[Berlin-wireless] puppets für community tunnel - wo sind die Puppenspieler?

Sven Röllig roellig at stiftung-freie-software.org
Mo Apr 2 14:42:13 CEST 2018


Hallo,

Zitat von Harald Stürzebecher <haralds at metafly.info>:

> Hallo Sven
>
> Am 1. April 2018 um 20:50 schrieb Sven Röllig
> <roellig at stiftung-freie-software.org>:
>> Hallo,
>>
>> was für einen Sinn soll das Provisonieren mir Puppet machen?
>>
>> Sollen da Hunderte Maschinen mit Aufgesetzt werden?
>>
>> Reicht es nicht ein GIT Repo zu haben wo die Konfigurationen
>> als Templates liegen?
>>
>> Soviel muss an der Konfiguration nun doch nicht geschraubt werden.
>
> VPN03 waren AFAICT ungefähr (a-g?) sieben Maschinen. Für den
> Community-Tunnel sehe ich mittelfristig ähnliche Anforderungen - zwar
> weniger User, aber dafür mehr Traffic je User. Das wird sich eventuell
> ausgleichen, mit geringerem Bedarf rechne ich jedenfalls nicht. Bei
> der Anzahl von Geräten könnte sich IMHO eine zuverlässige
> Automatisierung schon lohnen, z.B. um "mal eben" einen weiteren Server
> einzurichten. Oder um eine einheitliche und dokumentierte
> Konfiguration aller Instanzen sicherzustellen. Wenn hier und da mal
> ein Admin über ssh herumbastelt, läuft das AFAICT sehr schnell
> auseinander.
Wer stellt dann Sicher das die geänderte Konfiguration auch in Puppet
Einzug hält, um nicht wieder dann eine andere Konfiguration zu fahren?
Laut allen anderen gibt es schon zu wenig Menschen die sich um die Maschinen
und Administration kümmern, meine Hilfsangebote verlaufen sich immer  
wieder im Sande.
So macht das auch keinen Spaß!

>> Die Hetzner Maschine läuft wieder! Ich hab festgestellt das die in
>> anderen Communitys ebenfalls mit Hetzner ExitNodes Probleme
>> haben weil über die Switche und Router der Traffic erfasst wird.
>>
>> Es gibt einen Hack, den ich nicht nicht ganz verstanden habe,
>> bei dem die FW Dynamisch die Hetzner AS Systeme Filtert und alles
>> was dann nicht Hetzner AS ist verwirft und somit auch Portscanns abfängt.
>
> Gut, dass sich Hetzner nur über Port-Scans auf eigene Adressen
> Gedanken macht. Wäre für den Freifunk ärgerlich, wenn sie auch den
> Rest des Internets so "schützen" würden.
Die haben die Kiste vom Netz genommen weil jemand aus dem VPN einen
Scan auf Private Adressen gemacht hat.

> IMHO ist das aber für den üblichen Einsatzfall der Rechner im Hosting
> eine sinnvolle Maßnahme. Wenn z.B. ein Rechner, auf dem normalerweise
> nur ein Web- oder Mailserver läuft, anfängt, Portscans zu machen,
> deutet dass schon darauf hin, dass mit der Maschine etwas nicht
> stimmt. Welchen triftigen Grund sollte der Admin des Rechners haben,
> großflächig Ports zu scannen? Es ist also vermutlich jemand, der
> unbefugt auf der Maschine ist. Da ist Sperren die sichere Lösung. In
> den AGB von Hetzner steht bestimmt[1] auch was zu Portscans.
>
> Für den Sonderfall "VPN-Server für öffentliches WLAN" passt das
> natürlich nicht. Das ist aber auch - was den potentiellen juristischen
> Aufwand für Hetzner angeht - AFAICT kurz vor dem Tor-Exit-Node.
>
>> Ich hab im übrigen auch festgestellt das OpenVPN auf einem WDR4900
>> über in einem Testnetz maximal 23 bis 35 MBit macht.
>>
>> Einen IPSec Tunnel macht bei gleichen Testbedingung ca. 73 bis 85 MBit.
>> Vielleicht ist es Sinnvoll einen Paradigmenwechsel gleich mitzumachen
>> und OpenVPN zugunsten der Geschwindigkeit und weniger Ressourcenverbrauch
>> den Rücken zu kehren.
>
> Interessant. Könnte sicherlich auch erstmal parallel zu OpenVPN
> angeboten werden.
> Läuft das auf allen üblichen Verdächtigen (IPv6-only, DS-Lite,
> Carrier-Nat, Mobilfunk mit privaten IPv4, usw.) ohne große Klimmzüge?
> Oder ist das jetzt eher eine High-Performance-Lösung, die nur auf
> "Standard-Anschlüssen" läuft?
> IIRC gab es in der Vergangenheit schon mal Versuche mit anderen
> Tunnel-Lösungen, aber Berlin ist bei OpenVPN geblieben. In 2016 z.B.
> wurde AFAICT[3] mal L2TP+Tunneldigger diskutiert. Was ist aus den
> Experimenten geworden?
Momentan laufen zwei Arten von Zukünftigen Community Tunneln.
vm01.roellig-it.de ist der IpSec
vm02.roellig-it.de ist der OpenVPN

Momentan rennt der IpSec mit Diversen Konfigurationen an Tunneln.
Meine Momentan benutzte Variante ist IpSec mit GRE.
Das bietet dann die Möglichkeit OLSR durch zu den Tunnel zu schicken und
zudem noch die Möglichkeit einen ICVpn zu machen.

IpSec geht fast auf jedem gerät, selbst auf winzigen Cisco APs und Router die
keine grosse CPU haben.

Zudem ist IpSec schon lange Bestandteil vom Kernel, wenn ich mit  
richtig erinnere
seit 2.6 oder so.
IpSec kommt als ExitNote zudem mit der Gesamten Hardware klar.
In einem Test bei mir im RZ hatte ich über 450 IpSec Tunnel auf eine IpSec
ExitNode, das Problem war dann aber hier das Netzwerk mit 100GBit was dann
zum Flaschenhals wurde.


Gruss
Sven 1.0


> VG
> Harald
>
> [1] https://www.hetzner.de/rechtliches/root-server/
> [2] https://wiki.freifunk.net/Fastd
> [3]  
> https://lists.berlin.freifunk.net/pipermail/berlin/2016-February/032051.html
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv






Mehr Informationen über die Mailingliste Berlin