Hacksaar Wiki - Benutzerbeiträge [de]

Freifunk:Salt

2025-01-12T10:48:11Z

Ralf:

== How to deploy the salt state ==

Deploy on all gateways:

cd /srv/salt && sudo git pull && sudo salt --state-output=changes 'gw*.*' state.apply -t 32

Deploy on mgmt:

cd /srv/salt && sudo git pull && sudo salt --state-output=changes 'mgmt.*' state.apply -t 32

== Some other salt commands ==

salt '*' pkg.upgrade refresh=True dist_upgrade=True

salt '*' system.reboot

== How to set up a new gateway ==

* auf mgmt: per `salt-key -d <hostname>` altes GW löschen
* auf dem alten GW Salt ausschalten
* auf dem neuen GW den hostname setzen
* https://docs.saltstack.com/en/latest/topics/installation/index.html#installation
* apt install salt-minion
* `/etc/salt/minion`, sehr weit oben: `master: mgmt.saar.freifunk.net`
* auf mgmt: per `salt-key` neues GW freischalten
* vor dem deployen: IP und eth0-name in pillar aktualisieren.

== Dist-upgrade notes ==

Generally, the precedure is:

* Update <code>sources.list</code>
* Run <code>apt update && apt full-upgrade</code>, reboot
* Clean up old packages that are still installed (this is best done with aptitude)
* Re-deploy Salt

=== Debian 11 to Debian 12 ===

* Before the Salt re-deploy, remove <code>/etc/apt/sources.list.d/nodesource.list</code> so that Salt properly re-generates it.

== Dealing with Salt issues ==

If you get an error saying "Salt request timed out. The master is not responding.", it seems to help to restart the Salt master:

sudo systemctl restart salt-master

[[Kategorie:Freifunk]]

Freifunk:Salt

2025-01-11T18:47:28Z

Ralf:

== How to deploy the salt state ==

Deploy on all gateways:

cd /srv/salt && sudo git pull && sudo salt --state-output=changes 'gw*.*' state.apply -t 32

Deploy on mgmt:

cd /srv/salt && sudo git pull && sudo salt --state-output=changes 'mgmt.*' state.apply -t 32

== Some other salt commands ==

salt '*' pkg.upgrade refresh=True dist_upgrade=True

salt '*' system.reboot

== How to set up a new gateway ==

0. auf mgmt: per `salt-key -d <hostname>` altes GW löschen

0. auf dem alten GW salt ausschalten

0. auf dem neuen GW den hostname setzen

1. https://docs.saltstack.com/en/latest/topics/installation/index.html#installation

== Dealing with Salt issues ==

If you get an error saying "Salt request timed out. The master is not responding.", it seems to help to restart the Salt master:

sudo systemctl restart salt-master

2. apt install salt-minion

3. `/etc/salt/minion`, sehr weit oben: `master: mgmt.saar.freifunk.net`

4. auf mgmt: per `salt-key` neues GW freischalten

5. vor dem deployen: IP und eth0-name in pillar aktualisieren.

[[Kategorie:Freifunk]]

Freifunk:Salt

2025-01-10T16:12:40Z

Ralf:

Freifunk:Salt

2025-01-08T23:22:52Z

Ralf: Die Seite wurde neu angelegt: „== How to deploy the salt state == Deploy on all gateways: cd /srv/salt && sudo git pull && sudo salt --state-output=changes 'gw*.*' state.apply -t 32 De…“

Freifunk:Backend

2022-05-07T07:35:14Z

Ralf: /* Hardware-Details */ neues GW3

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 2 x vCore Intel(R) Xeon(R) E5 CPU
| 2 GB
| 80 GB
| 400 MBit/s
| IONOS
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x AMD EPYC
| 2 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Systeme

2021-08-01T16:44:33Z

Ralf:

Rund um den Hackerspace existieren unterschiedliche technische Systeme, die z.B. die Zusammenarbeit und die Kommunikation unter Mitgliedern erleichtern.
Hier findest du einen Überblick über die vorhandenen Systeme und deren Administratoren, sowie Hinweise zur Accounterstellung (falls passend).
So sind alle Zuständigkeiten technischer Natur zentral dokumentiert.
Nimm bei Problemen bitte Kontakt mit einem Administrator auf.

== Liste der Dienste ==

Diverse Dienste (also Software-Installationen) werden von Mitgliedern für Mitglieder betrieben.
Hier findest du heraus, was du alles nutzen kannst - und wer zuständig ist.

{| class="wikitable" border="1"
|-
! Dienst
! Host
! Verwendungszweck
! Accounterstellung
! Administratoren / Ansprechpartner
|-
| [https://pad.hacksaar.de Etherpad]
| core.hacksaar.de
| Kollaboration
| Funktioniert ohne Anmeldung
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]] (geteiltes PW)
|-
| [[Jabber Server|Jabber-Server]]
| core.hacksaar.de
| Kommunikation
| XMPP in-band Registrierung
| [[User:Ralf | Ralf]]
|-
| [[Sphinx]]
| sphinx
| Zugangskontrolle
| SSH-Schlüssel generieren und mit Mitgliedsantrag einem der Admins geben
| [[User:Ralf | Ralf]], [[User:Constantin | Constantin]], [[User:Agrigor | Chriss]]
|-
| [https://wiki.hacksaar.de Wiki]
| core.hacksaar.de
| Dieses Wiki - Dient der Dokumentation von Allem
| Wer schon Zugang hat, kann dir [https://wiki.hacksaar.de/index.php?title=Spezial:Anmelden&type=signup hier] einen Account anlegen
| [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]], [[User:Ralf | Ralf]], Jan Scherer
|-
| [https://hacksaar.de Wordpress]
| core.hacksaar.de
| Webseite
| Ein Account wird für dich angelegt, sofern du aktiv an der Öffentlichkeitsarbeit mitwirken willst
| [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]], [[User:Holger | Holger]], [[User:Constantin | Constantin]], [[User:kimcm | Kim]], ...
|-
| [https://lists.hacksaar.de/ Mailingliste]
| core.hacksaar.de
| Gruppenkommunikation per E-Mail
| Du kannst die öffentliche Mailingliste [https://lists.hacksaar.de/ hier] selbst abonnieren
| siehe Hacksaar-Server (geteiltes PW)
|-
| [[GitLab]]
| core.hacksaar.de
| Git-Repositories des Hackerspace
| Du kannst dir selbst einen Account [https://git.hacksaar.de/users/sign_up hier] erstellen
| [[User:Ralf | Ralf]], jsc
|-
| [[Mattermost]]
| core.hacksaar.de
| Web-Chat des Hackerspace
| Login per [[GitLab]]-Account
| [[User:Ralf | Ralf]], Friedemann
|-
| [https://forum.hacksaar.de Forum]
| core.hacksaar.de
| Forum des Hackerspace
| Login per [[GitLab]]-Account, oder lokalen Account anlegen
| [[User:Ralf | Ralf]]
|-
| [https://oc.hacksaar.de OwnCloud]
| core.hacksaar.de
| OwnCloud
| Nur für Vorstand
| [[User:Agrigor | Chriss]]
|-
| [https://saar.freifunk.net Freifunk-Wordpress]
| core.hacksaar.de
| Freifunk-Webseite
| Nur für Freifunk Saar
| [[User:Tobi042 | Tobias ]], [[User:kimcm | Kim]]
|-
| mumble://mumble.hacksaar.de:64738
| core.hacksaar.de
| [http://mumble.info Mumble-Server]
| offen für alle
| [[User:Ralf | Ralf]]
|}

== Liste der Maschinen ==

Wir betreiben diverse physikalische und virtuelle Maschinen. Hier findest du eine vollständige Liste, sowie die jeweiligen Zuständigkeiten.
Die Maschinen, die im Space stehen, haben außerdem eine [[Statische IP-Adressen|statische IP-Adresse]].

