Berlin:Community-Tunnel

Aus wiki.freifunk.net
Wechseln zu: Navigation, Suche

Idealer Weise sollte jeder Freifunker, der Bandbreite für einen Internet-Uplink übrig hat, diese Kapazität den anderen Nutzern zur Verfügung stellen. Das direkte Ausleiten des Freifunk-Datenstromes über den eigenen Anschluss war in Deutschland lange Zeit durch die Störerhaftung erschwert. Die rechtliche Situation hat sich 2017 hier deutlich verbessert, doch es gibt immer noch Unsicherheiten, die nicht jeder Freifunker direkt eingehen will.

Um diese Unsicherheiten vom einzelnen User zu nehmen und eine Isolierung des Freifunkdatenstromes vom Datenstrom des Anschlusseigentümers zu ermöglichen, hat die Freifunk-Community Berlin eine Tunnellösung geschaffen.

Tunnel-Lösung der Community Berlin "Tunnel-Berlin" mit OpenVPN

Wir haben folgendes Konzept umgesetzt:

  • Tunneltechnologie: OpenVPN
  • Authentifizierung via X.509-Zertifikat, Keygrösse: 2048 bits RSA, damit kann OpenVPN-mbedTLS genutzt werden
  • Beantragung unter tunnel.berlin.freifunk.net
    • Ihr erhaltet die Zugangsdaten in Form eines tar/gzip-Archives (*.tgz); dieses Archiv kann mit den meisten üblichen Programmen zum Auspacken von Archiven entpackt werden.
    • Die Zugangsdaten werden per Email versandt; Absender <no-reply@tunnel.berlin.freifunk.net> -- bitte auch im Spam nachsehen, bis zur Zustellung kann es ein paar Tage dauern, da die Zertifikatserstellung manuell erfolgt.
      • Die im Archiv enthaltenen Dateien (key/crt) müßt Ihr nach dem Auspacken über den Konfigurationswizard in das Freifunkgerät übertragen.
    • Gültigkeit des Zertifikates: derzeit 10 Jahre (während der Aufbauphase waren es 60 Tage)
      • Zur Zeit müssen die Zugangsdaten noch manuell erneuert werden.
      • Wenn auf Eurem Rechner das Programm "openssl" installiert ist, könnt Ihr das Verfallsdatum überprüfen:openssl x509 -noout -enddate -in [Dateiname-des-Zertifikates].crt
      • Eine bereits verwendete ID für die Zugangsdaten kann zur Zeit nicht wiederverwendet werden. Beim Neubeantragen einfach eine laufende Nummer anhängen: [Meine ID]-1, [Meine-ID]-2 usw.
      • Durch die Umstellung vom alten VPN (aka VPN03) sind in den automatisch erzeugten Texten und Dateinamen eventuell noch Verweise auf das VPN03 zu finden, die unter tunnel.berlin.freifunk.net beantragten Zugangsdaten gelten aber trotzdem ausschließlich für den Community-Tunnel "Tunnel-Berlin" (nicht für das VPN03). Nicht irritieren lassen! Wir arbeiten an der Behebung dieser Probleme.
      • etwas Diskussion: https://lists.berlin.freifunk.net/pipermail/berlin/2017-September/036380.html
      • GitHub-issue für die Zertifikats-Erneuerung: https://github.com/freifunk-berlin/ca.berlin.freifunk.net/issues/57
  • die Bandbreite pro Tunnelverbindung ist auf 10 MBit/s begrenzt (traffic-shaping muss noch implementiert werden)
    • stellt für den üblichen Router keine Einschränkung dar
    • stellt eine Gleichbehandlung aller User sicher
  • es gibt eine angepasste Firmware mit dem Namen "tunnel-berlin" für die unterstützten Geräte. 4MB-Geräte sind für diese Firmware nicht mehr nutzbar.

Tunnel-Lösung der Community Berlin "Tunnel-Berlin mit Tunneldigger"

Neue Firmware (z.Z. im Alpha-Test):

Als neue Technik wollen wir Tunneldigger nutzen. Tunneldigger wurde von Wlan-Slovenija entwickelt und wird bereits von einigen anderen Freifunk-Communities genutzt.

Tunneldigger hat den Vorteil, dass es im Vergleich zu OpenVPN ressourcenschonender ist. Wir brauchen somit weniger Flash, weniger CPU auf den Routern und auch kein Zertifikat mehr.

Wenn ihr diese neue Variante testen möchtet, geht bitte ins Wiki und sucht den Router in der Liste. Beim Router klickt ihr auf "Download". Öffnet "Auch alte Releases und Development-Branches anzeigen", scrollt weit runter zu "alpha-test-tunneldigger" und ladet euch die Firmware für den Router herunter.

Die Development-Images sind Alpha-Versionen, die Fehler enthalten können. Vor der Installation solltet ihr euch vorsichtshalber mit den Prozeduren zur Wiederbelebung ('debricking') des Routers vertraut machen.


bbbdigger: (BBB-VPN mit tunneldigger)

Es gibt ausserdem ein neues Paket, welches ihr mit den alpha-test-tunneldigger-Images "tunneldigger", "default" und "backbone" nutzen könnt: "freifunk-berlin-bbbdigger". Es nimmt keinen Einfluss darauf, wie der Client-Traffic geroutet wird, sondern richtet einen Tunnel zum BBB (Berliner Backbone) ein. Der Zweck des BBB-VPN besteht darin, abgelegenen Knoten, die keine direkte Verbindung zum Backbone herstellen können, eine virtuelle Verbindung zu ermöglichen.

Dies ist kein selbständiges Installationsimage, sondern ein Softwarepaket, das im laufenden Router hinzuinstalliert werden muß.

Paketinstallation

via Command Line

in Router einloggen mit ssh

opkg update

opkg install freifunk-berlin-bbbdigger

via Web Interface

  • einloggen mit dem Webinterface
  • gehe ins Menü "System" und wähle "Software"
  • klicke auf "Update Lists"
  • "freifunk-berlin-bbbdigger" im Feld "Download and install package" eintragen
  • "OK" klicken

Wenn das Paket installiert ist, wird der Router automatisch konfiguriert, den BBB-VPN Tunnel aufzubauen, und der Router fängt an, mit dem BBB zu meshen. Ein Reboot des Routers sollte nicht nötig sein.

Bitte um Mithilfe

Wenn ihr irgendwelche Fehler findet, öffnet bitte ein Issue bei github . Über Hilfe beim Schliessen der Issues freuen wir uns natürlich auch.

Danke, euer Firmware Development Team

Gateways

Das sind die Server, über die die Tunnel-Berlin-Daten ins Internet ausgeleitet werden. Siehe Berlin:Server#tunnel.berlin.freifunk.net.