Archiv der Kategorie: Netzwerk

Neue Firmware Version 2020.2.3+mwu1 (stable)

Hallo Freifunkas in Mainz, Wiesbaden und Umgebung,

da wir mit der neuen Firmware in den letzten Wochen keine Probleme feststellen konnten, haben wir uns dazu entschieden diese als stable zu veröffentlichen.

Wie in den letzten Ankündigungen bereits erwähnt, basiert diese auf Gluon 2020.2.3 und bringt als größte Änderung WPA3 und Opportunistic Wireless Encryption (OWE) für die WLAN-Verbindungen mit.

Wenn die Hardware die entsprechenden Voraussetzungen erfüllt, wird neben der normalen unverschlüsselten Freifunk SSID eine weitere ausgestrahlt, die um die Buchstaben „OWE“ ergänzt ist. Wenn ihr euch mit dieser verbindet, ist die Verbindung von eurem Endgerät zum Freifunk-Knoten verschlüsselt. Da sowohl WPA3 als auch OWE noch sehr neu sind, benötigt ihr ein aktuelles Betriebssystem, um die neuen Funktionen nutzen zu können: iOS ab Version 13, Android ab Version 10, MacOS X ab Catalina, und Windows 10 ab Version Mai 2019.

Außerdem wurden eine Reihe von Fehler behoben, mehr Details dazu findet ihr wie immer in den Gluon-Release-Notes.

Gluon Release-Notes:

MWU Gluon-Konfiguration:

https://github.com/freifunk-mwu/sites-ffmwu/releases/tag/2020.2.3+mwu1

Gluon Source Code: https://github.com/freifunk-gluon/gluon/releases/tag/v2020.2.3

Link zur Firmware: https://wizard.freifunk-mwu.de

Viele Grüße

das Firmware-Team

Neu unterstützte Geräte:

  • Cudy WR1000
  • EnGenius ENS620EXT
  • GL.iNet GL-AR750S
  • Linksys EA6350 (v3)
  • NETGEAR DGN3500B
  • TP-Link CPE210 (v3)
  • TP-Link CPE220 (v3)
  • TP-Link TD-W8970

Neue Firmware Version 2020.2.2+mwu2 (testing)

Hallo Freifunker in Mainz, Wiesbaden und Umgebung,

leider gab es in einem der zurückportierten Kernel-Patches einen Bug, der zu einem Deadlock von Netzwerk-Interfaces führen kann. Die neue Version 2020.2.2+mwu2 behebt diesen Fehler.

Viele Grüße

das Firmware-Team

Informationen zu Betrieb und Datenverarbeitung des Jitsi-Servers der Freifunk-Community Mainz/Wiesbaden/Umgebung (MWU)

Hier wollen wir Informationen zum Betrieb und zur Datenverarbeitung des Jitsi-Servers der Freifunk-Community Mainz/Wiesbaden/Umgebung (MWU) transparent machen.

Einleitung

Bei Freifunk handelt es sich um eine Initiative, in der sich Organisationen und NutzerInnen zusammen geschlossen haben, um gemeinschaftlich freie Netze und Dienste zu betreiben und anderen anzubieten. Die Dienste der Freifunker stehen der Allgemeinheit zur freien Nutung zur Verfügung und können ohne Entgelt, aber auch ohne Service-Level-Agreements genutzt werden. Alle Menschen eingeladen, Dienste aus dem Freifunk-Netz zu nutzen und selbst Dienste anzubieten.


Selbstverständnis

Wir Freifunker halten Privatsphäre und Datenschutz für ein sehr hohes Gut und versuchen daher auch auf unseren IT-Systemen maximalen Datenschutz und Transparenz über die Datenverarbeitung zu gewährleisten.Im Folgenden versuchen wir daher, das technische Setup und die Datenverarbeitung nach bestem Wissen und Gewissen zu beschreiben. 
Wir weisen vorweg schon darauf hin, dass es sich bei Freifunk um ein experimentelles Netz handelt und wir den Einsatz moderner Software erproben und dabei Erfahrungen sammeln. Es kann daher kein ausfallfreier oder einklagbarer Betrieb unserer Dienste erwartet werden.  Im Rahmen unseres ehrenamtlichen Engagements zur Erfoschung freier Netze und Dienste geben wir aber unser bestmögliches.