{| class="wikitable" border="1"
|-
! Maschine
! Art
! Verwendungszweck
! Administratoren / Ansprechpartner
! Kommentare
|-
| Hacksaar-Server
| Extern gehosteter Server
| Server für alle zentralen Anwendungen
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]], Thomas, Jan Scherer, Jens-Christian
|
|-
| [[Sphinx]]
| Rasperry Pi
| Zugangskontrolle
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], Jochen, Go, Jan Scherer, Jens-Christian
|
|-
| [[Surfding]]
| Atom-PC
| Ansteuerung des Beamers
| [[User:Constantin | Constantin]]
|
|-
| [[Rudi]]
| Server, VM-Host
| Unser VM-Host
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| [[Brückenkopf]]
| VM auf Rudi (DMZ)
| diverse Verbindungsdienste, Docker, GitLab CI
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| [[Weboot]]
| VM auf Rudi (Mitgliedernetz)
| Unser PXE-Boot-Server
| [[User:Constantin | Constantin]]
|
|-
| Spaceboard
| VM auf Rudi (Mitgliedernetz)
| Opt-In Anwesenheitsanzeige (Testphase)
| [[User:flgr | Florian]]
| TODO: IP per DHCP, Image auf LVM
|-
| Shared
| VM auf Rudi (Mitgliedernetz)
| Automatisches Deployment von Diensten (Testphase)
| [[User:Mafolz | Matthias]], [[User:Kimcm | Kim ]]
|
|-
| Rob
| VM auf Rudi (DMZ)
| (Testphase)
| [[User:Rob | Rob ]]
|
|-
| Schlüsselloch
| VM auf Rudi (DMZ + Mitgliedernetz)
| Tunnel von außen ins Intranet
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| SmartSpace
| VM auf Rudi (Mitgliedernetz)
| FHEM für den Space
| [[User:E0mi | E0mi]]
|
|-
| [[Nina]], [[Vera]], FritzBox
| Router
| Schnittstelle zur großen weiten Welt
|
FritzBox: siehe Hacksaar-Server (geteiltes PW)

Nina, Vera: [[User:Ralf | Ralf]], [[User:Markus | Markus]], [[User:Steffen | Steffen]]
|
|-
|}

Systeme

2021-08-01T16:23:42Z

Ralf: /* Liste der Maschinen */

Rund um den Hackerspace existieren unterschiedliche technische Systeme, die z.B. die Zusammenarbeit und die Kommunikation unter Mitgliedern erleichtern.
Hier findest du einen Überblick über die vorhandenen Systeme und deren Administratoren, sowie Hinweise zur Accounterstellung (falls passend).
So sind alle Zuständigkeiten technischer Natur zentral dokumentiert.
Nimm bei Problemen bitte Kontakt mit einem Administrator auf.

== Liste der Dienste ==

Diverse Dienste (also Software-Installationen) werden von Mitgliedern für Mitglieder betrieben.
Hier findest du heraus, was du alles nutzen kannst - und wer zuständig ist.

{| class="wikitable" border="1"
|-
! Dienst
! Host
! Verwendungszweck
! Accounterstellung
! Administratoren / Ansprechpartner
|-
| [https://pad.hacksaar.de Etherpad]
| core.hacksaar.de
| Kollaboration
| Funktioniert ohne Anmeldung
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]] (geteiltes PW)
|-
| [[Jabber Server|Jabber-Server]]
| core.hacksaar.de
| Kommunikation
| XMPP in-band Registrierung
| [[User:Ralf | Ralf]]
|-
| [[Sphinx]]
| sphinx
| Zugangskontrolle
| SSH-Schlüssel generieren und mit Mitgliedsantrag einem der Admins geben
| [[User:Ralf | Ralf]], [[User:Constantin | Constantin]], [[User:Agrigor | Chriss]]
|-
| [https://wiki.hacksaar.de Wiki]
| core.hacksaar.de
| Dieses Wiki - Dient der Dokumentation von Allem
| Wer schon Zugang hat, kann dir [https://wiki.hacksaar.de/index.php?title=Spezial:Anmelden&type=signup hier] einen Account anlegen
| [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]], [[User:Ralf | Ralf]]
|-
| [https://hacksaar.de Wordpress]
| core.hacksaar.de
| Webseite
| Ein Account wird für dich angelegt, sofern du aktiv an der Öffentlichkeitsarbeit mitwirken willst
| [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]], [[User:Holger | Holger]], [[User:Constantin | Constantin]], [[User:kimcm | Kim]]
|-
| [https://lists.hacksaar.de/ Mailingliste]
| core.hacksaar.de
| Gruppenkommunikation per E-Mail
| Du kannst die öffentliche Mailingliste [https://lists.hacksaar.de/ hier] selbst abonnieren
| siehe Hacksaar-Server (geteiltes PW)
|-
| [[GitLab]]
| core.hacksaar.de
| Git-Repositories des Hackerspace
| Du kannst dir selbst einen Account [https://git.hacksaar.de/users/sign_up hier] erstellen
| [[User:Ralf | Ralf]], jsc
|-
| [[Mattermost]]
| core.hacksaar.de
| Web-Chat des Hackerspace
| Login per [[GitLab]]-Account
| [[User:Ralf | Ralf]], Friedemann
|-
| [https://forum.hacksaar.de Forum]
| core.hacksaar.de
| Forum des Hackerspace
| Login per [[GitLab]]-Account, oder lokalen Account anlegen
| [[User:Ralf | Ralf]]
|-
| [https://oc.hacksaar.de OwnCloud]
| core.hacksaar.de
| OwnCloud
| Nur für Vorstand
| [[User:Agrigor | Chriss]]
|-
| [https://saar.freifunk.net Freifunk-Wordpress]
| core.hacksaar.de
| Freifunk-Webseite
| Nur für Freifunk Saar
| [[User:Tobi042 | Tobias ]], [[User:kimcm | Kim]]
|-
| mumble://mumble.hacksaar.de:64738
| core.hacksaar.de
| [http://mumble.info Mumble-Server]
| offen für alle
| [[User:Ralf | Ralf]]
|}

== Liste der Maschinen ==

Wir betreiben diverse physikalische und virtuelle Maschinen. Hier findest du eine vollständige Liste, sowie die jeweiligen Zuständigkeiten.
Die Maschinen, die im Space stehen, haben außerdem eine [[Statische IP-Adressen|statische IP-Adresse]].

{| class="wikitable" border="1"
|-
! Maschine
! Art
! Verwendungszweck
! Administratoren / Ansprechpartner
! Kommentare
|-
| Hacksaar-Server
| Extern gehosteter Server
| Server für alle zentralen Anwendungen
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]], Thomas, Jan Scherer, Jens-Christian
|
|-
| [[Sphinx]]
| Rasperry Pi
| Zugangskontrolle
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], Jochen, Go, Jan Scherer, Jens-Christian
|
|-
| [[Surfding]]
| Atom-PC
| Ansteuerung des Beamers
| [[User:Constantin | Constantin]]
|
|-
| [[Rudi]]
| Server, VM-Host
| Unser VM-Host
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| [[Brückenkopf]]
| VM auf Rudi (DMZ)
| diverse Verbindungsdienste, Docker, GitLab CI
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| [[Weboot]]
| VM auf Rudi (Mitgliedernetz)
| Unser PXE-Boot-Server
| [[User:Constantin | Constantin]]
|
|-
| Spaceboard
| VM auf Rudi (Mitgliedernetz)
| Opt-In Anwesenheitsanzeige (Testphase)
| [[User:flgr | Florian]]
| TODO: IP per DHCP, Image auf LVM
|-
| Shared
| VM auf Rudi (Mitgliedernetz)
| Automatisches Deployment von Diensten (Testphase)
| [[User:Mafolz | Matthias]], [[User:Kimcm | Kim ]]
|
|-
| Rob
| VM auf Rudi (DMZ)
| (Testphase)
| [[User:Rob | Rob ]]
|
|-
| Schlüsselloch
| VM auf Rudi (DMZ + Mitgliedernetz)
| Tunnel von außen ins Intranet
| [[User:Ralf | Ralf]], Jan Scherer, Jens-Christian
|
|-
| SmartSpace
| VM auf Rudi (Mitgliedernetz)
| FHEM für den Space
| [[User:E0mi | E0mi]]
|
|-
| [[Nina]], [[Vera]], FritzBox
| Router
| Schnittstelle zur großen weiten Welt
|
FritzBox: siehe Hacksaar-Server (geteiltes PW)

Nina, Vera: [[User:Ralf | Ralf]], [[User:Markus | Markus]], [[User:Steffen | Steffen]]
|
|-
|}

Systeme

2021-06-26T08:02:05Z

Ralf: /* Liste der Dienste */

Rund um den Hackerspace existieren unterschiedliche technische Systeme, die z.B. die Zusammenarbeit und die Kommunikation unter Mitgliedern erleichtern.
Hier findest du einen Überblick über die vorhandenen Systeme und deren Administratoren, sowie Hinweise zur Accounterstellung (falls passend).
So sind alle Zuständigkeiten technischer Natur zentral dokumentiert.
Nimm bei Problemen bitte Kontakt mit einem Administrator auf.

== Liste der Dienste ==

Diverse Dienste (also Software-Installationen) werden von Mitgliedern für Mitglieder betrieben.
Hier findest du heraus, was du alles nutzen kannst - und wer zuständig ist.

