Schlagwort-Archive: Infrastruktur

Treffen 13.02.2017

Kommenden Montag findet um 19 Uhr das montaliche Freifunk-Treffen im shackspace, Ulmer Str. 255, S-Wangen statt.

Auf der Agenda sind u.a. Themen wie die Bildung des Teams zur Betreuung der Eventnodes, die anstehenden Thundertalks im shack, die Umbaumaßnahmen im Backbone oder der Stand bezüglich der TP-Link WR841N.

Gerne darf die Agenda im Wiki erweitert werden. Ansonsten ein schönes Wochenende und bis Montag!

IPv6 Router Advertisements legen Freifunk-Router lahm

Für mehrere Tage spielte das Freifunknetz Stuttgart verrückt: Router booteten nach wenigen Minuten von selbst neu oder fraßen sich fest, Datenpakete nahmen unmögliche Wege durch das Meshnetz und verloren sich in Loops, obwohl Verkabelung und Konfiguration der Router korrekt waren. Am meisten hat es die leistungsschwächeren Router erwischt, insbesondere die am Häufigsten eingesetzten TP-Link WR841n(d).

Was war passiert?

Im FFS-Netz war die Anzahl IPv6 Router Advertisement Pakete (RA) auf eine so hohe Zahl gestiegen, dass die Router diese nicht mehr in Echtzeit verarbeiten konnten und sich mehrere parallele Prozesse aufgebaut haben, jeder von einem RA getriggert.

Im obigen Bild sind es noch 3 Prozesse, die auf den ersten Blick unkritisch scheinen, sie führen jedoch auch zu den kworker Prozessen - in der Summe ist es dann nicht mehr vernachlässigbar. Und die Anzahl steigt stetig.
Im obigen Bild sind es noch 3 Prozesse, die auf den ersten Blick unkritisch scheinen, sie führen jedoch auch zu den kworker Prozessen – in der Summe ist es dann nicht mehr vernachlässigbar. Und die Anzahl steigt stetig.

Das ging jeweils so lange gut, bis nicht mehr genügend RAM für „Alfred“ zur Verfügung stand. In diesem Zustand stieg die CPU-Last noch stärker an, gleichzeitig wurde das freie RAM knapper, was schließlich im Kollaps des Routers endete. Bevor er sich entweder festfraß oder neu startete, wurde noch batman-adv in Mitleidenschaft gezogen und hat die Mesh-Pakete unkontrolliert weitergeleitet – daher die Schein-Loops.

Wie konnte das passieren?

Eigentlich sollte die Rate der von den Gateways per Multicast ins Netz geschickten RA limitiert sein. Das kann entweder dadurch erreicht werden, dass die Reaktion der Gateways auf Router Solicitations (RS = explizite Anforderung eines RA) verzögert wird, so dass ein ganzer Block von RS durch ein einziges RA per Multicast bedient wird. Alternativ können nur die periodischen RA per Multicast verschickt werden, während man die RA, die per RS angefordert wurden, per Unicast überträgt und daher nur dem konkreten Empfänger zur Auswertung zustellt. So wird es in RFC 4861 definiert.

Die Realität sah aber auf drei Gateways anders aus, wo „radvd“ für das IPv6-Management eingesetzt wird. Hier wurde jede einzelne RS von diesen drei Gateways parallel durch ein eigenes Multicast-RA beantwortet und damit ins komplette FFS-Netzwerk verteilt und durchlief dabei alle aktiven FF-Router. Ursache war ein Fehler in der eingesetzten Version 1.9.3 von radvd, der die zeitliche Streuung der RA in der Default-Konfiguration verhindert hat.

Wieso hat man das nicht schon früher bemerkt?

Normalerweise macht man sich nicht die Mühe, Mesh-Traffic zu analysieren. Solange die RA-Rate unter dem kritischen Wert blieb, wurde zwar das Freifunknetz immer langsamer, aber es gab keine verrückt spielenden Router. Erst das starke Wachstum des Freifunknetzes auf inzwischen mehr als 560 aktive Freifunk-Router, die mehr als 1800 Clients bedienen, über das wir uns beim Freifunk Stuttgart sehr freuen, hat den Fehler sichtbar gemacht.

Was kann man dagegen tun?

Ohne prinzipielle Änderung an der Freifunk-Infrastruktur kann man nur auf den Gateways dafür sorgen, dass die Anzahl der als Multicast verschickten RA so niedrig wie möglich bleibt, ohne die IPv6-Netzfunktion einzuschränken, denn die kritische Marke für die leistungsschwachen Router wie den WR841 lässt sich nicht exakt bestimmen.