Wer betreibt den Jitsi-Server?

Die Freifunk Community für Mainz, Wiesbaden und Umgebung (MWU).

Wo steht der Server?

In Deutschland.

Welche Daten werden erhoben, gespeichert und verarbeitet?

Bei dem Dienst „Jitsi“ handelt es sich um eine freie Videokonferenz-Software, die wir auf den Servern der Freifunk-Community zur allgemeinen, kostenfreien Nutzung betreiben. Der Quelltext der Software kann auf folgender Website eingesehen werden: https://github.com/jitsi


Bei der Benutzung der Software loggen sich Nutzer mit einer App oder einem Browser in eine Videokonferenz ein. Dabei fallen einerseits technische Logging-Daten an, die zum Betrieb der Software nötig sind. Andererseits können Nutzerinnen und Nutzer sich sog. Nicknames geben, die ebenfalls, für die Dauer der Sitzung, gespeichert und den anderen TeilnehmerInnen bekannt gemacht werden.


Die Logs auf unseren Servern sind so minimal wie möglich gehalten. Nur in den Werbserver- und Jitsi-Logs kann es dazu kommen, dass Nicks/Channels/IPs geloggt werden, wenn ein Fehler auftritt. Diese Daten werden zur Sicherstellung der Funktionsfähigkeit des Dienstes erhoben. Nach einem Tag werden die Logs gelöscht.


Der XMPP-Server, der die Channels verwaltet, läuft nur mit einer InMemory-Datenbank. Video/Audiostreams und die IP-Adressen der TeilnehmerInnen müssen natürlich für die Dauer der Jitsi-Sitzung im Speicher gehalten werden, sonst könnte keine Konferenz stattfinden. Die Video-Streams gehen sogut wie immer durch unsere Server, außer in dem (seltenen) Fall, dass es eine Zweier-Konferenz gibt, bei der eine direkte P2P-Verbindung aufgebaut werden kann.


Ansprechpartner

Freifunk Community Mainz, Wiesbaden und Umgebung

Digitale Vernetzung: Freifunker bieten jetzt offenes, kostenloses Video-Konferenz-System an

Um Menschen zu verbinden und der digitalen und sozialen Isolation vorzubeugen, bieten die Freifunker aus Mainz, Wiesbaden und Umgebung jetzt ein offenes, kostenloses Video-Konferenz-System für alle an.

Das System bietet allen Menschen die Möglichkeit, auf einfache Weise über die Website eine neue Videokonferenz zu starten und sich mit anderen Menschen auf dem Rechner oder dem Mobiltelefon per Videotelefonie auszutauschen.

Zu finden ist die Videokonferenz-Lösung über den einfach zu merkenden Link https://meet.freifunk-mwu.de

Auf der Website gibt man dann den Namen des Meetings ein und schon kann es losgehen. Eine Registrierung ist nicht erforderlich. Die Lösung kann kostenlos genutzt werden. Die Lösung basiert auf der Open-Source-Software „Jitsi Meet“ , wird auf den Servern der Freifunker aus Mainz, Wiesbaden und Umgebung betrieben, und stellt eine verschlüsselte Verbindung her.

Nutzung per App (empfohlen)

In den gängigen App-Stores findet sich die App „Jitsi Meet„, mit der man auf dem Smartphone oder Tablet bequem videokonferenzen kann. Sie funktioniert sehr gut.

Standardmäßig ist in der App als SERVER erstmal eine eigene Instanz von Jitsi hinterlegt, auf dem man Konferenzen starten kann. Will man einem Meeting auf unserem Freifunk-Server beitreten, muss man als Meeting-Name den ganzen Link rein kopieren z.B. „https://meet.freifunk-mwu.de/Test

Wenn man mit der App eigene Meetings auf dem Freifunk-MWU-Server erstellen will oder nicht ständig den ganzen Link kopieren oder abtippen will, kann man in den Einstellungen der App auch den Standard-Server einfach ändern auf meet.freifunk-mwu.de

Nutzung im Browser

Im Browser wird man nach der Freigabe von Webcam und Mikrophon gefragt, die man natürlich bestätigen muss, wenn man sich sehen und miteinander reden will. Empfohlen wird aktuell Chrome. Mit Firefox gibt es noch Probleme. Wer auf Nummer sicher gehen will, sollte die App nutzen.

