[Berlin-wireless] am-dach-rt1 <-> bbbvpn probleme
Philipp Borgers
borgers at mi.fu-berlin.de
Fr Jan 26 18:43:34 CET 2018
Hi,
auf dem tunl0 Interface auf am-dach kommen die Pakete von deinem/euren Routern
an. Leider wurden die Source-IP mit der aktuellen Konfiguration nicht verändert,
sodass wir auf dem eth0.1301 Interface private IP-Adressen aus dem
Freifunk-Range gesehen haben. Eigentlich sollte folgende Regel für eine
entsprechende Änderung sorgen:
iptables -t nat -I POSTROUTING -s 10.0.0.0/8 ! -d 10.0.0.0/8 -o eth0.1301 -j SNAT --to-source 77.87.48.50
Die Regel scheint aber aus mir unbekannten Gründen nicht zu greifen. Ein
gründlicher Vergleich der entstehenden Konfigurationen bringt ev. einen
Erkenntnisgewinn.
Tragen wir die Regel in die uci-Konfiguration der Firewall ein, scheint die
Regel am richten Ort zu landen, sodass iptables sie auch wirklich beachtet.
config redirect
option src freifunk
option dest wan
option src_ip '10.0.0.0/8'
option src_dip '77.87.48.50'
option dest_ip '!10.0.0.0/8'
option target SNAT
Kannst du bestätigen, dass du jetzt ins Internet kommst?
Firmware wurde in dem Zuge auch mal geupdatet.
Gruß Philipp
On Thu, Jan 25, 2018 at 08:20:54PM +0100, mwmischa at gmx.de wrote:
> Hallo,
> ich habe von FrischAuf auch ein paar Routenverfolgungen durchgeführt. Der Node hängt am selben Uplink zur TUB wie chris-core.
>
> Routenverfolgung nach draußen, beim am-dach Router ist Schluss. Das ist seit mind mitte Dezember so.
> root at FrischAuf-Core1:~# mtr -r -n 8.8.8.8
> Start: Wed Jan 17 02:45:48 2018
> HOST: FrischAuf-Core1 Loss% Snt Last Avg Best Wrst StDev
> 1.|-- 10.31.48.6 0.0% 10 8.1 6.1 3.1 14.1 3.9
> 2.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
>
> bbbvpn erreichbar
> root at FrischAuf-Core1:~# mtr -r -n 10.230.22.1
> Start: Wed Jan 17 02:47:13 2018
> HOST: FrischAuf-Core1 Loss% Snt Last Avg Best Wrst StDev
> 1.|-- 10.230.145.173 0.0% 10 2.0 2.5 1.9 3.0 0.0
> 2.|-- 10.31.48.6 0.0% 10 4.3 5.5 2.7 14.9 3.5
> 3.|-- 10.230.22.1 0.0% 10 9.6 6.4 3.3 14.5 3.8
>
> Routenverfolgung zu chris-core
> root at FrischAuf-Core1:~# mtr -r -n 10.230.18.1
> Start: Wed Jan 17 02:49:09 2018
> HOST: FrischAuf-Core1 Loss% Snt Last Avg Best Wrst StDev
> 1.|-- 10.230.145.173 0.0% 10 2.5 3.1 1.8 8.4 1.8
> 2.|-- 10.230.18.1 0.0% 10 3.7 4.6 3.5 5.9 0.6
>
> Auf dem Router läuft das Hedy 1.0.0rc1 release. Geht es ans Internet jetzt nur noch über bbbvpn und nicht mehr direkt, oder ist das immernoch ein Fehler?
>
> Gruß
>
> Gesendet: Donnerstag, 25. Januar 2018 um 15:20 Uhr
> Von: "Philipp Borgers" <borgers at mi.fu-berlin.de>
> An: "wirelesslan in Berlin" <berlin at berlin.freifunk.net>
> Betreff: Re: [Berlin-wireless] am-dach-rt1 <-> bbbvpn probleme
> 172.31.240.1 ist sehr wahrscheinlich die IP des Default-Gateways was der Router
> per VPN03 bekommt.
