[Freifunk-Bonn] Neuer Node f4ec38e97444

Jan Lühr ff at stephan.homeunix.net
Mo Jan 7 17:29:47 CET 2013 

Hallo folks,

ein paar Anmerkungen meinerseits. 
Am 06.01.2013 um 17:24 schrieb Daniel Meißner:

> Hallo Björn,
> 
> On Sun, 6 Jan 2013 16:17:00 +0100 bjiveT <bjivet at gmail.com> wrote:
>> ich habe vor einigen Tagen einen neuen Node im Kölner Süden
>> hinzugefügt und habe nun noch ein paar allgemeine Fragen:
> 
> yeeeeah. :)
> 
>> 1. Thema Störerhaftung:
>> 
>> Der Exit ins Internet wird ja über CCC - WAN/Public-IP abgewickelt.
>> Aufgrunddessen gehe ich davon aus das Störerhaftung somit für die
>> jeweiligen Node-Betreiber kein Thema ist ? Besteht trotzdem noch
>> Bedarf an VPN-Tunneln über die Internettraffic abgewickelt wird
>> (Schweden (z.B. ipredator)) ?
> 
> Soweit korrekt.

Imho nein.
Technisch ist der Knoten nach RFC4271 Teil des Chaos-AS für das der CCC das abuse-Handling macht (wie auch beim Congress oder Camp).  => IMHO ISP-Infrastruktur. 
"The classic definition of an Autonomous System is a set of routers
      under a single technical administration, using an interior gateway
      protocol (IGP) and common metrics to determine how to route
      packets within the AS, and using an inter-AS routing protocol to
      determine how to route packets to other ASes"

Rechtlich gesehen, ist Störerhaftung § 1004 BGB. 
Kein VPN setzt § 1004 BGB außer Kraft.

Disclaimer: Ich bin kein Rechtsanwalt.

Du kannst rechtlich wg. § 1004 BGB belangt werden. Der Anspruch muss zivilrechtlich begründet werden. Akzeptiert der Richter die Begründung ist es völlig egal, welche VPNs oder abweichenden Meinungen es gibt.
Beispiel: 
Dein Nachbar lädt Musik hoch (p2p), bekennt sich dazu und wird ermittelt (z.B. indem er das einem Leserbrief an eine Zeitung schreibt ala: "Freifunk ist toll zum Raubkopieren - keiner sperrt mich - keiner hindert mich"). 
Der Nachbar ist jedoch finanziell blank und vermittelt glaubhaft Dein wlan zu nutzen. Dem Rechteinhaber ist ein Schaden durch eine gewerbsmäßige Verbreitung des Musiktitels entstanden.
Wenn dem Richter das als Begründung gegen Dich reicht, kannst Du imho dran sein. 

Natürlich können wir darüber diskutiere, wer der Störer ist, ob Freifunk / CCC ein ISP sind und überhaupt in der Form belangt werden können - praktisch gesehen, findest Du Dich vor einem Richter ein der gegen Dich entscheiden kann - egal welche Meinung viele andere vertreten.


>> 2. Ich habe mir die gesamte Netzwerk-(interface)konfiguration,
>> Bridging etc. auf dem Node noch nicht im Detail anschauen können.
>> Ist das LAN in das der Node per Kabel connectet wird vom
>> WLAN-Client-Traffic komplett abgeschottet ?
> 
> Nein. Derzeit bridgen wir direkt auf das Lan Interface. D.h. Clients
> sind auch im LAN direkt im Freifunk Netz.

Vorsicht - nicht durcheinander kommen. Freifunk-Netz und Uplink Netz (das meinst Du mit  "das LAN in das der Node per Kabel connectet wird", oder?) sind erstmal getrennt.
Jetzt gibt es zwei Varianten unserer Firmware:
-> Variante 1 (stabil - "WAN Port Workaround" ). Alle Ports des Routers sind Teil des Uplink-Netzes und bilden einen Switch
-> Variante 2 (alt, beta). Nur der WAN-Port gehört zum Uplink-Netz. Die anderen Ports zu Freifunk-Netz.

Von der Netzwerkssicherheit her gesehen darfst Du dem Freifunk-Router nicht vertrauen, so dass eine Trennung (Fritz-Box-Gastzugang,  DMZ) sehr sinnvoll ist.