Offloader-Workshop am 23. August 2018 um 19 Uhr in Mainz

Lieber Freifunkerinnen und Freifunker,

am Donnerstag, den 23. August 2018, um 19 Uhr veranstalten wir einen kleinen Workshop rund um die Konfiguration von Offloadern, also leistungsfähigeren Routern, die auch die Bandbreite von VDSL- oder Kabel-Anschlüssen ins Freifunk-Netz bekommen.

Wir treffen uns dazu im Jugendhaus Don Bosco, Am Fort Gonsenheim 54, 55120 Mainz. Parkplätze und Bushaltestelle (Kettlerkolleg) sind vorhanden.

Herzliche Einladung an alle Interessierten.

Facebook-Event dazu, siehe hier

Neue Freifunk-Firmware für Mainz, Wiesbaden und Umgebung (Version 2016.2.5+mwu1 (stable))

Schöne Neuigkeiten vom Firmware-Team:

Hallo Freifunkas in Mainz, Wiesbaden und Umgebung,
 
nachdem es die beiden vorherigen testing-Versionen aufgrund von Fehlern nicht nach stable geschafft haben ist es nun soweit, mit 2016.2.5+mwu1 haben wir seit Heute eine neue stable-Version. Eure Knoten sollten sich innerhalb der nächsten 5 Tage automatisch aktualisieren wenn der Autoupdater auf stable eingestellt ist. Da es in der bisherigen Version einen Fehler gab der dazu führt, dass der Autoupdater gegebenenfalls hängen bleibt ist unter Umständen ein Neustart des Knotens nötig.
 
Gluon Source Code: https://github.com/freifunk-gluon/gluon/releases/tag/v2016.2.5
Gluon Release-Notes: https://gluon.readthedocs.io/en/stable/releases/v2016.2.5.html
MWU Gluon-Konfiguration: https://github.com/freifunk-mwu/sites-ffmwu/releases/tag/2016.2.5+mwu1
 
Link zur Firmware Mainz: https://firmware.freifunk-mainz.de/stable
Link zur Firmware Wiesbaden: https://firmware.wiesbaden.freifunk.net/stable
 
Happy Flashing wünscht,
das Firmware-Team

Neue Knotenkarte (Meshviewer) für Freifunk Mainz, Wiesbaden und Umgebung

Aktuelles vom Admin-Team:

Hallo Freifunkas in Mainz, Wiesbaden und Umgebung,

aus verschiedenen Gründen planen wir, die Software zu erneuern, die uns
unsere Karten malt. Wer die Details, unten, gelesen und die neue Karte
ausprobiert hat, soll uns gerne hier Feedback geben. 
Die Abschaltung der alten Karteninfrastruktur ist für den 20.4. geplant.

tl;dr https://mapng.freifunk-mwu.de

Seit Version 0.3 [1] enthält unsere Firmware den Dienst respondd [2].
Dieser läuft seit dem parallel zu alfred [3]. Beide Dienste haben
die gleiche Aufgabe, nämlich die Daten für unsere Knotenkarten
bereitzustellen.

Im Gegensatz zu alfred flutet respondd nicht periodisch das Netz mit
all seinen Statusinformationen, sondern sendet diese nur auf Anfrage.
Dies gibt uns z.B. die Möglichkeit das Datenaufkommen im Netz gezielter
zu steuern, in dem wir bei Bedarf die Frequenz der Abfragen reduzieren.

Bisher gab es außer HopGlass [4] keine wirkliche Alternative, um die
Daten über respondd abzufragen und zu visualisieren. Außerdem war
eine Übernahme der bisherigen Daten nicht ohne größeren Aufwand
möglich.