Bis einschließlich radvd 1.9.5 lässt sich durch eine Änderung der radvd.conf auf den Gateways das Verhalten so ändern, dass nur die periodischen RA als Multicast verschickt werden, die anderen per Unicast. Der entscheidende Parameter ist hier „UnicastOnly on“, den man im nachfolgenden Beispiel sehen kann:


interface br00
{
AdvSendAdvert on;
IgnoreIfMissing on;
MaxRtrAdvInterval 600;

# don’t advertise default router
AdvDefaultLifetime 0;
UnicastOnly on; # das ist der entscheidende Parameter

prefix fd21:b4dc:4b1e::/64
{
AdvValidLifetime 86400;
AdvPreferredLifetime 14400;
};

RDNSS fd21:b4dc:4b1e::a38:1
{
FlushRDNSS off;
};
};

Mit dem Release 1.10.0 wurde das Verhalten geändert. Ab da wird mit dem Parameter „UnicastOnly on“ kein RA mehr periodisch verschickt, kann also nicht mehr als Lösung benutzt werden.

Es bleibt nur noch die Möglichkeit, mit dem Parameter „MinDelayBetweenRAs“ die Multicast-RA-Flut einzudämmen. Wir hatten allerdings in Stuttgart bisher nicht die Gelegenheit, das in der Praxis zu testen.

Fazit:

Durch die Art und Weise, wie ein Freifunknetz auf technischer Ebene funktioniert, entsteht ab einer bestimmten Anzahl Knoten und Clients so viel interner Verwaltungs-Traffic („Hintergrundrauschen“), dass schwächere Router an ihre Leistungsfähigkeit stoßen. Der Effekt mit den RA ist dabei sicher nur der Anfang. Beobachtet man das Netzwerk im Inneren, sieht man neben den RS und RA bereits weitere Multicast-Pakete in hoher Anzahl, nämlich die Multicast Listener Report Messages. Deren Verarbeitung ist in den Routern besser gelöst, Ausfälle, die darauf zurückzuführen wären, sind bisher meiner Kenntnis nach nicht aufgetreten.

Einen wesentlichen Schritt in Richtung Stabilität werden wir mit der Segmentierung bekommen, also der Aufteilung des großen Gesamtnetzes in mehrere Teilnetze, die untereinander auf Layer 3 (Routing) miteinander verbunden sind, was als Sperre für die Multicasts bei IPv6 und Broadcasts bei IPv4 wirkt. Hier sind die Gatewaybetreiber mit Hochdruck an der Arbeit.

Für die Betreiber der Freifunk-Router (Knoten) bleibt indes nur, die Verkabelung und Konfiguration der Router gewissenhaft zu machen und damit insbesondere Schleifenbildungen zu verhindern.

An alle Nutzer des Freifunks (Clients) möchte ich appellieren, bitte auf unnötige und in der Regel nutzlose Netzwerk-Scans zu verzichten. Was in einem klassischen LAN kaum ins Gewicht fällt, potenziert sich in einem Freifunknetz mit Mesh-Struktur und führt zu Nebenwirkungen, derer sich die meisten gar nicht bewusst sind.

Zum Schluss noch ein herzliches Dankeschön an alle, die dazu beigetragen haben, Puzzle-Teile für das Gesamtbild der Störung zusammenzutragen. Egal ob aus reiner Anwendersicht („Router bootet ständig“) oder mit Tracebacks aus den Tiefen der Firmware von Technik-Freaks, jede einzelne Information war wichtig, um den Gateway-Admins die Chance für eine schnelle Lösung zu geben.

Anmerkung: Vielen Dank an Roland für das Verfassen des Artikels und das Recherchieren, woher die Probleme im Netz kamen.

Freifunk ist keine Grauzone

Uns freut es sehr, Resonanz von Zeitung und Online-Medien zu Freifunk und unserem Engagement zu bekommen, auch in Bezug auf die Versorgung von Flüchtlingsheimen.
Freifunk liegt uns sehr am Herzen, und wir wollen diese Idee gerne mehr in der Öffentlichkeit haben. Nur ist uns leider aufgefallen, dass in den Berichten und Artikeln oft falsche Dinge behauptet werden. Wir unterstellen keine bösen Absichten, sondern sehen eher das Problem darin, dass wir mit unseren Erklärungen nicht verstanden werden.

Hier wollen wir insbesondere die immer wieder zu findende Aussage beleuchten, Freifunk handle in einer „rechtlichen Grauzone“ (Beispiele: Stuttgarter Zeitung, Spiegel Online).