> 
>> 3. Traffic-Shaping/QoS auf dem Node möglich ? (Habe aktuell
>> wondershaper, (luci)-qos-scripts o.ä. nicht gefunden), noch nicht
>> vorgesehen ?
> 
> Aktuell noch nicht vorgesehen. Meine persönlichen Erfahrungen waren
> damit bisher immer recht ernüchternd. Hier sollte man sich auch mal bei
> anderen Freifunk Netzen nach Erfahrungen umsehen.

Die Lübecker haben es in ihre Firmware aufgenommen - somit auch mit unserer beta. Probiere es einfach aus.

> 
>> 4. Node verbraucht viel Traffic (im "Idle"-Betrieb ca. 4GB pro Tag,
>> noch kein Client-Traffic darüber). Ist das die tinc/fastd - Thematik ?
> 
> Das liegt derzeit am Tinc. Jeder Node bekommt derzeit ca. 350kbit/s an
> Management Traffic vom Exit und sendet dann wieder ca. 70kbit/s zurück.
> Der Anstieg an mgt-Traffic pro weiteren Node ist dabei nicht
> linear sondern eher exponential. Wir versuchen das Problem, wie
> schon mehrfach erwähnt, durch fastd zu beheben.

Nicht exponentiell (das wäre ganz böse ;-) - es ist quadratisch bzw. kubisch - je nachdem ob Du einen Node oder das gesamte Netz betrachtest)
Batman-adv verwendet sogn. Beacon-Frames: 
Jeder Node sendet in regelmäßigen abständen Beacon-Frames an seine Nachbarn, die sie wiederum weiterleiten.
(Stell ist Dir als Distance-Vector-Routing (RIP) mit zerhackten Vektoren vor - falls Du das RIP kennst)

Tinc erzeugt eine vollvermaschte Topoplogie: Jeder Knoten kann jeden anderen über das batman-adv Netz erreichen.
Fastd erzeugt nur einzelne Links (somit ist das Netz eher Sternförmig mit Sternpunkten an den VPN-Servern).

Für n Nodes gilt:
Tinc:
Jeder Node sendet seinen Beacon-Frame an n-1 Nodes
Jeder anderer Node leitet diesen Beacon-Frame ca.  n-1 Nodes weiter.
=> (n-1) * (n-1) Forwardings pro Beacon-Frame (im worst-case)
Bei n Nodes also n * (n-1) * (n-1) Frames pro Interval im gesamten Netz

Fastd
Jeder Node sendet seinen Beacon-Frame an die VPN-Server (zur Zeit 2)
Jeder VPN-Server leitet das Beacon-Frame an n-1 Nodes weiter.
=> 2*(n-1) Forwardings pro Beacon-Frame (im worst-case)
Bei n Nodes also n*2*(n-1) Frames pro Interval im gesamten Netz

Dies legt nahe auf fastd zu wechseln.

> 
>> 5. Kann man auf dem Node eigene Pakete installieren (z.B. iftop) oder
>> "bricht" man damit irgendwas ?
>> Wenn ja welche Paketquellen kann man verwenden (aktuell ist "
>> http://downloads.openwrt.org/backfire/10.03.1-rc5/ar71xx/packages"
>> eingetragen, Link ist aber outdated).
> 
> Solange du noch ausreichend Speicher auf dem Node hast, kannst du munter
> installieren. Iftop wird nichts kaputt machen. Wenn du aber die todes
> krasse Firewall Erweiterung 2.0 installierst, könnte es Probleme geben.

Im Grunde ja - aber: Bei Firmware-Upgrades musst Du Dich um Deine Konfiguration selbst kümmern.
Du kannst es auch wie Johnny Bee machen und die Freifunk-Konfiguration (fastd + batman-adv) nachbauen.

>> 7. Wird noch irgendwo Hilfe benötigt ? (arbeite selber im
>> Netzwerk-/Sysadmin-Bereich, habe zwar aktuell wenig Zeit jedoch würde
>> ich gerne wenn benötigt helfen)
> 
> Hilfe können wir immer gebrauchen. Komm doch am Besten mal zum nächsten
> Treffen, dann kann ich dich für das Remine freischalten. 


Auch jeden Fall! komm vorbei ;-)

Alles GUte
Jan

Mehr Informationen über die Mailingliste Freifunk-Bonn