[Freifunk-Bonn] fastd2.kbu.freifunk.net nun produktiv

Jan Lühr ff at stephan.homeunix.net
Mi Mär 20 11:28:56 CET 2013


Hallo Ruben,


Am 18.03.2013 um 23:20 schrieb Ruben Kelevra:

> Hallo Jan,
> 
> selbe Thema deswegen antworte ich hier drauf. Könnte einer von euch
> der die Gateways bei euch einrichtet mal über meine Anleitung schauen
> und kucken ob noch Fehler drin sind?
> 
> http://wiki.freifunk.net/Freifunk_Firmware_Gluon/Gateway_Einrichtung

Ok - ich finde des Artikel etwas verwirrten - hier meine Anregungen:
-> Du nutzt die wiki auf freifunk.net - hast Du das mit den Lübeckern abgesprochen? Wenn man Doku zu gluon in verschiedenen Wikis findet ist das dumm. Es sollte eine Stelle geben "authoritive", andere sollten darauf verweisen und ggf. lokalen Bezug haben. Findet man 3 verschiedenen Anleitungen zu fastd-Servern bei gluon ist keinem geholfen.

1. Einleitung:
Finde ich nicht so gut gelunden. z.B. "Das Netzwerk switcht somit direkt auf Layer2, die Gateways sind für BATMAN die Gateways und vergeben somit netzweit-gütlige Gateway-IP-Adressen, was transparentes Roaming (ab BATMAN 2013.x) ermöglicht."

-> Sprachlich ist ein leser total verwirrt:  3x das Wort Gateway? Welches Gateway ist gemeint?
-> Inhaltlich: batman-adv konnte von vor 2013.x gateways - insb. auch transparente
-> Vom Aufbau her: Nicht top-Down, nicht bottom-up.

2.Die Annahmen
Weg damit - Die einzige _wirkliche_ Annahme ist, dass ein batman-adv-Netz mit verschiedenen Eigenschaften (fastd-VPN, Gateways) vorliegt (also kein BLA, etc.). IP-Adressen und User in Beispielen sind imho keine Annahmen. (Ich möchte mir jetzt auch nicht alle Annahmen merken oder andauernd hin und her scrollen. Wenn ein IP-Adressbereich gesetzt werden muss - zeigen. Zu weiteren Annahmen die Du triffst aber nicht klar sagst, später noch.
Btw. MAC vom Gateway ist e6:64:e1:dd:e8:60 ist schmarrn. Ein Gateway hat nicht eine MAC.

3. Arch:
joah - die Anleitung sollte imho nicht distro-spezifisch sein. Besser: Allgemeines vorgehen und Code-Beispiele erläutern.

4. Installation der Software
Ist wieder sooo arch-Spezifisch. Besser: Sagen wo es die Pakete für die Distributionen gibt. Jeder der die Anleitung liest, sollte in der Lage sein, seinen Paket-Manager zu bedienen (ggf. Links setzen). Imho braucht man in dieser Anleitung kein Bespiel für einen tar-syntax..

5. fastd
Imho besser als die vorherigen Kapitel, aber vor dem ganzen schwebt ein großes Warum. 
-> Warum brauche ich einen Benutzer fastd?
-> Warum muss ich mir eine MAC-Adresse genieren und statisch setzen?
-> Warum brauch ich dazu den MAC-Generator?
-> Warum funktioniert der MAC-Generator und erzeugt keine Kollisionen?
-> Warum kann ich nicht die MAC die mehr das OS erstmalig zuweist dauerhaft setzen?
-> Warum setzte ich ein interface -m mesh-ms anstatt von bat0?
-> Warum braucht der Server eine peer-definition mit seiner Adresse?

6. BATMAN
Imho wieder übler:
In diesem Abschnitt erläuterst Du die Konfiguration der NICs und nicht nur die von batman-adv. Btw. bitte schreib batman-adv statt batman. Das sind verschiedene Dinge
Imho wäre es auch geschickter zu beschreiben welche Bridges man braucht. Die Beispiele die Du zeigst sind arch-spezifisch - das ist kein Problem, aber die Erklärung fehlt.
Wichtige Annahmen hier: 
-> IPv6-Nat? -> AdvDefaultLifetime (!)
-> Du willst einen DNS-Cache betreiben (zu dem weiter nichts steht)

7. iptables
Joah - die Überschrift passt nicht - das ganze ist arch-Spezifisch (Wichtig wären imho die Kommandos die ARCH-Ausführt)
-A POSTROUTING -o tun-vpn-01 -j MASQUERADE taucht in der config auf, ohne das (bislang) klar ist warum.
Anahme hier: iptables mark vs. ip rule add src 10.10.0.0/16 - Warum?

8. OpenVPN
Hui - richtig übel. Über dem ganzen Abschnitt steht ein großes "Warum?"
Einerseits nimmst Du hier an, dass via ein OpenVPN anonymisiert werden soll erklärst das aber nicht. (Es gibt noch PPTP, IPSec).
Andererseits schreibst Du eine Anleitung in die Wiki die Hoster-spezifisch ist und in vielen Fällen (nicht sogar allen?) vom Hoster bereit gestellt wird. (Warum also? -> Gibt es Abweichungen die Sinnvoll sind?)
Im UP-Script: Zudem GW-Mode setzen (GW-Class erläutern?)
Zum Fixme: bat0 sollte nicht korrekt sein (s.o.) Ich kann es aber gerade nicht testen.

9. Gateway Check
Annahme: Das VPN steht, aber es funktioniert nicht? Irgendwie fragwürdig. Besser: Monitoring mit icinga / nagios.
Btw. warum die 2 Spaces in der crontab?

Alles Gute
Jan











Mehr Informationen über die Mailingliste Freifunk-Bonn