{| class="wikitable" border="1"
|-
! Dienst
! Host
! Verwendungszweck
! Accounterstellung
! Administratoren / Ansprechpartner
|-
| [https://pad.hacksaar.de Etherpad]
| core.hacksaar.de
| Kollaboration
| Funktioniert ohne Anmeldung
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]] (geteiltes PW)
|-
| [[Jabber Server|Jabber-Server]]
| core.hacksaar.de
| Kommunikation
| XMPP in-band Registrierung
| [[User:Ralf | Ralf]]
|-
| [[Sphinx]]
| sphinx
| Zugangskontrolle
| SSH-Schlüssel generieren und mit Mitgliedsantrag einem der Admins geben
| [[User:Ralf | Ralf]], [[User:Constantin | Constantin]], [[User:Agrigor | Chriss]]
|-
| [https://wiki.hacksaar.de Wiki]
| core.hacksaar.de
| Dieses Wiki - Dient der Dokumentation von Allem
| Wer schon Zugang hat, kann dir [https://wiki.hacksaar.de/index.php?title=Spezial:Anmelden&type=signup hier] einen Account anlegen
| [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]], [[User:Ralf | Ralf]]
|-
| [https://hacksaar.de Wordpress]
| core.hacksaar.de
| Webseite
| Ein Account wird für dich angelegt, sofern du aktiv an der Öffentlichkeitsarbeit mitwirken willst
| [[User:Agrigor | Chriss]], [[User:Steffen | Steffen]], [[User:Holger | Holger]], [[User:Constantin | Constantin]], [[User:kimcm | Kim]]
|-
| [https://lists.hacksaar.de/ Mailingliste]
| core.hacksaar.de
| Gruppenkommunikation per E-Mail
| Du kannst die öffentliche Mailingliste [https://lists.hacksaar.de/ hier] selbst abonnieren
| siehe Hacksaar-Server (geteiltes PW)
|-
| [[GitLab]]
| core.hacksaar.de
| Git-Repositories des Hackerspace
| Du kannst dir selbst einen Account [https://git.hacksaar.de/users/sign_up hier] erstellen
| [[User:Ralf | Ralf]], jsc
|-
| [[Mattermost]]
| core.hacksaar.de
| Web-Chat des Hackerspace
| Login per [[GitLab]]-Account
| [[User:Ralf | Ralf]], Friedemann
|-
| [https://forum.hacksaar.de Forum]
| core.hacksaar.de
| Forum des Hackerspace
| Login per [[GitLab]]-Account, oder lokalen Account anlegen
| [[User:Ralf | Ralf]]
|-
| [https://oc.hacksaar.de OwnCloud]
| core.hacksaar.de
| OwnCloud
| Nur für Vorstand
| [[User:Agrigor | Chriss]]
|-
| [https://saar.freifunk.net Freifunk-Wordpress]
| core.hacksaar.de
| Freifunk-Webseite
| Nur für Freifunk Saar
| [[User:Tobi042 | Tobias ]], [[User:kimcm | Kim]]
|-
| mumble://mumble.hacksaar.de:64738
| core.hacksaar.de
| [http://mumble.info Mumble-Server]
| offen für alle
| [[User:Ralf | Ralf]]
|}

== Liste der Maschinen ==

Wir betreiben diverse physikalische und virtuelle Maschinen. Hier findest du eine vollständige Liste, sowie die jeweiligen Zuständigkeiten.
Die Maschinen, die im Space stehen, haben außerdem eine [[Statische IP-Adressen|statische IP-Adresse]].

{| class="wikitable" border="1"
|-
! Maschine
! Art
! Verwendungszweck
! Administratoren / Ansprechpartner
! Kommentare
|-
| Hacksaar-Server
| Extern gehosteter Server
| Server für alle zentralen Anwendungen
| [[User:Ralf | Ralf]], [[User:Agrigor | Chriss]], [[User:Jochen | Jochen]]
|
|-
| [[Sphinx]]
| Rasperry Pi
| Zugangskontrolle
| [[User:Ralf | Ralf]], [[User:Constantin | Constantin]], [[User:Agrigor | Chriss]]
|
|-
| [[Surfding]]
| Atom-PC
| Ansteuerung des Beamers
| [[User:Constantin | Constantin]]
|
|-
| [[Rudi]]
| Server, VM-Host
| Unser VM-Host
| [[User:Ralf | Ralf]]
|
|-
| [[Brückenkopf]]
| VM auf Rudi (DMZ)
| diverse Verbindungsdienste, Docker, GitLab CI
| [[User:Ralf | Ralf]], [[User:Tobi042 | Tobias ]]
|
|-
| [[Weboot]]
| VM auf Rudi (Mitgliedernetz)
| Unser PXE-Boot-Server
| [[User:Constantin | Constantin]]
|
|-
| Spaceboard
| VM auf Rudi (Mitgliedernetz)
| Opt-In Anwesenheitsanzeige (Testphase)
| [[User:flgr | Florian]]
| TODO: IP per DHCP, Image auf LVM
|-
| Shared
| VM auf Rudi (Mitgliedernetz)
| Automatisches Deployment von Diensten (Testphase)
| [[User:Mafolz | Matthias]], [[User:Kimcm | Kim ]]
|
|-
| Rob
| VM auf Rudi (DMZ)
| (Testphase)
| [[User:Rob | Rob ]]
|
|-
| Schlüsselloch
| VM auf Rudi (DMZ + Mitgliedernetz)
| Tunnel von außen ins Intranet
| [[User:Ralf | Ralf]]
|
|-
| SmartSpace
| VM auf Rudi (Mitgliedernetz)
| FHEM für den Space
| [[User:E0mi | E0mi]]
|
|-
| [[Nina]], [[Vera]], FritzBox
| Router
| Schnittstelle zur großen weiten Welt
|
FritzBox: siehe Hacksaar-Server (geteiltes PW)

Nina, Vera: [[User:Ralf | Ralf]], [[User:Markus | Markus]], [[User:Steffen | Steffen]]
|
|-
|}

Ist jemand im Space

2021-02-09T17:19:12Z

Ralf: /* Logo update geht nicht? Dann mach folgendes: */

Die Headergrafik auf unserer [https://hacksaar.de Webseite] zeigt an, ob jemand in unserem Hackerspace ist oder nicht.

== Woran erkenn ich was nun was ist? ==
=== Wir sind da: ===
[[Datei:Bildschirmfoto_2013-12-04_um_18.24.15.jpg]]

=== Wir sind '''nicht''' da: ===
[[Datei:Bildschirmfoto_2013-12-04_um_18.27.46.jpg]]

== Logo update geht nicht? Dann mach folgendes um das Wordpress-Theme zu reparieren: ==
* Dafür sorgen, dass die Dateien "hacksaar.js" und die Logos "header1_newlogo_new_[off/on].png" im Ordner /data/web/wp-content/uploads/ verfügbar sind. Falls nicht, kannst du sie [[Media:WP-Theme.zip | hier bekommen]].
* PHP-File suchen, die Scripte des Themes aufruft (bei uns atm unter /data/web/wp-content/themes/parabola/includes/theme-functions.php)
* Die zwei Zeilen von "script_call" (siehe unten) am Ende, eine Zeile über dem "?>" einfügen.
* Fertig

=== Und was steht da wo drin? ===

==== script_call ====
<code style="white-space: nowrap">
wp_register_script('hacksaar', '/wp-content/uploads/hacksaar.js', false, false, true);
wp_enqueue_script('hacksaar');
</code>

==== hacksaar.js ====
<code style="white-space: nowrap">
load_status = (function($){
var Application = {
run: function($) {
this.load_status();
},
load_status: function() {
$.ajax({
url:"/status.txt",
success:function ( data, textStatus, xhr ) {
openState = parseInt(data);
$("#branding").css('background-image', 'url(/wp-content/uploads/header1_newlogo_new_'+(openState?'on':'off')+'.png)');
}
});
setTimeout(Application.load_status, 30*1000);
}
}
Application.run($);
});
jQuery(document).ready( function() {
load_status(jQuery)
});
</code>

Freifunk:Backend

2020-10-30T09:29:41Z

Ralf: /* Hardware-Details */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 2 x Intel(R) Xeon(R) Gold 5120 CPU @ 2.20GHz (Shared?)
| 2 GB
| 80 GB
| 400 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 200 MBit/s (gedrosselt)
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin]], [[Benutzer:Ralf|Ralf]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| <= 200 MBit/s (effektiv)
| servdiscount / myLoc
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin]], [[Benutzer:Ralf|Ralf]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin]], [[Benutzer:Ralf|Ralf]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU (Shared?)
| 8 GB
| 40 GB
| >= 100 MBit/s
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| KVM
| [[Benutzer:Marvin|Marvin]], [[Benutzer:Ralf|Ralf]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-10-30T09:29:12Z

Ralf: /* Hardware-Details */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 2 x Intel(R) Xeon(R) Gold 5120 CPU @ 2.20GHz (Shared?)
| 2 GB
| 80 GB
| 400 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 200 MBit/s (gedrosselt)
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| <= 200 MBit/s (effektiv)
| servdiscount / myLoc
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU (Shared?)
| 8 GB
| 40 GB
| >= 100 MBit/s
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-10-30T09:28:27Z

Ralf: /* Hardware-Details */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 2 x Intel(R) Xeon(R) Gold 5120 CPU @ 2.20GHz (Shared?)
| 2 GB
| 80 GB
| 400 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 200 MBit/s (gedrosselt)
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| <= 200 MBit/s (effektiv)
| servdiscount / myLoc
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU (Shared?)
| 8 GB
| 40 GB
| >= 100 MBit/s
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-10-30T09:28:12Z

