{"id":1479,"date":"2017-09-20T16:08:03","date_gmt":"2017-09-20T14:08:03","guid":{"rendered":"http:\/\/freifunk-kitzingen.de\/?p=1479"},"modified":"2021-02-21T22:04:08","modified_gmt":"2021-02-21T21:04:08","slug":"unsere-suche-nach-einem-neuen-gateway-teil-1-warum-was","status":"publish","type":"post","link":"https:\/\/freifunk-kitzingen.de\/index.php\/1479\/2017\/09\/20\/unsere-suche-nach-einem-neuen-gateway-teil-1-warum-was\/","title":{"rendered":"Unsere Suche nach einem neuen Gateway… Teil 1, Warum? Was?"},"content":{"rendered":"

Seit etwa einem Monat suchen wir nach einem neuen Standort f\u00fcr unser Gateway. In diesem Beitrag wollen wir erkl\u00e4ren warum und was wir suchen.<\/strong><\/p>\n

Aktuell l\u00e4uft unser Gateway auf einem kleinem virtuellen Server. Der ist kr\u00e4ftig was CPU angeht, verspricht bis zu einem Gigabit und auch relativ kosteng\u00fcnstig. Offloading erfolgt per AirVPN (ipv4) und HE Tunnelbroker (ipv6). Nun, das solche Server so g\u00fcnstig sind, hat den Hintergrund, dass eine gewisse Mischkalkulation gemacht wird. Das wiederum bedingt, dass es im Interesse des Providers ist, dass nicht einzelne Superheavy-User mehr Ressourcen nehmen wie allgemein einkalkuliert ist. Wir werden uns also kurz oder lang von dieser relativ schlanken L\u00f6sung trennen m\u00fcssen.<\/p>\n

Wenn man also eh schon auf der Suche ist, warum sollten wir dann nicht grunds\u00e4tzlich dar\u00fcber achdenken was wir tun. Die St\u00f6rerhaftung ist bald weg, es g\u00e4be also keinen Grund mehr f\u00fcr Freifunk mit diesem ganzen komischen VPN und den OpenWRT\/LEDE-Firmwares, die nicht ganz so schnell sind… Oder? Oder doch?<\/p>\n

Unsern Richtfunkbackbone direkt ans Gateway anst\u00f6pseln!<\/strong><\/p>\n

Wir haben in Kitzingen lange an einem Richtfunkbackbone gebaut. Dieser Treibt, je nachdem wie er eingestellt wird, 600 Mbps synchron durch die Luft. Eigentlich geil. Aber so bald das wieder ins Internet muss, haben wir ein Problem: VPN.<\/p>\n

Deswegen ist, wenn man grunds\u00e4tzlich dr\u00fcber nachdenkt, der erste wichtige Punkt, dass man Datentransfer ohne VPN zu unserem Gateway bekommt. Dieser Punkt ist sozusagen elementar.<\/p>\n

Weil wir kein Geld f\u00fcr ewig gro\u00dfe Lichtwellenleiteranmietung haben, muss unser Gateway also n\u00e4her zu uns.\u00a0Im Prinzip gibt es 3 Anbieter\/Optionen, die wir als Freifunker aus Kitzingen lokal haben, alle sind in oder nah dran an W\u00fcrzburg. In Kitzingen selbst gibt es unserer aktuellen Kenntnis nach keine solche Colocation\/Rechenzentrum-Infrastruktur oder Anbieter, die f\u00fcr uns interessant sind.<\/p>\n

Wir wollen also unser Gateway direkt per Richtfunk erreichen, wobei es nur noch besser ginge, wenn wir irgendwo eine Lichtwellenfaser von Kitzingen zu unserem Gateway finden w\u00fcrden. Anyways, W\u00fcrzburg sind nur 15 km entfernt, es findet sich schon auch mit Richtfunk ein Weg mit 2 oder 3 Hops zwischen drin.<\/p>\n

Der Gewinn f\u00fcr unseren Gateway-Betrieb ist, dass wir nicht alles doppelt – rein und raus – durch den Anschluss vom Gateway schieben m\u00fcssen. Wir sparen Bandbreite und je nachdem auf welches Abrechnungsmodell wir gehen (Flat, Burst, 95 th percentile) sparen wir auch Geld gegen\u00fcber VPN.<\/p>\n

BGP please, Netze und AS Nummer<\/strong><\/p>\n

BGP ist ein Routingprotokoll. Es sorgt daf\u00fcr, dass autonome Routersysteme die Route f\u00fcr Traffic kennen, auch wenn diese niemand “manuell” eingestellt hat. Im prinzip funktioniert das so: Jeder sagt welche Netze ihm geh\u00f6ren und k\u00fcndigt die entsprechend allen Nachbarn an. BGP ist quasi die Eingangsvoraussetzung, wenn man langfristig plant ein Gateway zu betreiben – und dabei nicht nur mit einem Provider, sondern m\u00f6glichst mit allen anderen ISPs und Providern, die man erreichen kann, Traffic direkt auszutauschen. Dieses direkte Austauschen von Traffic nennt man Peering. Peering spart Transit und Transit kostet Geld.<\/p>\n

