Hamburg:Infrastruktur

Aus wiki.freifunk.net
Zur Navigation springenZur Suche springen


Dies ist die Dokumentation der von Freifunk Hamburg gepflegten Infrastruktur. Ziel ist es, Externen einen guten Überblick zu geben und die Einstiegshürde für Leute, die neu dabei sind, zu senken. Dabei muss man beachten, dass diese Seite und alle Unterseiten eigentlich immer work in progress sind, da Teile der Infrastruktur kontinuierlich verändert und verbessert werden.

Bitte seht diese Seiten auch als Aufruf, sich bei Freifunk Hamburg zu engagieren. Wir brauchen immer neue Leute, die uns helfen, Freifunk Hamburg besser zu machen.


Übersicht

Ffhh infrastruktur.png

gw05 und gw08 wurden inzwischen wieder abgeschaltet

Server

Gateways

Die Gateways dienen als Endpunkte für das Mesh-VPN, welches von den entsprechend konfigurierten Knoten aufgebaut wird. Dabei wird das Mesh-VPN für zwei Dinge genutzt:

  • Dem Verbinden entfernter Mesh-Wolken, um eine Kommunikation zu ermöglichen, wo keine Mesh-Verbindung (per Funk) existiert. So werden z.B. lokal angebotene Dienste in der ganzen Stadt erreichbar gemacht.
  • Dem Zugang zum Internet. Hierzu leiten die Gateways den Datenverkehr ins Internet, wobei bei IPv4 NAT zum Einsatz kommt.

Auf den Gateways laufen insbesondere folgende Dienste: fastd (als VPN-Daemon), bind9 (als Nameserver für die Nutzer), ein DHCP Server für IPv4 Adressen, radvd zum Ankündigen des genutzten IPv6-Netzes und NTP zur Zeitsynchronisation.

Die Gateways werden über Puppet aufgesetzt. Dafür existiert ein Puppet Modul sowie die dazugehörige Konfiguration pro Gateway. Lokale Änderungen werden weitestgehend vermieden, um die Konfiguration zu vereinfachen und, falls es nötig sein sollte, ein schnelles Neuaufsetzen zu ermöglichen.

Host IPv6 RFC1918 DHCP Range ICVPN batman & Tunnel MACs Besonderheiten Standort Betreuer Internetzugang
gw01 2a03:2267::202 10.112.1.11 10.112.2.2 – 10.112.9.254
10.112.54.2 - 10.112.61.245
ja de:ad:be:ef:01:01
de:ad:be:ff:01:01
de:ad:bf:ff:01:01
gw01 für Helgoland artfiles, host03 IPv4: lokal
IPv6: lokal
gw02 2a03:2267::201 10.112.42.1 10.112.10.2 – 10.112.17.254
10.112.62.2 - 10.112.63.254
ja de:ad:be:ef:05:05
de:ad:be:ff:05:05
de:ad:bf:ff:05:05
n@work, host01 IPv4: lokal
IPv6: lokal
gw03 2a03:2267::301 10.112.1.3 10.112.18.2 – 10.112.25.254
10.112.42.2 - 10.112.49.254
ja, Meta Node de:ad:be:ef:03:03
de:ad:be:ff:03:03
de:ad:bf:ff:03:03
IPHH, host02 IPv4: lokal
IPv6: lokal

Router

Die Router sind eigene virtuelle Maschinen, die BGP sprechen und so unseren Peers die Netze (IPv4 und IPv6) an den jeweiligen Standorten ankündigen. Hierfür haben wir eine eigene AS-Nummer: AS49009.

Per separater Bridge auf dem entsprechenden Hostsystem wird den dort ebenfalls laufenden weiteren Maschinen (Gateways & Server) Konnektivität bereitgestellt. Entferne Maschinen werden über Tunnel (meist GRE) angebunden. Zwischen den drei Routern existieren ebenfalls Tunnel, um eingehenden Traffic entsprechend zu dem richtigen Zielsystem routen zu können (Stichwort: asymmetrisches Routing).

Auf den Routern läuft eine Firewall (IPv4 und IPv6) die Ingress (eingehend; bcp38) und Egress (ausgehend) Filtering umsetzt. Dies bedeutet, dass ein- oder ausgehende Pakete verworfen werden, die eine Ziel- oder Absenderadresse aus einem reservierten oder privaten Adressblock haben (bei IPv4 z.B. 192.168.0.0/16). Gleichzeitig werden nur Pakete eingehend akzeptiert, wenn sie als Zieladresse das eigene Netz haben. Ausgehende Pakete analog dazu nur, wenn sie als Quelladresse das eigene Netz haben. Diese Maßnahmen dienen dazu, nur technisch korrekten Datenverkehr durchzulassen und die Folgen von Fehlkonfigurationen abzumindern. So sperren einige Hoster den Zugang, wenn Pakete mit falscher Absenderadresse versendet werden.

Host IPv6 IPv4* Besonderheiten Standort Betreuer Peering
wandale0 2a03:2267:ba5e::a 193.96.224.245 n@work, host01 IPv4: ja
IPv6: ja
wende0 2a03:2267:ba5e::b 193.96.224.249 IPv4 Uplink für Bremen,
IPv6 Transit für Lübeck
IPHH, host02 IPv4: ja
IPv6: ja
suede0 2a03:2267:ba5e::c 193.96.224.241 artfiles, host03 IPv4: nein
IPv6: ja
greve0 (geplant) 2a03:2267:ba5e::d tbd IRZ42 IPv4: ja
IPv6: ja

(*) Verteilung der öffentlichen IPv4 Adressen über Repository

Hostsysteme

Dienste

 AdminZugriffLäuft auf
Hamburg:ChaosPadKantorkel
Baldo
NiemandHamburg:extern
Hamburg:FirmwareTokudanHamburg:builder2
Hamburg:GitHubZuvieleHamburg:extern
Hamburg:GitoliteNico
Kantorkel
Andre
Ohrensessel
Entil'Zha
Tokudan
Baldo
Sliker
Td
Hamburg:mail2
Hamburg:IRC?Hamburg:extern
Hamburg:Jabber Server AdministrationKantorkelNiemandHamburg:srv02
Hamburg:Karte???Hamburg:gw03-new
Hamburg:MailTokudanAlexander
Entil'Zha
Hamburg:mail2
Hamburg:MailinglisteTokudanHamburg:extern
Hamburg:MastodonTokudanHamburg:extern
Hamburg:MediaKantorkelOhrensesselHamburg:srv02
Hamburg:MonitTokudanHamburg:statistik-backend
Hamburg:NextcloudAlexanderTokudanHamburg:speicher
Hamburg:StatistikTokudanKantorkel
Andre
Alexander
Unbedenklich
Entil'Zha
Tokudan
Baldo
Bdobe
Mattzz
Hamburg:statistik-backend