[Berlin-wireless] Finale Abschaltung vpn03.berlin.freifunk.net zum 31.12.2018

[Harald Stürzebecher]

Hallo Sven

Am Mo., 3. Dez. 2018 um 22:01 Uhr schrieb Sven Roederer
<freifunk at it-solutions.geroedel.de>:

>
> Am 03.12.2018 um 15:22 schrieb Harald Stürzebecher:
> >
> > Mehrere für den Einsatz kritische Probleme sind AFAICT erst in den
> > letzten Monaten behoben worden:
> > - Mit Zertifikaten, die 60 Tage gültig sind und für die als
> > Updatestrategie "mach Dir ein neues" angeboten wurde. konnte man IMHO
> > nicht sinnvoll arbeiten. Zum Testen OK, aber nicht produktiv.
> > - In Spandau lief das Monitoring der Melanchthon-Kirche so instabil,
> > dass Thorsten nach kurzer Zeit wieder auf VPN03 gewechselt hatte, wo
> > es keine Probleme gab. Inzwischen soll es auch mit dem
> > Community-Tunnel laufen.
> > Die Aussage, das es den Community-tunnel seit September 2017 gibt, ist
> > zwar vielleicht korrekt, aber IMHO nutzlos.
> >
>
> In der Tat ist das wieder ein Henne-Ei-Problem, wie das Routing-protokoll
> und der Umstieg auf 802.11s.

IMHO ist die Einführung eines neuen Tunnels eben gerade kein
Henne-Ei-Problem. Das ist nur eine Abhängigkeit in einer Richtung. Der
neue Server kann auch laufen, ohne dass er Nutzer hat. Es reicht auch,
wenn sich zunächst nur neue Clients mit dem neuen Server verbinden. Am
alten Server und an den alten Clients muss erstmal nichts verändert
werden. Mit der Entscheidung, bei einer neuen Firmware-Version nur
noch den neuen Tunnel zu unterstützen und für den alten Server keine
neuen Nutzer mehr zuzulassen, ist IMHO sichergestellt, dass die
Nutzung des neuen Servers langsam aber stetig steigt.

Beim Routing-Protokoll tun wir uns so schwer, weil es problematisch
ist, wenn zwei Programme gleichzeitig die Routingtabelle bearbeiten.
Dadurch müsste im Prinzip das gesamte Netz ohne Übergangszeit
umgestellt werden.

Bei 802.11s ist das Henne-Ei-Problem IMHO deutlich schwächer
ausgeprägt. 11s lässt sich auf diversen Routermodellen parallel zum
Ad-Hoc einschalten. Außerdem ist die Umstellung bei der aktuellen
Stable-Firmware AFAIK mit wenigen Schritten ohne Neuinstallation
möglich. Ganz Mutige machen das vermutlich sogar remote bei einem
Knoten, der nur über Mesh erreichbar ist.

> Aber mit 72 Hennen kann man schon von produktiver Nutzung reden, denke ich.
> Und nachdem Perry die Firewall auf dem einen Gateway gefixt hat, scheinen
> ja auch keine Probleme mehr zu bestehen.

Thorsten hat mir vorhin geschrieben, dass der Uplink der
Melanchthon-Kirche nach der Umstellung auf Community-Tunnel wieder
instabil ist. Solange die Ausfälle im Monitoring mit der Nutzung des
Community-Tunnels zusammentreffen glaube ich nicht an "keine
Probleme". Ich warte gespannt, ob die tatsächliche Ursache mal
gefunden werden kann.

> > Wenn der Zeitplan so umgesetzt wird, gibt es 300 Geräte, die jetzt
> > laufen und es ohne Aktivitäten ihrer Besitzer demnächst nicht mehr tun
> > werden. Mir fällt schwer, das positiv zu sehen, auch wenn ich die
> > Gründe für die Abschaltung verstehen kann.
>
> >> Diesen Zeitraum sehe ich nicht als überstürzt und Probleme sind mir beim
> >> Community-tunnel zur Zeit auch nicht bewußt.

Wie sicher ist, dass das auch in den nächsten Wochen keine
unvorhergesehenen Probleme auftreten? ;-)

> > Bei mir liegt seit einigen Wochen ein (normalerweise ca. 20 km
> > entfernt stehender) Router, den ich umstellen möchte. Mal sehen, wann
> > ich Zeit finde und wie reibungslos das abläuft.
> > Für Tunneldigger gibt es AFAICT noch keine stabile Firmware.
> > OpenVPN-Community-Tunnel und BBB-VPN auf einer Kiste erfordert AFAIK
> > Bastelarbeit mit den Paketen.
>
> In der "tunnel-berlin" version der Images ist keine Bastelarbeit an den
> Paketen nötig, das läuft genau so zuverlässig wie bei den VPN03-Images.
> Beim BBB-VPN ist ist der Tat immer Bastelarbeit nötig für die initiale
> Einrichtung.