>
> Ich würde erstmal überprüfen, ob ein BBB-VPN Tunnel überhaupt aufgebaut wurde
> (ip l bzw. ip a) und ob die IP des Servers (BBB-VPN) erreichbar ist
> 10.230.22.1.
>
> Gruß Philipp
>
> On Thu, Jan 25, 2018 at 03:07:58PM +0100, Arne Zachlod wrote:
> > Hi Holger, kannst du mir bitte noch sagen welcher hop das 172.31.240.1
> > ist? und woher da die 50% packetloss kommen? Welche der hops ist denn
> > deine CPE auf die du nicht rauf kamst? ich das gleich frei.funk, oder
> > einer der spaeteren hops im BBB?
> >
> > Wenn du wieder traceroutes schicks benutz mal bitte noch den parameter
> > -n, damit werden die IPs nicht rueckaufgeloest, das macht sich besser
> > zum debuggen.
> >
> > Bye
> > Arne
> >
> > On 01/25/2018 02:58 PM, Holger wrote:
> > > mtr -r 10.230.18.1
> > > Start: Thu Jan 25 14:34:14 2018
> > > HOST: host Loss% Snt Last Avg Best Wrst
> > > StDev
> > > 1.|-- frei.funk 0.0% 10 3.0 717.0 2.6 2898.
> > > 1049.3
> > > 2.|-- 172.31.240.1 90.0% 10 2343. 2343. 2343. 2343. 0.0
> > > 3.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
> > >
> > > ssh root at 10.230.18.1
> > > ssh: connect to host 10.230.18.1 port 22: Network is unreachable
> > >
> > > nachdem ich mit ssh nicht auf meinen cpe komme habe ich ihn neu gestartet:
> > > mtr -r 10.230.18.1
> > > Start: Thu Jan 25 14:49:56 2018
> > > HOST: host Loss% Snt Last Avg Best Wrst
> > > StDev
> > > 1.|-- frei.funk 0.0% 10 11.2 5.6 3.2 14.1 3.8
> > > 2.|-- 172.31.240.1 50.0% 10 37.6 41.7 25.2 67.3 15.5
> > > 3.|-- am-dach-rt1.berlin.freifu 50.0% 10 27.7 32.0 24.7 58.0 14.6
> > > 4.|-- 10.230.23.144 50.0% 10 155.8 52.8 25.3 155.8 57.6
> > > 5.|-- 10.230.18.1 50.0% 10 46.5 35.7 26.3 51.3 12.1
> > >
> > > ssh root at 10.230.18.1
> > > Er tut so als würde er verbinden und schläft dann ein.
> > >
> > > olsr-Nachbarn sind nur seine drei Kumpel und 10.230.22.1
> > >
> > >
> > >
> > > Am 25.01.2018 um 09:55 schrieb Arne Zachlod:
> > >> schick mal bitte ein traceroute/mtr statt dem ping, das bringt mir mehr,
> > >> und teste bitte auch gleich ssh oder etwas anderes mit tcp noch mal.
> > >>
> > >> On 01/25/2018 02:15 AM, Holger wrote:
> > >>> Hi Arne,
> > >>>
> > >>> ping an chris-core.olsr:
> > >>>
> > >>> ping 10.230.18.1
> > >>> PING 10.230.18.1 (10.230.18.1) 56(84) bytes of data.
> > >>> 64 bytes from 10.230.18.1: icmp_seq=5 ttl=60 time=70.8 ms
> > >>> ...
> > >>>
> > >>> Ok, DNS is nich so gut.
> > >>>
> > >>> ssh root at 10.230.18.1
> > >>> ssh: connect to host 10.230.18.1 port 22: Network is unreachable
> > >>>
> > >>> Da wünsche ich mir etwas mehr.