Dazu sehen wir uns zuerst das Telemediengesetz an, welches sich in § 8 auf die Durchleitung von Informationen in einem Kommunikationsnetz bezieht:

§ 8 Durchleitung von Informationen
(1) Diensteanbieter sind für fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln, nicht verantwortlich, sofern sie
1. die Übermittlung nicht veranlasst,
2. den Adressaten der übermittelten Informationen nicht ausgewählt und
3. die übermittelten Informationen nicht ausgewählt oder verändert haben.
Satz 1 findet keine Anwendung, wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen.
(2) Die Übermittlung von Informationen nach Absatz 1 und die Vermittlung des Zugangs zu ihnen umfasst auch die automatische kurzzeitige Zwischenspeicherung dieser Informationen, soweit dies nur zur Durchführung der Übermittlung im Kommunikationsnetz geschieht und die Informationen nicht länger gespeichert werden, als für die Übermittlung üblicherweise erforderlich ist.

Dieser Paragraph betrifft eben auch Freifunk, da wir ehrenamtlich und in Bürgerhand eine Infrastuktur zur Kommunikation anbieten. Auch die jeweiligen Absätze gelten für Freifunk: weder wählen wir die übermittelten Informationen, noch wählen wir die jeweiligen Adressaten aus, noch veranlassen oder verändern wir sie. Den Buchstaben des Gesetzes nach müsste eigentlich schon der Privatmensch, der das heimische WLAN anderen Menschen zur Verfügung stellt, als Diensteanbieter von der Haftung für die Inhalte freigestellt sein.

Leider sehen die Gerichte in Deutschland das zum Teil anders und haben das Konstrukt der Störerhaftung, wie es zum Beispiel auch bei der allgemeinen Betriebsgefahr eines Autos besteht, auf den Betrieb von Internetanschlüssen übertragen.

Um diesen Missstand zu umgehen, sammeln die Freifunknetze — auch in Stuttgart — im Moment den ans übrige Internet gerichteten Datenverkehr an zentralen Stellen („Gateways“) und schicken ihn von da aus über verschiedene Wege zu den Zieladressen. Zu diesen Wegen gehört der Förderverein Freie Netzwerke in Berlin aber auch gemietete Server und VPN-Endpunkte im Ausland (Niederlande, Frankreich, Dänemark, Schweiz, …). Die Freifunk-Knotenbetreiber hingegen werden zu Teilen des Netzes, so wie die Basisstationen eines Mobilfunknetzes.

Dadurch wird nicht das Recht gebeugt oder eine Grauzone ausgenutzt, sondern nur eine technisch andere Konstellation geschaffen. Als Diensteanbieter tut der Freifunk hier nichts, das die „großen“ Netzbetreiber nicht auch täten.

Wilhelm und Dentaku

2. Stuttgarter Flüchtlingsheim mit Freifunk

Was lange währt, wird endlich gut. Wie im letzten Blogartikel angekündigt, wird nun seit dem 24.06.2015 ein Flüchtlingsheim im Stuttgarter Süden mit Freifunk versorgt.
Möglich gemacht hat dies das Engagement des Freundeskreis Süd, insbesondere von Gido und Reinhard. Beide waren bereits seit längerem auf der Suche den Menschen in der Unterkunft kostengünstig Zugang zum Internet zu ermöglichen ohne rechtliche Bedenken für den Anschlussinhaber. Dank des Artikels im Lift Magazins wurde Reinhard auf Freifunk aufmerksam und prompt sind beide zu unserem Februartreffen im shackspace gekommen.
Dort konnten wir viele Fragen beantworten und gemeinsam nach einer Lösung suchen. Klar war, für Freifunk ist ein Internetanschluss vor Ort oder aus der Nachbarschaft notwendig. Dieses Problem galt es zu lösen. Nach vielen Gesprächen und diversen Schriftwechseln konnte Gido eine Lösung finden: Der Freundeskreis bekam die Erlaubnis einen DSL-Anschluss installieren zu lassen. Dieser Anschluss sowie der Freifunk-Router wird durch Spenden des Freundeskreises finanziert. Diesen Freifunk Router hat Flip konfiguriert.

Am Mittwoch sollte der Internetanschluss freigeschaltet werden. Nachmittags haben sich dann Gido und Reinhard vom Freundeskeis, sowie Flip und Christoph von den Freifunkern vor Ort getroffen. Gido hat noch den DSL-Router eingerichtet und Flip konnte direkt den Freifunk-Knoten einsöpseln.