Sorry, ich hatte die Umsetzung von
https://github.com/freifunk-berlin/firmware/issues/489 nicht bemerkt.
Wenn der Patch in der Stable-Firmware drin ist, wird es tatsächlich
nicht so schlimm. Trotzdem ist das nichts, das ich "mal eben" morgens
vor dem Frühstück erledigen werde. Vermutlich werde ich auf BBB-VPN
verzichten. Ging bisher auch, dauert dann halt ein paar Wochen, wenn
ich an dem Router etwas machen möchte. Manchmal möchte man basteln,
manchmal soll es mit möglichst wenig Aufwand und Risiko funktionieren.
Wenn ich einen Router aufstelle, damit andere Leute WLAN haben, soll
er ohne viele Experimente einfach nur laufen. Basteln mache ich zu
Hause, wo es niemanden stört.

> >> Die Umstellung eines VPN03-gateways zu einem Community-tunnel-gateway [2] , auf
> >> OpenVPN-basis, ist in weniger als 1 Stunde entspannt gemacht. Es muss halt nur
> >> jemand machen (wollen). Dass beseitig auch gleich folgende Probleme:
> >> * Wartung von 3 Tunnellösungen (VPN03, Community-openvpn, Community-Tunneldigger)
> >> * klare Zuständigkeit
> >> * der "Kampf" mit / gegen den Förderverein ist ausgestanden
> >
> > Es ist gut, dass es für die Server-Administratoren so einfach ist.
> > Dazu kommen dann aber noch die Stunden, die die Nutzer investieren
> > müssen. Und schon sieht die Bilanz IMHO nicht mehr so gut aus.
>
> Bei der Umstellung der Nodes zwischen den verschiedenen UPlink-typen
> habe ich ja an einer Version von Hedy-1.0.2 gearbeitet, die das unter-
> stützt [1].
> Hier kannst du ja mal einen Testnode mit deinen unbenutzten Routern
> aufbauen und das probieren. Bei 2 von 2 Routern habe ich nur ein kleines
> Problem festgestelt, dass jetzt auch gehoben sein sollte. In Verbindung
> mit BBB-VPN hab ich das noch nicht probiert, erwarte aber keine Problem.

Das ist genau das, was ich mit "Stunden" meinte. Wenn jemand überhaupt
nicht basteln sondern einfach nur einen Router aufstellen möchte,
sollte das IMHO so weit wie möglich auch akzeptiert werden.

> >> Wir können einfach vorwärts laufen, oder auch weiter im Kreis rennen ...
> >
> > Vorwärts ist gut, wenn man sehen kann, dass der Weg frei ist und in
> > Richtung Ziel führt. Das mit dem Ziel scheint schon zu passen. Ich
> > habe aber im Moment den Eindruck, dass wir zu schnell unterwegs sind
> > und man auf dem Weg einige Leute hilflos zurücklassen wird.
> >
>
> Geschwindigkeit ist ja relativ: Gemessen an der Zeit zum Hardwareaustausch
> wegen Routerdefekten, sind wir heir schnell unterwegs. Im Vergleich zur
> allgemeinen Entwicklung von Software sind wir langsam unterwegs.

Die "allgemeinen Entwicklung von Software" hat aber auch in der Regel
ein funktionierendes Auto-Upgrade, bei dem der Nutzer kaum Zeit
investieren muss. Wenn das mal nicht wie geplant funktioniert, gibt es
auch dort lautes Fluchen. So gesehen verbessert die Abschaltung die
Qualität der Freifunksoftware in Berlin, weil die ungepflegten Geräte
dann eben weg sind. Evolution - wer sich nicht anpasst, hat verloren.
;-)

> Da noch 60% der Nodes mit Software <= OpenWrt 15.05 läuft, sind Nodebetreiber
> in der Regel wohl eher "Install once and never touch again" User.

Das betrifft AFAICT allerdings auch Backbone-Standorte mit
überlasteten Maintainern.
Ich finde, dass das deutlicher kommuniziert werden sollte: "Wenn Du
beim Freifunk mitmachen willst, rechne damit, ab und zu Zeit mit
Deinem Router verbringen zu müssen. Wann das der Fall ist, wird durch
die Weiterentwicklung der Software und Dienste bestimmt." ;-)

> Und da wir keinen Auto-upgrader haben, werden "inaktive" Nodebtrteiber immer
> hilflos zurückbleiben und den Anschluss verlieren...

Oder man schafft es, über lange Zeit rückwärtskompatibel zu bleiben.
Selbst die Sicherheitslücken scheinen kein großes Problem zu sein. Ich
lese jedenfalls nicht dauernd von Zwischenfällen.


VG
Harald