Ralf: /* Hardware-Details */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 2 x Intel(R) Xeon(R) Gold 5120 CPU @ 2.20GHz (Shared)
| 2 GB
| 80 GB
| 400 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 200 MBit/s (gedrosselt)
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| <= 200 MBit/s (effektiv)
| servdiscount / myLoc
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU (Shared)
| 8 GB
| 40 GB
| >= 100 MBit/s
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-10-19T11:32:06Z

Ralf: /* Hardware-Details */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
| Marvin
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
| Marvin
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:User Services

2020-10-04T14:25:07Z

Ralf:

Nutzern können gerne ihre eigenen Dienste im Freifunk-Netz betreiben. Diese sind dann aus dem ganzen Freifunk-Saar-Netz sowie (via IPv6) aus dem ganzen Internet erreichbar.
Hier eine Liste der registrierten Dienste:

{| class="wikitable"
! Service
! Anbieter
! Status
! Domain
! MAC-Adresse
! DNS-Name
! IPv4
! IPv6
|-
| Minecraft Server
| Marc Lippert <marc ät yulyvee punkt de>
| Inaktiv
| Saarbrücken/Legacy
| ?
| mcserver.ffsaar
| 10.24.194.0
| ?
|-
| Verschieden
| Constantin Berhard <constantin ät exxxtremesys punkt lu>
| Inaktiv
| Saarbrücken/Legacy
| B8:27:EB:A9:F7:2D
| conspiration.ffsaar
| 10.24.194.1
| 2a03:2260:3009:0f00:ba27:ebff:fea9:f72d
|-
| Rocket.Chat
| Tobias Theobald <tobias.theobald ät saar.freifunk punkt net>
| Aktiv
| Saarbrücken/Legacy
| 52:54:00:3a:a4:d7
| rocket.chat.ffsaar
| 10.24.194.2
| 2a03:2260:3009:0f00:5054:ff:fe3a:a4d7
|-
| Syslog
| Sebastian Fontaine <mail ät sfinp punkt de>
| im Aufbau
| Merzig/Wadern
| b8:27:eb:d9:68:61
| syslog.ffsaar
| 10.24.241.1
| 2a03:2260:3009:2f00:ba27:ebff:fed9:6861
|-
| Tests
| Ralf Jung <post plus freifunk ät ralfj punkt de>
| Unregelmäßig Aktiv
| Saarbrücken/Legacy
| 52:54:00:99:7b:1f
| r-test.ffsaar
| 10.24.194.255
| 2a03:2260:3009:0f00:5054:ff:fe99:7b1f
|}

== Einen Dienst registrieren ==

Um einen Dienst zu registrieren oder die Registrierung zu aktualisieren, schicke bitte eine Mail an freifunk-vpn@saar.freifunk.net. Wir brauchen dabei die Angaben aus den ersten fünf Spalten von dir: Welche Dienste angeboten werden, wer sie betreibt (auch als Ansprechpartner im Falle von Problemen), den aktuellen Status (aktiv oder nicht), die MAC-Adresse sowie den gewünschten Hostnamen. Die IP-Adressen teilen wir dir dann mit.

Die IPv6-Adresse ergibt sich dabei deterministisch aus der MAC-Adresse. Du kannst also einen IPv6-Dienst ohne Namen auch ganz ohne Interaktion mit uns betreiben. Dafür konvertierst du die Adresse zum Beispiel mit einem [http://ben.akrin.com/?p=1347 Online-Konverter], danach musst du <tt>fe80::</tt> durch <tt>2a03:2260:3009:Xf00:</tt> ersetzen, wobei <tt>X</tt> von deiner Domain abhängt:

* Saarbrücken/Legacy: 0
* Test-Domain: 1
* Merzig/Wadern: 2
* Neunkirchen: 3
* Saarlouis: 4
* Saarpfalz-Kreis: 5
* St. Wendel: 6

== Einen Dienst konfigurieren ==

Um den Dienst zu konfigurieren, musst du für IPv4 nur DHCP verwenden; du bekommst nach Registrierung von unseren Servern die richtige Adresse zugewiesen.
Die IPv6-Adresse musst du selber statisch konfigurieren.

Unter Linux (wenn kein NetworkManager, wicd oder dergleichen läuft) geht das zum Beispiel mit dem folgenden Eintrag in die <tt>/etc/network/interfaces</tt>:

auto eth0
iface eth0 inet dhcp
iface eth0 inet6 auto
pre-up ip addr add [IPv6-ADRESSE]/64 dev $IFACE

== Zugriff aus dem Internet ==

Wie alle anderen Geräte im Freifunk-Netz sind auch User-Services via IPv6 aus dem Internet erreichbar.
Damit man sich die Adressen nicht merken muss, können wir dir gerne einen DNS-Namen unter <tt>user.saar.freifunk.net</tt> einrichten - gib bei der Registrierung des Dienstes einfach Bescheid, dass du gerne auch einen öffentlichen Namen hättest.

[[Kategorie:Freifunk]]

Freifunk:User Services

2020-10-04T14:21:26Z

Ralf:

Nutzern können gerne ihre eigenen Dienste im Freifunk-Netz betreiben. Diese sind dann aus dem ganzen Freifunk-Saar-Netz sowie (via IPv6) aus dem ganzen Internet erreichbar.
Hier eine Liste der registrierten Dienste:

{| class="wikitable"
! Service
! Anbieter
! Status
! Domain
! MAC-Adresse
! DNS-Name
! IPv4
! IPv6
|-
| Minecraft Server
| Marc Lippert <marc ät yulyvee punkt de>
| Inaktiv
| Saarbrücken/Legacy
| ?
| mcserver.ffsaar
| 10.24.194.0
| ?
|-
| Verschieden
| Constantin Berhard <constantin ät exxxtremesys punkt lu>
| Inaktiv
| Saarbrücken/Legacy
| B8:27:EB:A9:F7:2D
| conspiration.ffsaar
| 10.24.194.1
| 2a03:2260:3009:f00:ba27:ebff:fea9:f72d
|-
| Rocket.Chat
| Tobias Theobald <tobias.theobald ät saar.freifunk punkt net>
| Aktiv
| Saarbrücken/Legacy
| 52:54:00:3a:a4:d7
| rocket.chat.ffsaar
| 10.24.194.2
| 2a03:2260:3009:f00:5054:ff:fe3a:a4d7
|-
| Syslog
| Sebastian Fontaine <mail ät sfinp punkt de>
| im Aufbau
| Saarbrücken/Legacy
| b8:27:eb:d9:68:61
| syslog.ffsaar
| 10.24.194.3
| 2a03:2260:3009:f00:ba27:ebff:fed9:6861
|-
| Tests
| Ralf Jung <post plus freifunk ät ralfj punkt de>
| Unregelmäßig Aktiv
| Saarbrücken/Legacy
| 52:54:00:99:7b:1f
| r-test.ffsaar
| 10.24.194.255
| 2a03:2260:3009:f00:5054:ff:fe99:7b1f
|}

== Einen Dienst registrieren ==

Um einen Dienst zu registrieren oder die Registrierung zu aktualisieren, schicke bitte eine Mail an freifunk-vpn@saar.freifunk.net. Wir brauchen dabei die Angaben aus den ersten fünf Spalten von dir: Welche Dienste angeboten werden, wer sie betreibt (auch als Ansprechpartner im Falle von Problemen), den aktuellen Status (aktiv oder nicht), die MAC-Adresse sowie den gewünschten Hostnamen. Die IP-Adressen teilen wir dir dann mit.

Die IPv6-Adresse ergibt sich dabei deterministisch aus der MAC-Adresse. Du kannst also einen IPv6-Dienst ohne Namen auch ganz ohne Interaktion mit uns betreiben. Dafür konvertierst du die Adresse zum Beispiel mit einem [http://ben.akrin.com/?p=1347 Online-Konverter], danach musst du <tt>fe80::</tt> durch <tt>2a03:2260:3009:Xf00:</tt> ersetzen, wobei <tt>X</tt> von deiner Domain abhängt:

* Saarbrücken/Legacy: 0
* Test-Domain: 1
* Merzig/Wadern: 2
* Neunkirchen: 3
* Saarlouis: 4
* Saarpfalz-Kreis: 5
* St. Wendel: 6

== Einen Dienst konfigurieren ==

Um den Dienst zu konfigurieren, musst du für IPv4 nur DHCP verwenden; du bekommst nach Registrierung von unseren Servern die richtige Adresse zugewiesen.
Die IPv6-Adresse musst du selber statisch konfigurieren.

