Freifunk Nord/Gateway betreiben

Aus wiki.freifunk.net
Wechseln zu: Navigation, Suche


Gateway für Freifunk Nord bereitstellen

Großartig! Weitere Gateways helfen uns das Netz leistungsfähig, redundant und schnell zu halten. Zusätzliche Gateways sind daher immer willkommen. Bist du interessiert, schicke bitte eine Mail an admin@ffnord.net.


Die zwei Wege:

Server finanzieren und dem Admin Team überlassen

Du kannst einen Server bei einem Hoster mieten und diesen dann zur Verwaltung an das Admin Team übergeben. So kannst du etwas beisteuern ohne selbst Admin zu werden.

Server finanzieren und selbst Admin werden

Traust du dir zu selber ein Gateway zu administrieren, kannst du in das Admin Team aufgenommen werden und diesem im Team selbst betreuen. Um ins Team aufgenommen zu werden, musst du dich zunächst persönlich mit diesem Treffen. Ein persönlicher Kontakt ist uns sehr wichtig. Wir wollen einander kennen, bevor wir neue an die Systeme von Freifunk Nord heranlassen. Auch möchten wir sicherstellen, dass du über alle Fähigkeiten verfügst, die nötig sind um ein Gateway zu betreuen.


Voraussetzungen

Hoster

Freifunk Gateways sind aufgrund der hohen UDP Paketanzahl und des starken Datentransferaufkommens nicht bei allen Hostern willkommen. Auch springen DDOS Schutzvorrichtungen manchmal an, wenn die UDP Paketzahl zu hoch wird, was den Betrieb des Gateways stört.

Empfohlene Hoster

  • Strato
  • Hetzner
  • OVH
  • 1und1

Server

Da der Server die fastd Entschlüsselung und OpenVPN Verschlüsselung abnehmen muss gilt hier die Regel, je leistungsfähiger desto besser. Der CPU-Benchmark sollte 1500 nicht unterschreiten. Benötigt wird ein nicht virtualisierter Root Server. Das Hostsystem sollte per GigabIt angebunden werden und über mind. 20TB Freitraffic verfügen. Wir setzen auf jedem Host-System ein Virtualisierungssystem (i.d.R. Proxmox) ein, welches dann eine VM für das Gateway bereitstellt. Mindestens 2 IPv4 Adressen.

Die VM benötigt:

  • 1x CPU Kern
  • 2048MB RAM
  • 10GB
  • IPv6 Erreichbarkeit

VPN

Zusätzlich zum Server selbst, wird ein Account bei einem leistungsfähigen VPN Anbieter benötigt.

Empfohlene VPN Anbieter

  • hide.me
  • privateinternetaccess.com

Betriebssystem

Es wird Debian 8 oder neuer benötigt.


Important.png Wichtig: Installiere Debian minimal ohne Systemwerkzeuge und nehme außer der Netzwerkkonfiguration und dem hinzufügen der Benutzer zunächst keine weiteren Änderungen am System vor. Der Server muss über eine funktionierenden IPv4 und IPv6 Konfiguration verfügen.

Vorarbeit zum Puppet Manifest

Die Gateway-Installation erfolgt automatisiert mit Hilfe eines Puppet Scriptes. Dieses benötigt eine Manifest-Datei, in der die Gatewayspezifischen Einstellungen festgehalten werden.


Important.png Wichtig: Für den Datenaustausch wird eine PGP fähige Email-Adresse benötigt!


Freifunk Nord interne IP beantragen

Prüfe zunächst im IP-Adressen Verzeichnis, welcher IP Bereich noch frei ist, reserviere dir durch Änderung des Wiki Eintrages einen 8er IPv4 Block im 10.187.er Bereich und wähle die nächste freie IPv6 (fd42:eb49:c0b5:4242:fdxx).

Trage die ausgewählten IPs in das DNS Zonenfile ein und erstelle einen Pullrequest.


Important.png Wichtig: Jedes Gateway ist Host, Nameserver, NTP Server und Update Server!


Auch in den Mesh-Peerings muss das Gateway eingetragen und ein Pullrequest erstellt werden.