Auf dem letzten Hessen Meetup haben wir dann von Yanic [5] erfahren
und noch am selben Tag eine Testinstallation aufgesetzt.
Yanic bietet fast alles was wir benötigen und die fehlenden Sachen,
wie z.B Multi-Community-Support, konnten mit wenig Aufwand hinzugefügt werden.
Außerdem hat es die Möglichkeit unsere alten RRD Statistiken in die
von Yanic verwendete InfluxDB zu importieren, was uns die Möglichkeit
gibt die gespeicherten Daten in moderner und ansehnlicher Form aufzubereiten.

Da wir Aufgrund der begrenzten Ressourcen in den kleinen Plastikroutern
natürlich nicht ewig alfred und respondd in unserer Firmware pflegen wollen,
möchten wir das alte, seit über 2 Jahren nicht mehr weiterentwickelte,
Kartenbackend [6] so schnell wie möglich loswerden und alfred aus unserer
Frimware entfernen.

Im gleichen Zug gibt es auch einen aktualisierte Meshviewer, der durch den
Freifunk Regensburg einige neue Features [7] spendiert bekommen hat und
deutlich flüssiger auf schwachen/mobilen Endgeräten läuft, als die bisherige
Version.

Um die Last auf unseren Servern zu verringern, haben wir darauf verzichtet,
eigene Karten für die einzelnen Communities zu genieren, da wir die zwei
Klicks zum Filtern nach einer bestimmten "Site" für vertretbar halten.

Aber genug der Worte!

Karte:     https://mapng.freifunk-mwu.de
Statistik: https://stats.freifunk-mwu.de

Viele Grüße
das Admin-Team

[1] https://github.com/freifunk-mwu/site-ffmwu/releases/tag/0.3
[2] https://github.com/freifunk-gluon/packages/tree/master/net/respondd
[3] https://www.open-mesh.org/projects/alfred/wiki
[4] https://github.com/hopglass
[5] https://github.com/freifunk-mwu/yanic
[6] https://github.com/ffnord/ffmap-backend/commits/master
[7] https://github.com/ffrgb/meshviewer/blob/develop/README.md

IPv6-Optimierungen im Freifunk Mainz, Wiesbaden und Umgebung (MWU)

Seit der Aktivierung öffentlicher IPv6 Adressen für alle Clients hatten wir aufgrund unser Netzstruktur einen ungünstigen Datenfluss bei ein- und ausgehenden IPv6-Verbindungen. Weil Datenpakete nicht den kürzesten Weg durch unser Netz genommen haben, sondern intern weiter verteilt werden mussten, hat dies zu einem unnötigen Bandbreitenverbrauch geführt. Das Verhalten hat uns einiges an Kopfzerbrechen bereitet, letztendlich hat unser Admin-Team aber eine Lösung gefunden, die in den letzten Wochen stückweise aktiviert und verprobt wurde.

Das Problem

Unsere Freifunk MWU-Netze (Mainz, Wiesbaden und Umgebung) bestehen aus vielen kleinen Teilnetzen die mittels B.A.T.M.A.N. Advanced zu einem großen virtuellen Layer 2 Netzwerk zusammengeschaltet werden. Innerhalb dieser Netze kann jedes Gerät direkt mit allen anderen kommunizieren. In jedem dieser Netze gibt es vier Gateways die im wesentlichen drei Aufgaben haben. 1) Sie sind die VPN Gegenstelle für alle Knoten, 2) Default Gateway für alle Clients und 3) kümmern sich und die Ausleitung des Internetverkehrs über den Freifunk Rheinland. Aufgrund dieser virtuellen Netztopologie wissen die Endgeräte nichts über die wirkliche Struktur des Netzes.

Dies war solange kein Problem, wie wir extern nur über IPv4 kommuniziert haben, da jedes Gateway eine eindeutige Adresse hatte und sämtlicher Internetverkehr der Clients mit diesen geNATet wurde. Hierdurch konnte der Freifunk Rheinland immer eindeutig zuordnen über welches Gateway die Verbindung initiert wurde und hat die Daten immer auf dem für uns kürzesten Weg übertragen.