Unter Linux (wenn kein NetworkManager, wicd oder dergleichen läuft) geht das zum Beispiel mit dem folgenden Eintrag in die <tt>/etc/network/interfaces</tt>:

auto eth0
iface eth0 inet dhcp
iface eth0 inet6 auto
pre-up ip addr add [IPv6-ADRESSE]/64 dev $IFACE

== Zugriff aus dem Internet ==

Wie alle anderen Geräte im Freifunk-Netz sind auch User-Services via IPv6 aus dem Internet erreichbar.
Damit man sich die Adressen nicht merken muss, können wir dir gerne einen DNS-Namen unter <tt>user.saar.freifunk.net</tt> einrichten - gib bei der Registrierung des Dienstes einfach Bescheid, dass du gerne auch einen öffentlichen Namen hättest.

[[Kategorie:Freifunk]]

Nina

2020-07-24T10:16:02Z

Ralf: /* OpenWrt-Update */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq)
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"
* In den Web-Einstellungen unter "Services - Recursive DNS", ganz oben "Files" auswählen und dann unter "Edit: Server" diese Zeile hinzufügen: <tt>private-domain: hacksaar.de</tt>

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:57:47Z

Ralf: /* OpenWrt-Update */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq)
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:57:32Z

Ralf: /* OpenWrt-Update */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS Teil von dnsmasq)
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:57:04Z

Ralf: /* OpenWrt-Update */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0.
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:56:16Z

Ralf:

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network -- DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0.
* In den Web-Einstellungen unter "Services -- Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:55:13Z

Ralf: /* OpenWrt-Update */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein Archer C7 von MikroTik mit OpenWRT. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - RouterOS ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: opkg install luci-app-unbound
* In den Web-Einstellungen unter "Network -- DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0.
* In den Web-Einstellungen unter "Services -- Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:55:06Z

Ralf: /* How-Tos */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein Archer C7 von MikroTik mit OpenWRT. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - RouterOS ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

== OpenWrt-Update ==

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Via SSH: `opkg install luci-app-unbound`
* In den Web-Einstellungen unter "Network -- DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0.
* In den Web-Einstellungen unter "Services -- Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Nina

2020-07-11T14:44:01Z

Ralf: /* Konfigurations-Zugriff */

[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein Archer C7 von MikroTik mit OpenWRT. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - RouterOS ist extrem mächtig, man geht in der Oberfläche schnell verloren.

= How-Tos =

== Konfigurations-Zugriff ==

Via Web unter http://nina/, oder via SSH auf root@nina.

= Netzstruktur =

Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:

== Transitznetz / DMZ ==

Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.

Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.

== Mitgliedernetz ==

In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).

[[Kategorie:Netzwerk]]

Freifunk:Backend

2020-06-28T19:19:25Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T19:18:37Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T19:18:17Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv4 (Legacy-Domain)
! Intranet IPv4 (neuere Domain mit Präfix P)
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| P.1
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| P.2
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| P.3
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| P.4
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.193.254
| P.254
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T18:47:51Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

Hier ist Y = f, d, c, b, 9, 8 für die Domains Saar, Test, MZG, NK, SLS, HOM, WND.
Für D gilt für diese Domains D = 0, 1, 2, 3, 4, 5, 6.

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T18:11:32Z

Ralf: /* Mesh-WLAN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Merzig-Wadern
| saar.freifunk.net
| 24.66:66:73:61:61:72/mzg
| 1
| 50.66:66:73:61:61:72/mzg
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Neunkirchen
| saar.freifunk.net
| 24.66:66:73:61:61:72/nk
| 1
| 50.66:66:73:61:61:72/nk
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarlouis
| saar.freifunk.net
| 24.66:66:73:61:61:72/sls
| 1
| 50.66:66:73:61:61:72/sls
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| saar.freifunk.net
| 24.66:66:73:61:61:72/hom
| 1
| 50.66:66:73:61:61:72/hom
| 36
| 20 MHz
|-
| style="font-weight: bold;" | St. Wendel
| saar.freifunk.net
| 24.66:66:73:61:61:72/wnd
| 1
| 50.66:66:73:61:61:72/wnd
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T18:09:02Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
! Intranet MAC (Domain D)
! Batman/Mesh MAC (Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
| ee:ee:ee:ee:0D:01
| ca:fe:ba:be:0D:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
| ee:ee:ee:ee:0D:02
| ca:fe:ba:be:0D:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
| ee:ee:ee:ee:0D:03
| ca:fe:ba:be:0D:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
| ee:ee:ee:ee:0D:04
| ca:fe:ba:be:0D:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
| ee:ee:ee:ee:0D:fe
| ca:fe:ba:be:0D:fe
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T17:50:33Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
! davon Admin-Netz (Gateways etc)
! davon User Services
! davon Clients
|-
| style="font-weight: bold;" | Legacy-Domain "saar"
| 10.24.192.0/19
| 10.24.192.0/23
| 10.24.194.0/23
| 10.24.196.0 - 10.24.211.254
| fd4e:f2d7:88d2:ffff::/64
| 2a03:2260:3009:0000::/52
| 2a03:2260:3009:0000::/56
| 2a03:2260:3009:0100::/56 - 2a03:2260:3009:0400::/56
| 2a03:2260:3009:0f00::/56
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| 10.24.224.0/24
| 10.24.225.0/24
| 10.24.226.0.0 - 10.24.239.254
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
| 2a03:2260:3009:1000::/56
| 2a03:2260:3009:1100::/56 - 2a03:2260:3009:1400::/56
| 2a03:2260:3009:1f00::/56
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| 10.24.240.0/24
| 10.24.241.0/24
| 10.24.242.0.0 - 10.24.255.254
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
| 2a03:2260:3009:2000::/56
| 2a03:2260:3009:2100::/56 - 2a03:2260:3009:2400::/56
| 2a03:2260:3009:2f00::/56
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| 10.252.64.0/24
| 10.252.65.0/24
| 10.252.66.0.0 - 10.252.79.254
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
| 2a03:2260:3009:3000::/56
| 2a03:2260:3009:3100::/56 - 2a03:2260:3009:3400::/56
| 2a03:2260:3009:3f00::/56
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| 10.252.80.0/24
| 10.252.81.0/24
| 10.252.82.0.0 - 10.252.95.254
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
| 2a03:2260:3009:4000::/56
| 2a03:2260:3009:4100::/56 - 2a03:2260:3009:4400::/56
| 2a03:2260:3009:4f00::/56
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| 10.252.96.0/24
| 10.252.97.0/24
| 10.252.98.0.0 - 10.252.11.254
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
| 2a03:2260:3009:5000::/56
| 2a03:2260:3009:5100::/56 - 2a03:2260:3009:5400::/56
| 2a03:2260:3009:5f00::/56
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| 10.252.112.0/24
| 10.252.113.0/24
| 10.252.114.0.0 - 10.252.127.254
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
| 2a03:2260:3009:6000::/56
| 2a03:2260:3009:6100::/56 - 2a03:2260:3009:6400::/56
| 2a03:2260:3009:6f00::/56
|}

Im FFRL-IPv6-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert und G das Gateway (1-4).
Für IPv4 ist die Clientzuweisung weniger regelmäßig.

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T17:39:02Z

Ralf: /* Mesh-WLAN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Für IPv6 nutzen wir dieselbe Struktur wie in der Legacy-Domain: im Intranet haben wir einfach ein großes /64 (siehe unten für die Adressen der einzelnen Gateways).
Im FFRL-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert (siehe folgende Tabelle) und G das Gateway (1-4).
Die User Servivcs laufen in 2a03:2260:3009:Df00::/56.

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|-
| style="font-weight: bold;" | Test
| saar.freifunk.net
| 24.66:66:73:61:61:72/test
| 1
| 50.66:66:73:61:61:72/test
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T17:22:52Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die folgenden Blöcke reserviert:
* 10.24.192.0/18 (10.24.192.0 - 10.24.255.255)
* 10.252.64.0/18 (10.252.64.0 - 10.252.127.255)
* fd4e:f2d7:88d2:ffff::/64
* fd4e:f2d7:88d2:fffd::/64
* fd4e:f2d7:88d2:fffc::/64
* fd4e:f2d7:88d2:fffb::/64
* fd4e:f2d7:88d2:fffa::/64
* fd4e:f2d7:88d2:fff9::/64
* fd4e:f2d7:88d2:fff8::/64

Aus dem öffentlichen Internet hat uns der Freifunk Rheinland (FFRL) zugewiesen:
* 185.66.193.26/31
* 185.66.194.28/31
* 2a03:2260:3009::/48

Die FFRL-IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.
Die restlichen Adressen sind wie folgt auf unsere Domains und über die Gateways an die Clients verteilt.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Für IPv6 nutzen wir dieselbe Struktur wie in der Legacy-Domain: im Intranet haben wir einfach ein großes /64 (siehe unten für die Adressen der einzelnen Gateways).
Im FFRL-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert (siehe folgende Tabelle) und G das Gateway (1-4).
Die User Servivcs laufen in 2a03:2260:3009:Df00::/56.