Das Ergebnis sah folgendermaßen aus:

Drei glückliche Freifunker (cc-by-nc-nd Reinhard Otter)
Drei glückliche Freifunker (Creative Commons License Reinhard Otter. Dieses Bild steht unter Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.)

Mit der jetzigen Konfiguration wird der Gemeinschaftsraum und Teile der Unterkünfte versorgt. Bereits am Mittwoch wurde das Angebot dankbar von den Bewohnern angenommen. So dass es auch hier ein Stück digitale Gastfreundschaft angekommen ist.

Unser neuer Aufsteller "Digitale Gastfreundschaft"
Unser neuer Aufsteller „Digitale Gastfreundschaft“

Über einen weiteren Ausbau des Netzes wird nachgedacht, damit die Flüchtlinge auch in ihren Zimmern das Freifunk-Netz nutzen können. Hierzu wäre allerdings mehr Bandbreite sinnvoll. Es gibt bereits Überlegungen der Bewohner, Teile des eingesparten Geld für mobiles Internet zu nutzen und in mehr Bandbreite und Freifunk-Knoten zu investieren. Eine weitere Möglichkeit wäre, dass direkte Nachbarn etwas Bandbreite via Freifunk teilen.
Wer mehr Informationen zur Arbeit des Freundeskreises und zu deren WLAN-Projekt mit Freifunk haben möchte oder ein Teil seines Internets zur Verfügung stellen hat, hat morgen dem 27.06.2015 auf dem Heusteigviertel Straßenfest Gelegenheit dazu. Der Freundeskreis Süd wird dort Höhe Mozartstraße 32 von 13-18 Uhr mit einen Infostand vertreten sein. Vor Ort wird temporär ein mobiler Freifunk-Zugang vorhanden sein.

Diese Lösung zeigt, dass es ähnlich wie in Gomadingen auch in Stuttgart funktionieren kann. Also durch eine Privatinitiative kann ein DSL-Anschluss sowie die Hardware finanziert werden und mit der Freifunk-Technologie der Zugang ins Netz risikolos ermöglicht werden. Dauerhaft wäre es natürlich schön, wenn sich von politischer Seite etwas ändern würde, dass solche Konstrukte nicht mehr notwendig sind. Doch bis dahin kann diese Einrichtung hoffentlich als Modell für weitere Stuttgarter Flüchtlingsunterkünfte dienen.

1. Stuttgarter Flüchtlingsunterkunft mit Freifunk

Seit vergangenem Freitag wird die Flüchtlingsunterkunft in S-Rohr mit Freifunk versorgt. Dies war relativ kurzfristig durch die Vorarbeit des Stuttgarter Hackerspace shackspace möglich. Dank dem ehrenamtlichen Engagement des shackspace wurde über Spenden bereits ein Internetanschluss finanziert und vor Ort ein Internetcafé eingerichtet. Wie die Stuttgarter Nachrichten berichteten, war das Problem, dass die rund 180 Bewohner nur zu bestimmten Zeiten Zugang zu den vier PCs hatten und dann beaufsichtigt surfen konnten.
Da viele Bewohner über ein WLAN-fähiges Gerät verfügen (z.B. preiswertes Smartphone, gespendete Notebooks), war ein unbeschränkter Zugang zum Internet der logische Schritt. Andrerseits gilt in Deutschland die Störerhaftung und Anschlussinhaber sind im Zweifelsfall haftbar. Dieses Problem kann mit der Freifunk gelöst werden.
Anders als im Zeitungsartikel geschrieben, „verschleiern“ wir keine „Spuren“, sondern schützen Menschen, die kostenfrei ihren Internetzugang teilen. Diesen Aufbau verwenden auch immer mehr kommerzielle Hotspot Betreiber für Gastronomen o.ä. Deshalb sei hier auch ausdrücklich darauf hingewiesen, dass Freifunk kein Anonymisierungsdienst ist.

Der Kontakt zum shackspace war schnell aufgebaut, da dort auch unsere monatlichen Treffen stattfinden.

Letztlich waren wir zu sechst und konnten direkt elf Router installieren. Der Großteil der Router wurden von den Freifunkern und Pi gespendet. Die beiden leistungsstärkeren Router TP-Link 1043nd v2 & TP-Link WDR3600 stellen die Verbindung ins Internet her und wurden vom Freundeskreis der Flüchtlingsunterkunft finanziert.