Gateway Subdomäne beantragen

Sende die IPv4 und die IPv6 deines Gateways an Gernot und setze admin@ffnord.net in CC, um deine Subdomäne im Stil von vpnX.ffnord.net zu erhalten.


Important.png Wichtig: Fahre erst mit der Einrichtung fort, wenn die Domäne eingerichtet und erreichbar ist!


Gateway-Peer anlegen

Lege eine peering Datei für dein Gateway im Peering-Verzeichnis an und erstelle einen Pullrequest. Den öffentlichen fastd Key deines Gateways findest du in der Site Konfiguration im Abschnitt fastd_mesh_vpn.

ICVPN

Füge dein Gateway dem ICVPN-Meta Verzeichnis hinzu und reiche einen Pullrequest ein. Highlighte in den Kommentaren @tarnatos @svth oder @rubo77

Generiere ein gültiges Tinc Schlüsselpaar und lege dein Gateway im ICVPN Host Verzeichnis an. Reiche einen Pullrequest ein und highlighte in den Kommentaren @tarnatos @svth oder @rubo77


Manifest-Datei anlegen

Lade die aktuelle Version des Puppet Manifestes herunter und ergänze die durch $$$ gekennzeichneten Textstellen.

Folgende Textstellen müssen bearbeitet werden:

router_id => "10.187.$$$.$$$",
IPv4 des Gateways innerhalb des Freifunk Nord Netzes
mesh_mac  => "fe:ed:be:ef:ff:$$"
MAC des Gateways innerhalb des Freifunk Nord Netzes
vpn_mac  => "fe:ed:be:ff:ff:$$"
VPN-MAC des Gateways innerhalb des Freifunk Nord Netzes
mesh_ipv6 => "2a03:2267:4e6f:7264::fd$$/64"
Öffentliche IPv6 des Gateways
mesh_ipv4  => "10.187.$$$.$$$/17"
Öffentliche IPv4 des Gateways
fastd_secret => "/root/nord-gw$$-fastd-secret.key"
Gateway Zahl ergänzen
dhcp_ranges => ['10.187.$$$.2 10.187.$$$.254']
Festgelegte IP Range innerhalb des Freifunk Nord Netzes
dns_servers => ['10.187.$$$.1']
IPv4 des Gateways innerhalb des Freifunk Nord Netzes
class {'ffnord::vpn::provider::hideio':
openvpn_server => "$$$",
openvpn_port   => 3478,
openvpn_user   => "$$$",
openvpn_password => "$$$";
}
Zugangsdaten für hide.me. Bei anderen Anbietern einfach unverändert lassen.
ffnord::icvpn::setup {
'nordgw$$':
Gateway Zahl ergänzen
icvpn_ipv4_address => "10.207.$$$.$$$",
IPv4 des Gateways innerhalb des ICVPN
icvpn_ipv6_address => "fec0::a:cf:$$$:$$$",
IPv6 des Gateways innerhalb des ICVPN
tinc_keyfile       => "/root/nord-vpn$$-icvpn-rsa_key.priv"
Gateway Zahl ergänzen

Daten zur Prüfung einreichen

Übermittle folgende Daten und Links in einer PGP verschlüsselten Email direkt an einen der Administratoren zur Prüfung.

Angaben:

  • Ansprechpartner und Erreichbarkeit (Email und Telefon)
  • Öffentliche IPv4 & IPv6
  • Subdomäne des Gateways
  • Public SSH Key zum Einrichten des Zugangs auf den anderen Gateways

Dateien:

  • manifest.pp
  • Tinc Schlüsselpaar (öffentlich und privat)

Links:

Nach erfolgreicher Prüfung erhältst du dann die Freigabe sowie das fastd-Schlüsselpaar zum Betrieb des Gateways im Freifunk Nord Netz. Auch werden die öffentlichen SSH Keys sowie zusätzliche Angaben zu den bestehenden Admins übermittelt, damit du diesen auch Zugang zu deinem Server gewähren kannst.

Ansprechpartner angeben

Trage deinen Server in die Serverliste ein und hinterlege dich als Ansprechpartner.