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|-
| style="font-weight: bold;" | Merzig-Wadern
| 10.24.240.0/20
| fd4e:f2d7:88d2:fffc::/64
| 2a03:2260:3009:2000::/52
|-
| style="font-weight: bold;" | Neunkirchen
| 10.252.64.0/20
| fd4e:f2d7:88d2:fffb::/64
| 2a03:2260:3009:3000::/52
|-
| style="font-weight: bold;" | Saarlouis
| 10.252.80.0/20
| fd4e:f2d7:88d2:fffa::/64
| 2a03:2260:3009:4000::/52
|-
| style="font-weight: bold;" | Saarpfalz-Kreis
| 10.252.96.0/20
| fd4e:f2d7:88d2:fff9::/64
| 2a03:2260:3009:5000::/52
|-
| style="font-weight: bold;" | St. Wendel
| 10.252.112.0/20
| fd4e:f2d7:88d2:fff8::/64
| 2a03:2260:3009:6000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T17:02:09Z

Ralf: /* Gateways */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Für IPv6 nutzen wir dieselbe Struktur wie in der Legacy-Domain: im Intranet haben wir einfach ein großes /64 (siehe unten für die Adressen der einzelnen Gateways).
Im FFRL-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert (siehe folgende Tabelle) und G das Gateway (1-4).
Die User Servivcs laufen in 2a03:2260:3009:Df00::/56.

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain D)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:D000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:D000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:D000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:D000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T17:00:53Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Für IPv6 nutzen wir dieselbe Struktur wie in der Legacy-Domain: im Intranet haben wir einfach ein großes /64 (siehe unten für die Adressen der einzelnen Gateways).
Im FFRL-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert (siehe folgende Tabelle) und G das Gateway (1-4).
Die User Servivcs laufen in 2a03:2260:3009:Df00::/56.

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:58:43Z

Ralf: /* Restliche Domains */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Für IPv6 haben wir im Intranet einfach ein großes /64 (siehe unten für die Adressen der einzelnen Gateways).
Im FFRL-Adressraum bekommen die Clients 2a03:2260:3009:DG00::/64, wobei D die Domain kodiert (siehe folgende Tabelle) und G das Gateway (1-4).

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:55:31Z

Ralf: /* Mesh-WLAN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! Netz
! Clients ESSID
! Mesh {E/B}SSID 2.4 GHz
! 2.4 GHz Kanal
! Mesh {E/B}SSID 5 GHz
! 5 GHz Kanal
! Kanalbreite
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| 20 MHz
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:54:47Z

Ralf: /* Mesh-WLAN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | Mesh {E/B}SSID 2.4 GHz
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | Mesh {E/B}SSID 5 GHz
! style="font-weight: bold;" | 5 GHz Kanal
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:54:22Z

Ralf: /* Mesh-WLAN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | Mesh {E/B}SSID 2.4 GHz
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | Mesh {E/B}SSID 5 GHz
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| saar.freifunk.net
| 24.6d:65:73:68.66:66:73:61:61:72
| 1
| 50.6d:65:73:68.66:66:73:61:61:72
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:53:20Z

Ralf: /* Mesh-VPN */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:52:50Z

Ralf:

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! Adressraum
! Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! Adressraum
! Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! Domain
! IPv4-Adressraum (Intranet)
! IPv6-Adressraum (Intranet)
! IPv6-Adressraum (FFRL)
|-
| style="font-weight: bold;" | Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Gateways =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Außer den hier angegebenen, von uns verwalteten Adressen haben die Gateways natürlich noch Adressen von ihren jeweilen Providern; die erfährst du jederzeit durch Auflösen des DNS-Namen.

{| class="wikitable"
! Gateway
! Intranet IPv6 (Domain Y)
! FFRL IPv4 (NAT-IP)
! FFRL IPv6 (Legacy-Domain)
! FFRL IPv6 (neuere Domain X)
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::1
| 185.66.193.26
| 2a03:2260:3009::101
| 2a03:2260:3009:X000::1
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::2
| 185.66.193.27
| 2a03:2260:3009::102
| 2a03:2260:3009:X000::2
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::3
| 185.66.194.28
| 2a03:2260:3009::103
| 2a03:2260:3009:X000::3
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::4
| 185.66.194.29
| 2a03:2260:3009::104
| 2a03:2260:3009:X000::4
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| fd4e:f2d7:88d2:fffY::fe
| -
| -
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:fffY::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2020-06-28T16:40:39Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Legacy-Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

=== Restliche Domains ===

Alle anderen Domains verwenden eine kompaktere Adresszuweisung im IPv4-Bereich.
Jede Domain besteht aus einem X/20, das wie folgt aufgeteilt ist:
{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| X+0/24
| Admin-Netz (Gateways, etc.)
|-
| X+256/24
| User Services
|-
| X+512 - X+4096
| Clients an den GWs (gleichmäßig auf 4 GWs verteilt)
|}

Die Domains verwenden dann die folgenden Adressen:
{| class="wikitable"
! style="font-weight: bold;" | Domain
! style="font-weight: bold;" | IPv4-Adressraum (Intranet)
! style="font-weight: bold;" | IPv6-Adressraum (Intranet)
! style="font-weight: bold;" | IPv6-Adressraum (FFRL)
|-
| Test
| 10.24.224.0/20
| fd4e:f2d7:88d2:fffd::/64
| 2a03:2260:3009:1000::/52
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Statische IP-Adressen

2020-03-04T18:14:33Z

Ralf:

Auf dieser Seite verwalten wir den IP-Raum für unser Netz im Hackerspace.

Zur Konfiguration bitte unbedingt die IP in der Nina konfigurieren! ''Alle'' Geräte im Netz müssen DHCP aktiviert haben, damit wir Routen und DNS zentral konfigurieren können. Geräte mit statischen IPs bekommen dann diese per DHCP zugewiesen.

{| class="wikitable" border="1"
|-
! Adresse/Adressraum
! Zugeordnet
|-
! 192.168.178.0/24
! FirtzBox-LAN
|-
| 192.168.178.1
| [[FritzBox]]!
|-
| 192.168.178.3
| [[Nina | Nina Netzwächter]]
|-
| 192.168.178.16
| [[Brückenkopf]]
|-
| 192.168.178.17
| Rob
|-
| 192.168.178.18
| Schlüsselloch
|-
| 192.168.178.19
| Octopi
|-
| 192.168.178.20 - 192.168.178.200
| DHCP
|-
! 192.168.42.0/24
! Mitglieder-LAN
|-
| 192.168.42.1
| [[Nina | Nina Netzwächter]]
|-
| 192.168.42.20 - 192.168.42.200
| DHCP
|-
| 192.168.42.202
| Spaceboard-Server
|-
| 192.168.42.203
| [[Infoboard]]-Server
|-
| 192.168.42.204
| [[Weboot]]
|-
| 192.168.42.205
| Shared-Host von Kim
|-
| 192.168.42.206
| MarmeLED (Kim)
|-
| 192.168.42.207
| Dieter Drucker
|-
| 192.168.42.208
| TKS-Schild
|-
| 192.168.42.209
| 3D-Drucker (Rostock Max)
|-
| 192.168.42.222
| [[Sphinx]]
|-
| 192.168.42.230
| Surfding
|-
| 192.168.42.242
| [[Rudi]]
|-
| 192.168.42.243
| Brenda Backup
|}

[[Kategorie:Netzwerk]]

Statische IP-Adressen

2020-03-04T18:14:15Z

Ralf:

Auf dieser Seite verwalten wir den IP-Raum für unser Netz im Hackerspace.

Zur Konfiguration bitte unbedingt die IP in der Nina konfigurieren!
*Alle* Geräte im Netz müssen DHCP aktiviert haben, damit wir Routen und DNS zentral konfigurieren können.
Geräte mit statischen IPs bekommen dann diese per DHCP zugewiesen.

{| class="wikitable" border="1"
|-
! Adresse/Adressraum
! Zugeordnet
|-
! 192.168.178.0/24
! FirtzBox-LAN
|-
| 192.168.178.1
| [[FritzBox]]!
|-
| 192.168.178.3
| [[Nina | Nina Netzwächter]]
|-
| 192.168.178.16
| [[Brückenkopf]]
|-
| 192.168.178.17
| Rob
|-
| 192.168.178.18
| Schlüsselloch
|-
| 192.168.178.19
| Octopi
|-
| 192.168.178.20 - 192.168.178.200
| DHCP
|-
! 192.168.42.0/24
! Mitglieder-LAN
|-
| 192.168.42.1
| [[Nina | Nina Netzwächter]]
|-
| 192.168.42.20 - 192.168.42.200
| DHCP
|-
| 192.168.42.202
| Spaceboard-Server
|-
| 192.168.42.203
| [[Infoboard]]-Server
|-
| 192.168.42.204
| [[Weboot]]
|-
| 192.168.42.205
| Shared-Host von Kim
|-
| 192.168.42.206
| MarmeLED (Kim)
|-
| 192.168.42.207
| Dieter Drucker
|-
| 192.168.42.208
| TKS-Schild
|-
| 192.168.42.209
| 3D-Drucker (Rostock Max)
|-
| 192.168.42.222
| [[Sphinx]]
|-
| 192.168.42.230
| Surfding
|-
| 192.168.42.242
| [[Rudi]]
|-
| 192.168.42.243
| Brenda Backup
|}