Mit IPv6 ist es aber nicht mehr nötig NAT einzusetzen (Nein, NAT ist kein Sicherheitsfeature!) da 2^128 Adressen verfügbar sind, dass sind ca. 600 Billiarden Adressen pro mm². Ohne NAT wird die Adresse bei ausgehendem Datenverkehr nicht mehr durch die des Gateways ersetzt wodurch die Systeme des Freifunk Rheinland nicht mehr zuordnen können über welches Gateway die Anfrage gesendet wurden und senden die Daten an das erstbeste. Unsere Gateways müssen sich dann darum kümmern die Daten intern an das Gateway weiterzuleiten über welches die Daten angefragt wurden. Da diese, wie bereits erwähnt, bei verschiedenen Hostern stehen entsteht ein unnötige Belastung der verfügbaren Bandbreite.

Die Lösung

Wir haben verschiedene Ansätze diskutiert und kamen am Ende nur zu einer Lösung. Wir müssen unsere Netze (/48) in kleinere Subnetze (/56) segmentieren. Gesagt, getan. Seit ein paar Tagen besitzt jedes Gateway sein eigenes Subnetz. Leider ist dies nur die halbe Lösung da es nur für eingehende Daten hilft. Durch unser Layer 2 Netz erhält jeder Client die Router Advertisements (im folgenden kurz RA genannt) von allen Gateways und trägt sich deshalb auch alle vier als Default Gateway ein. Da der Client nicht weiß, an welches Gateway der Knoten per VPN verbunden ist, kann er keine qualifizierte Entscheidung treffen, welches Gateway für ihn das Nächste ist.

Glücklicherweise haben sich bereits andere kluge Menschen darüber die Köpfe zerbrochen und ein Programm namens gluon-radv-filterd entwickelt. Dieses Programm muss auf den Knoten laufen und ist seit der Version 2016.2.2+mwu1 in unser Firmware enthalten. Die Funktion ist relativ einfach zu verstehen: Alles was das Programm tut, ist, sich jedes eingehende RA Paket anzuschauen und zu prüfen welche Verbindungsqualität (TQ) B.A.T.M.A.N Advanced zu der Gegenstelle hat die dieses gesendet hat. Anschließend wird eine Filterregel erstellt die alle RAs verwirft die nicht von der Gegenstelle mit der besten TQ kommen. Da die TQ mit jedem Hop sinkt können wir sicher sein, dass das RA Paket mit der besten TQ vom nächstgelegen Gateway kommt.

Bei Fragen oder Feedback wendet euch bitte an die Maschinenraum-Liste.

Erste WebCam im Mainzer Freifunk-Netz

Funkamateure sind bekannt dafür, dass sie gerne mal was Neues ausprobieren. Basteln mit Freifunk zu verbinden bietet sich da an. Eine WebCam mit einem Raspberry-PI 2 in den Räumlichkeiten des DARC Ortsverband Mainz zu installieren lag da nahe. Warum? Weil wir im unseren Clubraum im obersten Stockwerk des historischen Holzturms am Rande der Mainzer Altstadt einfach eine geile Sicht über die Stadt haben.

2016-10-10-11_05_14-mobilcam-user-ffmz-org_8080Unter http://mobilcam.user.ffmz.org:8080 könnt ihr Euch den Livestream 24/7 anschauen und an der tollen Aussicht teilhaben..

Empfangsberichte bitte an Wolfgang schicken.

 

Aktivierung von öffentlichen IPv6-Adressen im Mainzer Freifunk-Netz ab 15. September 2016

mitarbeiter des monatsSchon seit Längerem planen wir die Aktivierung von öffentlichem IPv6 im Mainzer Freifunk-Netz. Beim letzten Community-Treffen haben wir jetzt nochmal ausgiebig darüber diskutiert und unser Votum abgegeben, dass wir die Umstellung nun sobald wie möglich angehen wollen.

Dazu sind wir nochmal die Vor- und Nachteile durchgegangen und haben besonders zwei Punkte nochmal diskutiert, die bei den letzten Treffen und auf unserer allgemeinen Community-Mailingliste kritisch angemerkt wurden.