> > >>>
> > >>>
> > >>> Am 25.01.2018 um 01:55 schrieb Arne Zachlod:
> > >>>> Hi Holger,
> > >>>>
> > >>>> kannst du mal bitte die IPs posten die du da zu pingen versuchst? Oder
> > >>>> loest das DNS nicht auf?
> > >>>>
> > >>>> Danke
> > >>>> Arne
> > >>>>
> > >>>> On 01/25/2018 01:50 AM, Holger wrote:
> > >>>>> Moin,
> > >>>>>
> > >>>>> das habt Ihr sehr schön gemacht, es sind wieder mehr Linkstrecken zu
> > >>>>> sehen!
> > >>>>>
> > >>>>> Danach müssten tub-core.olsr und chris-core.olsr wieder Internet
> > >>>>> haben.
> > >>>>>
> > >>>>> Ich kann es nicht überprüfen, über bbbvpn ping an chris- und tub-core
> > >>>>> und am-dach-rt1.olsr ergibt unknown host.
> > >>>>>
> > >>>>> ping an staakener2.olsr gibt "From 172.31.240.1 icmp_seq=1 Destination
> > >>>>> Net Prohibited"
> > >>>>>
> > >>>>> Es ist besser aber noch nicht gut, glaube ich.
> > >>>>>
> > >>>>> Habt Ihr noch mehr gute Ideen?
> > >>>>>
> > >>>>> cheerio Holger
> > >>>>>
> > >>>>> Am 25.01.2018 um 00:35 schrieb Philipp Borgers:
> > >>>>>> Moin,
> > >>>>>>
> > >>>>>> Perry, Arne und ich haben die SNAT-Regel auf am-dach angepasst,
> > >>>>>> sodass
> > >>>>>> jetzt nur
> > >>>>>> noch Daten mit Ziel-IP Internet vom SNAT betroffen sind. Das führt
> > >>>>>> dazu, dass
> > >>>>>> Infrastruktur im BBB-VPN jetzt wieder erreichbar ist.
> > >>>>>>
> > >>>>>> Holger, hängt das beschriebene Problem damit zusammen oder geht es
> > >>>>>> bei
> > >>>>>> "westlich
> > >>>>>> von der Manstein 10" um ein anderes Problem?
> > >>>>>>
> > >>>>>> Gruß Philipp
> > >>>>>>
> > >>>>>> On Wed, Jan 24, 2018 at 09:33:49PM +0100, Holger wrote:
> > >>>>>>> Das wär sehr schön, zur Orientierung westlich von der Manstein 10
> > >>>>>>> gibt es
> > >>>>>>> keine Links mehr.
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> Am 24.01.2018 um 17:37 schrieb Arne Zachlod:
> > >>>>>>>> Ich bin heute ab ca. 21h in der Base, wir koennen dann gerne mal
> > >>>>>>>> weiter
> > >>>>>>>> debuggen.
> > >>>>>>>>
> > >>>>>>>> On 01/24/2018 09:53 AM, Philipp Borgers wrote:
> > >>>>>>>>> Ich kann chris-core.olsr vom bbb-vpn aus pingen, aber der
> > >>>>>>>>> Verbindungsaufbau per
> > >>>>>>>>> SSH hängt.
> > >>>>>>>>>
> > >>>>>>>>> Wenn man den Hostname eines BBB-Standorts ändert, wäre es schön,
> > >>>>>>>>> wenn man das
> > >>>>>>>>> mal eben den anderen/alten Maintainern mitteilt.
> > >>>>>>>>>
> > >>>>>>>>> Bitte tragt auch mal die aktuellen Ansprechpartner im Wiki nach.