[[Kategorie:Netzwerk]]

Freifunk:Backend

2020-02-22T09:36:22Z

Ralf: /* Hardware-Details */ update GW3

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 2 GB
| 90 GB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| [[Benutzer:Marvin|Marvin W]], [[Benutzer:Ralf|Ralf J]]
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:User Services

2019-12-30T11:51:54Z

Ralf: Sebastian's syslog

Nutzern können gerne ihre eigenen Dienste im Freifunk-Netz betreiben. Diese sind dann aus dem ganzen Freifunk-Saar-Netz sowie (via IPv6) aus dem ganzen Internet erreichbar.
Hier eine Liste der registrierten Dienste:

{| class="wikitable"
! Service
! Anbieter
! Status
! MAC-Adresse
! DNS-Name
! IPv4
! IPv6
|-
| Minecraft Server
| Marc Lippert <marc ät yulyvee punkt de>
| Inaktiv
| ?
| mcserver.ffsaar
| 10.24.194.0
| ?
|-
| Verschieden
| Constantin Berhard <constantin ät exxxtremesys punkt lu>
| Aktiv
| B8:27:EB:A9:F7:2D
| conspiration.ffsaar
| 10.24.194.1
| 2a03:2260:3009:f00:ba27:ebff:fea9:f72d
|-
| Rocket.Chat
| Tobias Theobald <tobias.theobald ät saar.freifunk punkt net>
| Aktiv
| 52:54:00:3a:a4:d7
| rocket.chat.ffsaar
| 10.24.194.2
| 2a03:2260:3009:f00:5054:ff:fe3a:a4d7
|-
| Syslog
| Sebastian Fontaine <mail ät sfinp punkt de>
| im Aufbau
| b8:27:eb:d9:68:61
| syslog.ffsaar
| 10.24.194.3
| 2a03:2260:3009:f00:ba27:ebff:fed9:6861
|-
| Tests
| Ralf Jung <post plus freifunk ät ralfj punkt de>
| Unregelmäßig Aktiv
| 52:54:00:99:7b:1f
| r-test.ffsaar
| 10.24.194.255
| 2a03:2260:3009:f00:5054:ff:fe99:7b1f
|}

== Einen Dienst registrieren ==

Um einen Dienst zu registrieren oder die Registrierung zu aktualisieren, schicke bitte eine Mail an freifunk-vpn@saar.freifunk.net. Wir brauchen dabei die Angaben aus den ersten fünf Spalten von dir: Welche Dienste angeboten werden, wer sie betreibt (auch als Ansprechpartner im Falle von Problemen), den aktuellen Status (aktiv oder nicht), die MAC-Adresse sowie den gewünschten Hostnamen. Die IP-Adressen teilen wir dir dann mit.

Die IPv6-Adresse ergibt sich dabei deterministisch aus der MAC-Adresse. Du kannst also einen IPv6-Dienst ohne Namen auch ganz ohne Interaktion mit uns betreiben. Dafür konvertierst du die Adresse zum Beispiel mit einem [http://ben.akrin.com/?p=1347 Online-Konverter], danach musst du <tt>fe80::</tt> durch <tt>2a03:2260:3009:f00:</tt> ersetzen.

== Einen Dienst konfigurieren ==

Um den Dienst zu konfigurieren, musst du für IPv4 nur DHCP verwenden; du bekommst nach Registrierung von unseren Servern die richtige Adresse zugewiesen.
Die IPv6-Adresse musst du selber statisch konfigurieren.

Unter Linux (wenn kein NetworkManager, wicd oder dergleichen läuft) geht das zum Beispiel mit dem folgenden Eintrag in die <tt>/etc/network/interfaces</tt>:

auto eth0
iface eth0 inet dhcp
iface eth0 inet6 auto
pre-up ip addr add [IPv6-ADRESSE]/64 dev $IFACE

== Zugriff aus dem Internet ==

Wie alle anderen Geräte im Freifunk-Netz sind auch User-Services via IPv6 aus dem Internet erreichbar.
Damit man sich die Adressen nicht merken muss, können wir dir gerne einen DNS-Namen unter <tt>user.saar.freifunk.net</tt> einrichten - gib bei der Registrierung des Dienstes einfach Bescheid, dass du gerne auch einen öffentlichen Namen hättest.

[[Kategorie:Freifunk]]

Freifunk:Backend

2019-07-31T19:09:28Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz
| 2 GB
| 50 GB
| 1000 MBit/s Shared
| Define Quality
|
| Gateway
| VMware
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| Web (Marvin, Ralf)
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adressen werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2019-07-31T19:00:48Z

Ralf: /* Client-IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz
| 2 GB
| 50 GB
| 1000 MBit/s Shared
| Define Quality
|
| Gateway
| VMware
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| Web (Marvin, Ralf)
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adresse werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen.
Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressräume, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

Clients mit fester Adresse müssen als [[Freifunk:User_Services|User Service]] registriert werden.

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2019-07-31T18:43:36Z

Ralf: /* Domain "saar" */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz
| 2 GB
| 50 GB
| 1000 MBit/s Shared
| Define Quality
|
| Gateway
| VMware
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| Web (Marvin, Ralf)
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adresse werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52 für den FFRL-Uplink.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen. Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway. Ich halte es für denkbar, dass ein einzelner Server nicht so viele Clients packt, aber reduzieren geht ja schließlich immer, erweitern ist problematisch.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressen, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]

Freifunk:Backend

2019-07-31T18:43:17Z

Ralf: /* Reservierte IPs */

Hier sind ein paar technische Details zu unseren Gateway-Servern.

= Team =

Grundsätzlich kümmert sich jeder aus dem Team um allgemeine Fragen auf der Mailingliste. Darüber hinaus haben manche Team-Mitglieder spezielle Aufgaben, die sie ausführen bzw. Themengebiete mit denen sie sich besonders auskennen.

{| class="wikitable"
! style="font-weight: bold;" | Name
! style="font-weight: bold;" | Aufgabenbereiche
|-
| [[Benutzer:Kimcm|KimCM]]
| Public Relations, Webseite
|-
| [[Benutzer:Tobi042|Tobias Theobald]]
| Gateway-Administration, Firmware, allgemeine technische Fragen
|-
| [[Benutzer:Rugosh|Tobias Kuhn]]
|
|-
| Tobias von dem Broch
| Richtfunk, Antennenfragen
|-
| [[Benutzer:Marvin|Marvin W]]
| Richtfunk, Knotenkarte, Gateway-Administration
|-
| [[Benutzer:Constantin|Constantin Berhard]]
|
|-
| [[Benutzer:Ralf|Ralf J]]
| Gateway-Administration, Netzwerk
|}

= Hardware-Details =

{| class="wikitable"
! style="font-weight: bold;" | Hostname
! CPU Threads x Modell @ Takt
! RAM
! Platte
! Internet-Anbindung
! Hoster
! Sponsor
! Aufgaben
! Virtualisierung
! Admin-Zugang
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 1 x Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz
| 512 MB
| 15 GB
| 500 MBit/s
| 1&1
| madonius
| Gateway
| VMware
| [[Benutzer:Ralf|Ralf J]], madonius
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 4 x Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
| 8 GB
| 1 TB
| 300 MBit/s
| servdiscount / myLoc
|
| Gateway
| -
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz
| 2 GB
| 50 GB
| 1000 MBit/s Shared
| Define Quality
|
| Gateway
| VMware
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU Skylake (Shared, IBRS)
| 4 GB
| 40 GB
| 1000 MBit/s Shared
| Hetzner
|
| Gateway
| KVM
| [[Benutzer:Marvin|Marvin W]]
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 2 x Intel(R) Xeon(R) CPU
| 8 GB RAM
| 40 GB
| >= 100 MBit/s Shared
| netcup
| netcup
| Knotenkarte, Monitoring, Saltmaster, Firmware
| ?
| Web (Marvin, Ralf)
|}

= Reservierte IPs =

Wir haben im Freifunk-Intranet-Range die Blöcke 10.24.192.0/18 (10.24.192.0 - 10.24.255.255), 10.252.64.0/18 (10.252.64.0 - 10.252.127.255), fd4e:f2d7:88d2:ffff::/64 und fd4e:f2d7:88d2:fffd::/64 reserviert.

Der Freifunk Rheinland hat uns 185.66.193.26/31, 185.66.194.28/31 und 2a03:2260:3009::/48 aus dem öffentlichen Internet-Adresspool zugewiesen.
Die IPv4-Adresse werden von allen Domains geteilt und sind Gateways zugeordnet; siehe unten.

=== Domain "saar" ===

Diese Domain verwendet 10.24.192.0/19 (10.24.192.0 - 10.24.223.255, die erste Hälfte unseres ersten Blocks) und fd4e:f2d7:88d2:ffff::/64 als Intranet-Adressen, und 2a03:2260:3009:0000::/52.