Matze beim Konfigurieren eines Routers
Matze beim Konfigurieren eines Routers

Flächenmäßig konnten mit dieser Installation so gut wie alle Bereiche in den beiden Gebäuden abgedeckt werden. Die Router sind per Funk verbunden (meshen), wodurch keine Netzwerkkabel installiert werden mussten. Allerdings werden vom am weitesten entfernten Router fünf Hops bis zu den beiden Uplink-Nodes im Internetcafé benötigt. Dies und die hohe Anzahl an Benutzer führt dazu, dass man surfen, Kurznachrichten und E-Mails schicken kann. Das schauen von Youtube-Clips ist je nach Standort möglich.
In einer zweiten Runde wird versucht die Konfiguration zu optimieren und durch die Installation eines Outdoorrouters die Anzahl der Hops zu verringern. Eventuell kann sich der Freifunk-Router Betreiber direkt nördlich der Einrichtung melden. Bei Interesse könnte dessen Node in das Mesh eingebunden werden.

Knoten & Mesh in der Arthurstraße
Knoten & Mesh in der Arthurstraße ((Kartendaten von OpenStreetMap – Veröffentlicht unter ODbL)

Insgesamt war es eine gelungene Aktion. Vielleicht etwas hemdsärmelig umgesetzt, denn bei drei Routern sind momentan keine Koordinaten eingetragen – dies soll aber in der zweiten Runde geändert werden.
Meist sind zwischen 40 und 50 Endgeräte zeitgleich online.

Wer sich fragt, weshalb wir auch Flüchtlingsheime mit Freifunk versorgen, sollte den Kontakt zu Flüchtlingen aufnehmen und mit diesen Menschen darüber reden, welche Bedeutung es für sie hat. Leon Scherfig, der Autor des oben genannten Zeitungsartikels, hat zu dem Thema auch einen sehr guten Kommentar geschrieben.

Freifunk Stuttgart unterstützt aus diesen Gründen aus vollster Überzeugung solche Projekte. Darüber hinaus machen wir Freifunk nicht nur für Flüchtlinge, sondern für alle! Und das ohne Anmeldung, ohne zeitliche Limitierung und ohne Filterung. Jeder ist eingeladen Freifunk zu benutzen und den eigenen Internetanschluss zu teilen. Je mehr Menschen digitale Gastfreundschaft vorleben, desto höher ist die Chance, dass man vor Ort einen Freifunkknoten findet. Wer teilt gewinnt!

Wie ein Freifunk-Router eingerichtet wird, wird im Wiki erklärt. Bei einem Treffen helfen wir auch bei der Konfiguration.
Gerne unterstützen wir auch andere soziale Einrichtungen (z.B. Obdachlosenheime, Suppenküchen, Jugendhäuser, o.ä.) bei der Installation der Router. Was wir benötigen, ist ein Internetzugang vor Ort oder aus der Nachbarschaft, sowie kompatible Router.

Bei Bedarf einfach melden. Wir helfen gerne weiter oder können bei Einrichtungen auch einen vor Ort Termin machen und konkret erklären, wie das mit dem Freifunk funktioniert 😉

Bereits Ende Juni wird ein weiteres Flüchtlingsheim im Stuttgarter Süden durch das Engagement des dortigen Freundeskreises und Freifunk Stuttgart ans Netz gehen – wir freuen uns!

Firmware Update

Wie auf der Mailingliste angekündigt wurde, ist bereits am 27.11.2014 eine neue stabile Firmware ausgerollt worden.
Die neue Firmware ist für bis zu 10 Gateways vorbereitet. Momentan sind drei Stück aktiv. Die weiteren Änderungen sind eher kosmetischer Natur. So wurde die Emailadresse, an die der VPN-Schlüssel nach dem Flashen geschickt wird, und die Adresse der Homepage angepasst.

Wie in der Nodeliste der Karte gesehen werden kann, benutzen bereits 50 der 85 Router die aktuelle stable bzw. beta Firmware.

Um von der höheren Ausfallsicherheit und Performancesteigerungen durch die drei Gateways zu profitieren sollten die restlichen Router aktualisiert werden. Am einfachsten, indem im Konfigurationsmodus unter dem Reiter „Expert Mode“ die „Auto Update“ Funktion für den stable branch aktiviert wird. Alternativ kann auch unter „Firmware aktualisieren“ die Firmware manuell installiert werden. Dabei sollte auf alle Fälle die md5sum, welche der Freifunkrouter beim Updaten anzeigt, mit der Summe der Firmware auf der Homepage verglichen werden.

Ein großes Dankeschön an Leonard für das Bauen der neuen Firmware, sowie an die Gatewaybetreiber für das Stellen und pflegen der Infrastruktur, die Freifunk Stuttgart erst möglich macht!