Erstens die nach Umstellung weltweite Sichtbarkeit von Kontaktdaten in den Freifunk-Knoten. Schließlich ist jeder Knoten dann ja weltweit erreichbar und bietet auf seiner IPv6-Adresse auch seine Webseite an. Hier gab es beim Treffen wie auch auf der Mailingliste kritische Stimmen, die sagten, dass sie nicht gerne hätten, dass ihre Kontaktdaten dann in noch größerem Stil abrufbar seien. Hierfür brauchen wir also auf jeden Fall eine Lösung. Diese kann Opt-Out (wer will, löscht seine Daten) oder Opt-In (wir löschen alle Daten mit dem nächsten Update und wer will, trägt sie wieder ein) sein. Wir haben uns für Opt-Out entschieden, mehr dazu siehe unten.

Das zweite Thema war die Angreifbarkeit der einzelnen Endgeräte: Mit öffentlicher IPV6 sind auch die Endgeräte dann zukünftig ja weltweit erreichbar, also auch angreifbar. Hier haben wir hin und her überlegt und uns Gedanken über die Verantwortung gemacht, die wir auch für unsere Netz-Nutzer mit tragen.

Klar ist: Wir wollen gemäß Pico-Peering-Agreement keine Eingriffe in den Datenverkehr, also auch keine Inhalte-Filterung, also auch keine Firewalls im Freifunk. Wir wollen Netzneutralität und einen „Free Flow of Information“.

D.h. wir müssen uns bewusst sein: Durch IPv6 steigt der Angriffsvektor auf die Endgeräte und wir werden keine Schutzmechanismen wie Firewalls im Freifunk-Netz etablieren, d.h. jede*r NutzerIn muss zukünftig noch mehr dafür sorgen, dass sein Endgerät möglichst sicher ist. Allerdings: Das müssen die NutzerInnen heute schon! Die NutzerInnen dürfen sich auch heute nicht drauf verlassen, dass ein öffentliches WLAN sie vor irgendwas schützt.

Auch heute schon werden alle WLANs in der Regel einfach so genutzt, ohne dass NutzerInnen wissen, ob ein NAT verwendet wird oder nicht und ob eine Firewall verwendet wird oder nicht. Die Endgeräte müssen damit also generell klar kommen und mit immer mehr offenen Netzen auch darauf ausgelegt und vorbereitet werden.

Und auf der anderen Seite ist es so, dass es für uns heute schon eine schwierige Situation ist, kein IPv6 anzubieten. Kein IPv6 anzubieten, bedeutet schließlich auch, Kommunikation netzseitig zu verhindern.

Insgesamt sind wir nach Abwägung aller Argumente zu dem Schluss gekommen, dass wir IPV6 via Freifunk Rheinland-Backbone auf den Gateways aktivieren wollen, d.h. das Admin-Team darum bitten werden, dies zu tun.

Wir haben uns folgende Vorgehensweise überlegt:

  1. Damit niemandes Kontaktdaten gegen seinen Willen im Netz abrufbar sind, weisen wir Alle auf die Umstellung hin und erklären, wie sie ihre Kontaktdaten löschen können, wenn sie das wollen. Wir schreiben dazu einen Blogbeitrag (this) und senden eine Mail an alle, die eine Adresse hinterlegt haben. Wer keine Mail-Adresse hinterlegt hat, aber eine Telefonnummer, den rufen wir an (das sind hoffentlich nur ganz wenige).
  2. Zum 15. September aktivieren wir dann öffentliches IPv6 im Mainzer Freifunk-Netz. Außerdem erklären wir in einem weiteren Blogbeitrag und ggf. per Pressemitteilung, dass und wie man sich in öffentlichen WLANs schützen sollte.

Bis zur Umstellung haben wir jetzt also noch ca. einen Monat Zeit, Alle zu informieren. Wer will, kann seine Kontaktdaten bis dahin manuell rauslöschen.

Bei Fragen oder Anmerkungen, kommentiert gerne hier im Blog oder auf unserer Mailingliste.