Der IPv4-Adressraum ist wie folgt unterteilt:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 10.24.192.0/23
| Admin-Netz (Gateways, etc.)
|-
| 10.24.194.0/23
| User Services
|-
| 10.24.196.0/22
| Clients an GW1
|-
| 10.24.200.0/22
| Clients an GW2
|-
| 10.24.204.0/22
| Clients an GW3
|-
| 10.24.208.0/22
| Clients an GW4
|-
| 10.24.212.0 - 10.24.223.255
| Ungenutzt
|}

Der FFRL-IPv6-Adressraum ist wie folgt strukturiert:

{| class="wikitable"
! style="font-weight: bold;" | Adressraum
! style="font-weight: bold;" | Zuweisung
|-
| 2a03:2260:3009:0000::/56
| Admin-Netz (Gateways, etc.)
|-
| 2a03:2260:3009:0100::/56
| Clients an GW1
|-
| 2a03:2260:3009:0200::/56
| Clients an GW2
|-
| 2a03:2260:3009:0300::/56
| Clients an GW3
|-
| 2a03:2260:3009:0400::/56
| Clients an GW4
|-
| 2a03:2260:3009:0500::/56 - 2a03:2260:3009:0e00::/56
| Ungenutzt
|-
| 2a03:2260:3009:0f00::/56
| User Services
|}

= Public DNS / IPs =

Hier eine Tabelle mit den DNS-Namen und IP-Adressen unserer Gateways.
Die Gateways haben einerseits Adressen, die wir vom jeweiligen Provider zugewiesen bekommen; andererseits weisen wir den Gateways Adressen aus dem Pool zu, den uns der FFRL zur Verfügung gestellt hat.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Public IPv4
! style="font-weight: bold;" | Public IPv6
! style="font-weight: bold;" | FFRL IPv4 (NAT-IP)
! style="font-weight: bold;" | FFRL IPv6
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 82.165.162.239
| 2001:8d8:1801:56::1
| 185.66.193.26
| 2a03:2260:3009::101
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 93.186.192.202
| 2001:4ba0:fff7:15c::1
| 185.66.193.27
| 2a03:2260:3009::102
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 51.254.23.212
| -
| 185.66.194.28
| 2a03:2260:3009::103
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 159.69.210.248
| 2a01:4f8:1c1c:b3aa::1
| 185.66.194.29
| 2a03:2260:3009::104
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 131.117.148.53
| 2a01:5c0:0:7::53
| -
| -
|}

= Mesh IPs =

Jeder Gateway ist Teil unseres Mesh-VPN und braucht als solches diverse Adressen, über die er im Mesh erreichbar ist.

{| class="wikitable"
! Gateway
! style="font-weight: bold;" | Intranet IPv4
! style="font-weight: bold;" | Intranet IPv6
! style="font-weight: bold;" | Intranet MAC
! style="font-weight: bold;" | Batman MAC
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 10.24.193.1
| fd4e:f2d7:88d2:ffff::101
| ee:ee:ee:ee:00:01
| ca:fe:ba:be:00:01
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 10.24.193.2
| fd4e:f2d7:88d2:ffff::102
| ee:ee:ee:ee:00:02
| ca:fe:ba:be:00:02
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 10.24.193.3
| fd4e:f2d7:88d2:ffff::103
| ee:ee:ee:ee:00:03
| ca:fe:ba:be:00:03
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 10.24.193.4
| fd4e:f2d7:88d2:ffff::104
| ee:ee:ee:ee:00:04
| ca:fe:ba:be:00:04
|-
| style="font-weight: bold;" | mgmt.saar.freifunk.net
| 10.24.192.254
| fd4e:f2d7:88d2:ffff::fe
| ee:ee:ee:ee:00:fe
| ca:fe:ba:be:00:fe
|-
| style="font-weight: bold;" | Anycast: Aktueller Knoten
| 10.24.192.1
| fd4e:f2d7:88d2:ffff::1
| 32:3d:f9:8f:01:52
| -
|}

= Client-IPs =

Auf jedem Gateway läuft ein DHCP-Server, der IP-Adressen an Clients verteilt, die diesen Server als Gateway nutzen. Grundsätzlich verteilen wir hier /22-Ranges, also bis zu 1022 IP-Adressen pro Gateway. Ich halte es für denkbar, dass ein einzelner Server nicht so viele Clients packt, aber reduzieren geht ja schließlich immer, erweitern ist problematisch.
Außerdem announcen die Gateways über Router Advertisments öffentlich nutzbare IPv6-Adressbereiche, aus denen sich die Clients bedienen können.
Zusätzlich senden Gateways und Knoten Router Advertisments für unseren site-lokalen, internen Adressraum - Kommunikation über <tt>fd4e:f2d7:88d2:ffff::/64</tt> klappt also auch, wenn die Knoten keinen Uplink haben.

Die konkreten Adressen, die von den einzelnen GWs den Clients zugewiesen werden, stehen in der [[Freifunk:Backend#Reservierte_IPs|Tabelle oben]].

= Mesh-VPN =

Das Mesh-VPN bezeichnet Punkt-zu-Punkt VPN-Verbindungen zwischen den Knoten und den Gateways.
Über diese Verbindungen wird dann wiederum per Batman ein Mesh aufgebaut, das die Illusion eines einzigen großen Netzwerks mit allen Knoten erzeugt (auch denen, die nur per WLAN angebunden sind).

Wir nutzen für diese VPN-Verbindungen [https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol L2TP], ein sehr schlankes und effizientes Tunnelprotokoll welches der Linux-Kernel nativ unterstützt.
So können die Knoten mit ihren schwachen CPUs problemlos 30 MBit/s und mehr an Daten transportieren, und auch die Gateways (wo ja alles zusammen kommt) brauchen keine extrem starken CPUs.
L2TP geht von einer statischen Konfiguration und öffentlichen IP-Adressen auf beiden Seiten aus; [https://github.com/ffrl/tunneldigger Tunneldigger] ermöglicht es uns, solche Tunnel auch dynamisch und durch NAT hindurch aufzubauen.
Tunneldigger lauscht auf Port UDP/10000, und auch die L2TP-Verbindung wird über diesen Port aufgebaut.

Nebenher sind auch noch Tunnel via fastd möglich.
fastd haben wir früher statt L2TP eingesetzt, es bietet den Vorteil einer verschlüsselten Verbindung.
Allerdings geht das mit viel CPU-Last sowohl auf den Knoten als auch den Gateways einher, weshalb fastd nicht mehr verwendet wird und zur Zeit lediglich der Kompatibilität mit alten Knoten wegen noch läuft.
fastd lauscht auf Port UDP/10003. Als Cipher unterstützen unsere Server salsa2012+umac, die VPN-interne MTU beträgt 1406 byte.

Da die Ports ggfls. angepasst werden müssen, empfiehlt sich eine Freigabe der UDP-Ports 10000-10010 für den Betrieb des Freifunk-Routers hinter einer Firewall.

Hier eine Übersicht über die Public Keys und den Online-Status (nicht live) unserer Gateways:

{| class="wikitable"
! style="font-weight: bold;" | Gateway
! style="font-weight: bold;" | Public fastd Key
! style="font-weight: bold;" | Aktiv?
|-
| style="font-weight: bold;" | gw1.saar.freifunk.net
| 5136a920a8c7aa9ae2ca1c2a1e33ea8c45e01501fac0f02b9d6a05b167ac5993
| Ja
|-
| style="font-weight: bold;" | gw2.saar.freifunk.net
| 80859883c8a22867b20082078ab0934bdf58f556e7acda90730ea282d8da9388
| Ja
|-
| style="font-weight: bold;" | gw3.saar.freifunk.net
| 711d1dc6f2048ffe88997441612ca764595b414abea5495c4f3ce746c72774e6
| Ja
|-
| style="font-weight: bold;" | gw4.saar.freifunk.net
| 33e02014b00a45bc8249b4428a9da614a370b5e386fa5d8d66c325941aa27568
| Ja (L2TP nur eingeschränkt)
|}

= Mesh-WLAN =

Hier die Details für das WLAN auf den Clients

{| class="wikitable"
! style="font-weight: bold;" | Netz
! style="font-weight: bold;" | Mesh {E/B}SSID
! style="font-weight: bold;" | Clients ESSID
! style="font-weight: bold;" | 2.4 GHz Kanal
! style="font-weight: bold;" | 5 GHz Kanal
! style="font-weight: bold;" | HT-Modul
|-
| style="font-weight: bold;" | Saar
| 5e:ba:7a:d2:c4:b9
| saar.freifunk.net
| 1
| 36
| HT20
|}

= Exit-VPN =

Unser Traffic geht derzeit über diese Parteien ans Netz:
* [https://freifunk-rheinland.net/ Freifunk Rheinland e.V.]
* Backup-Leitung: [http://foerderverein.freie-netzwerke.de/ Förderverein Freie Netzwerke e.V.]

[[Kategorie:Freifunk]]