Um das verst\u00e4ndlich herunter zu brechen: Sie haben beispielsweise einen DSL-Anschluss, das ist quasi wie “Transit”, sie geben alles zum DSL-Anschluss, der k\u00fcmmert sich darum egal ob jemand in Japan oder der Nachbar die Datenpakete empf\u00e4ngt. Mit ihrem Nachbarn machen Sie nun einen Deal, ihre Backups speichern Sie auch noch mal in seinem Haus, damit wenn ihr Haus abbrennt, kein Datenverlust entsteht. Jetzt ist das aber doof, alles durch das 10.000er DSL durchzuw\u00fcrgen. Sie machen eine direkte Leitung zu ihrem Nachbarn. Das w\u00e4re dann sozusagen das “Peering”.<\/p>\n

Um mit anderen Autonomen Systemen eBGP zu machen, braucht man selbst eine AS Nummer. Wir arbeiten bislang nur mit einer privaten AS-Nummern – aber das soll ja nicht so bleiben. Also kommt noch dazu, dass wir uns w\u00fcnschen, das unser neuer regionaler Provider uns eine AS Nummer besorgt.<\/p>\n

Dann brauchen wir nat\u00fcrlich auch eigene Netze. Derzeit ist ipv4 defakto ersch\u00f6pft, PI-Netze (also IP-Adressen die uns und nicht dem Provider geh\u00f6ren) werden nicht mehr herausgegeben oder m\u00fcssen teuer gekauft werden. Eine M\u00f6glichkeit ist eine Ripe Mitgliedschaft, aber auch diese ist teuer. Bei BGP wird mindestens ein \/24 ben\u00f6tigt um jemand anderem irgendwas zu announcen – also 250+ Adressen. Viel zu viel f\u00fcr uns.<\/p>\n

Deswegen wollen wir ein \/29 PA-Netz (IP-Adressen geh\u00f6ren dem Provider) um unser Gateway und ein paar Dienste wie nextcloud, Email und Moitoring, im legacy-IP-Adressbereich erreichbar zu halten. In den WLANs werden private IPv4-Adressen ausgegeben (10.0.0.0\/8), d.h. das Gateway macht hier NAT.<\/p>\n

Es gibt bei ipv4 keine Ber\u00fchrungspunkte zwischen der Firmware und welche Adressen man nutzt. Das ist aber bei dem ipv6-Bereich anders: Hier geben wir \u00f6ffentliche ipv6-Adressen auch im WLAN aus. Aufgrund von Sicherheitseinstellungen, dem sogenannten “Chaos Calmer”, bekommt die Firmware unsere Netze eingepresst. Dadurch kann die Firmware im Access Point alles wegwerfen, was nur st\u00f6rt und Chaos verursacht. Um das in Zukunft nicht mehr \u00e4ndern zu m\u00fcssen, wollen wir also ein \/48 ipv6-Netz das bei uns bleibt.<\/p>\n

Dann k\u00f6nnen wir zwar nur ipv6 BGP, aber wer implementiert heute, in 2017, noch ipv4 neu? Wir sehen fast immer \u00fcber 40% ipv6-Traffic, in manchen Spitzen auch mal 80%. Es gibt keinen Grund einem immer kleiner werdenden Anteil an ipv4-Traffic noch Geld hinterzuwerfen um ein announcebares \/24 zu bekommen.<\/p>\n

Was darf’s Kosten?<\/strong><\/p>\n

Wenn wir Geld sammeln um ein neues Projekt zu machen, ist die Finanzierung in den seltensten F\u00e4llen ein Problem. Einmalige Kosten, projektbezogen, sind kein Problem. Es findet sich immer jemand der das jeweilige Projekt ausreichend geil findet, Standort X an den Richtfunk-Backbone anzubinden oder irgendwie dort WLAN zu haben, um es zu finanzieren.<\/p>\n

Anders stellt sich das ganze dar, wenn es um laufende Kosten geht. Quasi keiner hat Interesse, laufende Kosten zu tragen. Die Folge f\u00fcr uns ist ganz einfach: Kaufen vor mieten, wo sich regelm\u00e4\u00dfige Zahlungen vermeiden lassen, vermeiden wir sie. Das ist aber keine Option, wenn man Traffic\/Transit etc. einkaufen muss oder sich in ein Rechenzentrum einmieten muss. Irgendwas wird man wohl regelm\u00e4\u00dfig zahlen m\u00fcssen.<\/p>\n

 <\/p>\n

Im n\u00e4chsten Blogpost berichten wir dann was wir gefunden haben…<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit etwa einem Monat suchen wir nach einem neuen Standort f\u00fcr unser Gateway. In diesem Beitrag wollen wir erkl\u00e4ren warum und was wir suchen. Aktuell l\u00e4uft unser Gateway auf einem kleinem virtuellen Server. Der ist kr\u00e4ftig was CPU angeht, verspricht bis zu einem Gigabit und auch relativ kosteng\u00fcnstig. Offloading erfolgt […]<\/p>\n","protected":false},"author":6,"featured_media":1493,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,69],"tags":[65,62,64,68,63,66,67],"_links":{"self":[{"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/posts\/1479"}],"collection":[{"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1479"}],"version-history":[{"count":0,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/posts\/1479\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/media\/1493"}],"wp:attachment":[{"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1479"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1479"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/freifunk-kitzingen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}