option OlsrPort '698'
>> option SmartGatewayUplink 'both'
>> option Willingness '3'
>> option SmartGatewaySpeed '20000 100000'
>>
>> config InterfaceDefaults
>> option MidValidityTime '500.0'
>> option TcInterval '2.0'
>> option HnaValidityTime '125.0'
>> option HelloValidityTime '125.0'
>> option TcValidityTime '500.0'
>> option Ip4Broadcast '255.255.255.255'
>> option MidInterval '25.0'
>> option HelloInterval '3.0'
>> option HnaInterval '10.0'
>> option Mode 'mesh'
>>
>> config LoadPlugin
>> option UdpDestPort '224.0.0.251 5353'
>> option P2pdTtl '10'
>> option library 'olsrd_p2pd.so.0.1.0'
>> option ignore '0'
>> list NonOlsrIf 'wireless0dhcp'
>>
>> config Interface
>> option ignore '0'
>> option interface 'wireless0'
>> option Mode 'mesh'
>>
>> config Hna4
>> option netmask '255.255.255.240'
>> option netaddr '104.205.0.48'
>>
>> config LoadPlugin
>> option interval '30'
>> option file '/var/run/olsrd.watchdog'
>> option library 'olsrd_watchdog.so.0.1'
>>
>> config LoadPlugin
>> option lon '13.445185566405606'
>> option services_file '/var/etc/services.olsr'
>> option library 'olsrd_nameservice.so.0.3'
>> option suffix '.olsr'
>> option latlon_file '/var/run/latlon.js'
>> option lat '52.471192481033456'
>> option hosts_file '/tmp/hosts/olsr'
>>
>> config Hna6
>> option prefix '48'
>> option netaddr 'FD35:7B85:10DF:0:0:0:0:0'
>>
>> config LoadPlugin
>> option library 'olsrd_dyn_gw_plain.so.0.4'
>>
>> config Interface
>> option ignore '0'
>> option interface 'wireless1'
>> option Mode 'mesh'
>>
>> config Interface
>> option ignore '0'
>> option interface 'rhnk'
>> option Mode 'mesh'
>>
>> Folgendes lässt sich noch beobachten:
>>
>> traceroute vom Router im Wohnzimmer zu 8.8.8.8 führt am vpn vorbei
>> direkt über unser DSL. traceroute von der Nanostation aus führt über
>> den
>> Router im Wohnzimmer auch am vpn vorbei über unser DSL. traceroute von
>> meinem Notebook das im freifunk hängt, ist wie gewünscht
>> traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
>> 1 104.205.0.49 (104.205.0.49) 1.982 ms 2.660 ms 4.786 ms
>> 2 172.31.240.1 (172.31.240.1) 21.938 ms 22.710 ms 23.505 ms
>> 3 bgp01.berlin.freifunk.net (77.87.48.1) 24.277 ms 25.278 ms 26.068
>> ms
>> 4 vlan935.sepia.in-berlin.de (217.197.91.131) 28.462 ms 29.270 ms
>> 30.233 ms
>> 5 vlan84.octalus.in-berlin.de (192.109.82.65) 33.174 ms 34.874 ms
>> 37.646 ms
>> 6 google.ber.ecix.net (194.9.117.34) 37.644 ms 20.613 ms 20.977 ms
>> 7 209.85.249.182 (209.85.249.182) 24.227 ms 209.85.249.184
>> (209.85.249.184) 25.177 ms 26.320 ms
>> 8 66.249.95.175 (66.249.95.175) 27.107 ms 27.103 ms 29.553 ms
>> 9 216.239.48.53 (216.239.48.53) 29.522 ms 64.233.174.55
>> (64.233.174.55) 29.533 ms 64.233.174.53 (64.233.174.53) 29.512
>>
>> Wir haben noch einen zweiten Router in der Küche stehen
>> (104.205.1.193),
>> der meshed mit dem im Wohnzimmer und von dem aus klappt das mit dem
>> VPN:
>> traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
>> 1 mid2.wg1337.olsr (104.205.0.14) 1.229 ms 1.190 ms 1.093 ms
>> 2 172.31.240.1 (172.31.240.1) 23.554 ms 23.637 ms 19.943 ms
>> 3 bgp01.berlin.freifunk.net (77.87.48.1) 26.492 ms 21.515 ms 20.780
>> ms
>> 4 vlan935.sepia.in-berlin.de (217.197.91.131) 19.102 ms 21.691 ms
>> 18.107 ms
>> 5 vlan84.octalus.in-berlin.de (192.109.82.65) 18.799 ms 23.875 ms
>> 24.018 ms
>> 6 google.ber.ecix.net (194.9.117.34) 19.617 ms 23.474 ms 21.955 ms
>> 7 209.85.249.184 (209.85.249.184) 20.404 ms 30.739 ms 20.956 ms
>> 8 64.233.175.185 (64.233.175.185) 26.715 ms 64.233.175.187
>> (64.233.175.187) 22.497 ms 66.249.95.175 (66.249.95.175) 22.618 ms
>> 9 64.233.174.55 (64.233.174.55) 21.070 ms 20.826 ms 64.233.174.53
>> (64.233.174.53) 28.060 ms
>> 10 * * *
>> 11 google-public-dns-a.google.com (8.8.8.8) 24.675 ms 41.397 ms
>> 24.315 ms
>>
>>
>> Nach unserer Firewall, die wir in unserem internen Netz betreiben gibt
>> es super viele Verbindungen (1297) vom Wohnzimmerrouter, die es wohl
>> nicht gäbe, wenn alles durchs VPN ginge. Das ist irgendwie schräg.