> > >>>>>>>>>
> > >>>>>>>>> Gruß Philipp
> > >>>>>>>>>
> > >>>>>>>>> On Wed, Jan 24, 2018 at 03:33:10AM +0100, Holger wrote:
> > >>>>>>>>>> Hej,
> > >>>>>>>>>>
> > >>>>>>>>>> der westliche Teil von Berlin ist nicht mehr per bbbvpn zu
> > >>>>>>>>>> erreichen. Is was
> > >>>>>>>>>> nerfig, kann mal jemand gegens Dach und ipb treten? Bitte!
> > >>>>>>>>>>
> > >>>>>>>>>> freifunk-tu und chris sind offline.
> > >>>>>>>>>>
> > >>>>>>>>>> @arne bist Du da dran?
> > >>>>>>>>>>
> > >>>>>>>>>> cheerio Holger
> > >>>>>>>>>>
> > >>>>>>>>>>
> > >>>>>>>>>>
> > >>>>>>>>>> Am 19.12.2017 um 14:38 schrieb Perry:
> > >>>>>>>>>>> Hallo alle,
> > >>>>>>>>>>>
> > >>>>>>>>>>> es gibt gerade ein problem mit verbindungen zwischen nodes an
> > >>>>>>>>>>> der
> > >>>>>>>>>>> backbone und nodes die mit der bbbvpn verbinden.
> > >>>>>>>>>>>
> > >>>>>>>>>>> Zum testen habe ich ein test-freifunk-router mit eine verbindung
> > >>>>>>>>>>> mit der
> > >>>>>>>>>>> bbbvpn eingerichtet (ptest.olsr). Der passwort ist "freifunk"
> > >>>>>>>>>>> für alle
> > >>>>>>>>>>> leute die weitere tests machen wollen.
> > >>>>>>>>>>>
> > >>>>>>>>>>> Am anhang sind archiven mit pcapng datien. Die bbbvpn* pcapng
> > >>>>>>>>>>> files
> > >>>>>>>>>>> sind versuche von ptest.olsr mit scherer8.olsr (an der
> > >>>>>>>>>>> backbone). Die
> > >>>>>>>>>>> backbone* pcapng files sind versuche von scherer8.olsr mit
> > >>>>>>>>>>> ptest.olsr.
> > >>>>>>>>>>>
> > >>>>>>>>>>> Note 1:
> > >>>>>>>>>>>
> > >>>>>>>>>>> Von ptest.olsr kann ich nur am-dach-rt1.olsr erreichen (ip
> > >>>>>>>>>>> adresse
> > >>>>>>>>>>> 77.87.48.50, also eine öffentliche adresse).
> > >>>>>>>>>>>
> > >>>>>>>>>>> mid1.am-dach-rt1.olsr, mid2.am-dach-rt1.olsr,
> > >>>>>>>>>>> mid3.am-dach-rt1.olsr
> > >>>>>>>>>>> (alle mit 10.21.48* adressen) sind gleich nicht erreichbar.
> > >>>>>>>>>>>
> > >>>>>>>>>>> alle am-dach-rt1.olsr mids sind aus der backbone erreichbar.
> > >>>>>>>>>>>
> > >>>>>>>>>>> Note 2:
> > >>>>>>>>>>>
> > >>>>>>>>>>> Verbindungen zwischen nodes die mit der bbbvpn verbinden
> > >>>>>>>>>>> funktionieren.
> > >>>>>>>>>>> Z.B. ptest.olsr <-> quitte-core.olsr
> > >>>>>>>>>>>
> > >>>>>>>>>>>
> > >>>>>>>>>>> Gruß,
> > >>>>>>>>>>>
> > >>>>>>>>>>> Perry
> > >
> > > _______________________________________________
> > > Berlin mailing list
> > > Berlin at berlin.freifunk.net
> > > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> > > Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> >
> > _______________________________________________
> > Berlin mailing list
> > Berlin at berlin.freifunk.net
> > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]
> > Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]
> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: nicht verfügbar
URL : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20180126/a6e47034/attachment.sig>
Mehr Informationen über die Mailingliste Berlin