>> Die Routen auf dem Wohnzimerrouter sind auch schräg:
>> root at wg1337:~# netstat -r
>> Kernel IP routing table
>> Destination Gateway Genmask Flags MSS Window irtt
>>
>> Iface
>> default 192.168.42.1 0.0.0.0 UG 0 0
>> 0
>> eth1
>> 104.0.0.0 * 255.0.0.0 U 0 0
>> 0
>> wlan0
>> 104.0.0.0 * 255.0.0.0 U 0 0
>> 0
>> wlan1
>> 104.205.0.48 * 255.255.255.240 U 0 0
>> 0
>> br-dhcp
>> 104.205.0.76 * 255.255.255.252 U 0 0
>> 0
>> eth0.1
>> 172.31.240.0 * 255.255.240.0 U 0 0
>> 0
>> ffvpn
>> 192.168.42.0 * 255.255.255.0 U 0 0
>> 0
>> eth1
>>
>> Wo ist denn z.B. konfiguriert, dass Packete an 172.31.240.0 gehen? Und
>> die Routingtabelle auf dem Küchenrouter sind ganz anders aus, da sind
>> 865 Freifunkrouten drin.
>>
>>> Wir können das auch im Jabber versuchen zu debuggen:
>>>
>>> booo at jabber.spline.de
>>>
>>> LG Philipp
>> Dem Binco gehen die Ideen aus^^ Ich denke die Firewall spinnt und das
>> Policyrouting kapieren wir noch nich.. Was meint ihr?
>>
>>
>> Schöne Grüße
>> maria
>>> On 02.05.2014 12:21, wg1337 wrote:
>>>> Danke für die Hinweise, ich denke wir haben gestern was hinbekommen.
>> Wir
>>>> haben uns erstmal mit freifunk-bbb-rhnk-ssw verbunden
>>>> (freifunk-bbb-rhnk-oso würde auch gehen und btw wir sehen auch
>>>> freifunk-martin-luther-sw) Wir haben der Nanostation die IP
>> 104.205.0.78
>>>> gegeben und mit unserem Freifunkrouter im Wohnzimmer verbunden (auf
>> dem
>>>> haben wir einen der Switchports umkonfiguriert und noch ein
>> Interface
>>>> für ein Netzwerk mit der Nanostation angelegt).
>>>> Wie testen wir jetzt am besten ob da auch was vom Rathaus ankommt
>> und
>>>> wieder zurück geht und ob unser Internet richtig benutzt wird? Die
>>>> Graphen auf der Nanostation und auf dem Freifunkrouter gehen schon
>>>> lustig hoch und runter. Nur eine Sache kommt uns komisch vor:
>>>> Wenn ich mit meinem Laptop in unserem Freifunk bin und ein
>> traceroute
>>>> mache, gehen die Packete über
>>>>
>>>> traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
>>>> 1 104.205.0.49 (104.205.0.49) 2.566 ms 3.245 ms 5.125 ms
>>>> 2 172.31.240.1 (172.31.240.1) 22.555 ms 24.734 ms 26.192 ms
>>>> 3 bgp01.berlin.freifunk.net (77.87.48.1) 27.001 ms 27.854 ms
>> 28.656 ms
>>>> 4 vlan935.sepia.in-berlin.de (217.197.91.131) 29.441 ms 30.241
>> ms
>>>> 31.141 ms
>>>> 5 vlan84.octalus.in-berlin.de (192.109.82.65) 32.333 ms 34.094
>> ms
>>>> 35.119 ms
>>>> 6 google.ber.ecix.net (194.9.117.34) 36.070 ms 24.303 ms
>> 21.882 ms
>>>> 7 209.85.249.184 (209.85.249.184) 24.071 ms 24.875 ms 29.587
>> ms
>>>> 8 66.249.95.143 (66.249.95.143) 29.594 ms 66.249.95.175
>>>> (66.249.95.175) 32.655 ms 64.233.175.187 (64.233.175.187) 32.617
>> ms
>>>> 9 216.239.48.53 (216.239.48.53) 32.622 ms 64.233.174.55
>>>> (64.233.174.55) 33.445 ms 216.239.48.53 (216.239.48.53) 32.596 ms
>>>> 10 * * *
>>>> 11 google-public-dns-a.google.com (8.8.8.8) 21.893 ms 22.736 ms
>>>> 23.642 ms
>>>>
>>>> ein traceroute auf der nanostation sieht so aus:
>>>> 1 104.205.0.77 0.505 ms · 0.379 ms · 0.322 ms
>>>> 2 217.0.119... 16.007 ms · 48.543 ms · 15.955 ms
>>>> 3 217.0.76... 54.295 ms · 18.113 ms · 57.684 ms
>>>> 4 62.154.47.69 155.259 ms · 16.187 ms · 60.107 ms
>>>> 5 194.25.211.26 18.833 ms · 62.464 ms · 16.542 ms
>>>> 6 209.85.249.182 36.444 ms · 72.146 ms · 16.399 ms
>>>> 7 64.233.175.187 17.644 ms · 16.884 ms · 54.441 ms
>>>> 8 64.233.174.53 17.277 ms · 93.991 ms · 17.091 ms
>>>> 9 * · * · *
>>>> 10 8.8.8.8 16.930 ms · 53.368 ms · 16.634 ms
>>>>
>>>>
>>>> Das sieht irgendwie falsch aus. Die Packete von der Nanostation
>> müssen
>>>> doch auch durch das VPN, oder?
>>>>
>>>> Schöne Grüße
>>>> maria
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140504/87ec2e69/attachment.html>
Mehr Informationen über die Mailingliste Berlin