| |
todo [2015/01/06 16:51] – [Für 0.4] mwarning | todo [2023/06/04 11:32] (aktuell) – Externe Bearbeitung 127.0.0.1 |
---|
==== monitoring ==== | ==== Gateways ==== |
Unsere Gateways müssten mal überwacht werden. Dazu soll vpn3 Daten mittels collectd einsammeln und graphisch aufbereiten. | * ISC-DHCPD durch KEA ersetzen |
| * OpenNIC wird durch unbound meistens nicht aufgelöst |
| * .ffbi wieder einrichten |
| * DNS-Anycast |
| * BCP38 |
| |
==== Website ==== | ==== BGP-Router ==== |
Verbesserung der neuen Website. | * tinc auf bgp2 |
| * ICVPN IPv6 geht nur teilweise |
| |
* IPs im ICANN-Net | ==== monitoring ==== |
* inet4: 134.255.239.70 | * Monitoring bird |
* inet6 2a02:d40:3:6::8af:95c3 | * zumindestens FFRL-Sessions |
* inet6 2a02:d40:3:6::2bad:5960 | * VM-Hosts |
* inet6 addr: 2a02:d40:3:6::be04:1c79 | * Platten |
* inet6 addr: 2a02:d40:3:6::7ab:a9b1 | |
* inet6 addr: 2a02:d40:3:6::d9ac:b239 | |
* Verbesserungen am FFBI Theme | |
* den Footer anpassen für ein schöneres Design | |
* <del>verbesserte Einbindung des Logos im Kopfbereich hinsichtlich der Ansicht von Mobilgeräten (Bild skaliert nicht)</del> | |
* <del>Es gibt ein Update vom Theme twentythirteen. Evtl. muss unser FFBI Childtheme angepasst werden.</del> | |
| |
| |
==== Für 0.4 ==== | |
* wenn vlans eingerichet werden über die gemesht wir, dann beschwert sich batman-adv das die die selbe IP-Adresse haben. | |
* Anscheinend muss eine andere MAC-Adresse explizit gesetzt werden | |
* Eine Liste mit Links auf der Statusseite zu den Statusseiten der direkten Nachbarknoten | |
* das Problem ist das die MACs der Nachbarn von batman-adv stammen und nicht die von br-public sind! | |
* entweder fixen oder die Liste wieder ausbauen | |
* wenn IPv6 nativ auf WAN verfügbar ist, kann das mit dem Freifunknetz in Konflikt geraten ([[https://github.com/freifunk-gluon/packages/commit/c4ee0e650b648efb6c1bad936f6c8775dc1eecf6|fix von gluon]] nehmen?) => bodems | |
* soweit unser [[https://github.com/freifunk-bielefeld/firmware/commit/7b0eacef1ac7a4e7f96339b023807c6374a59aec|commit]] | |
* anscheinend sorgt das relay zwischen br-public/br-private dafür das ein Route fdef:17a0:ffb1:300::/64 auf br-wan gesetzt wird...wtf? | |
* Testen das Router Advertisments nicht von WAN zu br-public announced werden | |
* WAN wurde zu bridge gemacht, aber radio0_wan kann man nicht bridgen => WDS nutzen | |
* muss noch getestet werden ob das jetzt läuft | |
* WLAN STA (als WAN) blockiert system beim start wenn die anmeldung nicht gelingt | |
* https://forum.openwrt.org/viewtopic.php?id=51360 | |
* Anstatt /sys/devices/virtual/net/br-lan/bridge/multicast_snooping auszustellen könnte man besser multicast_querier, austellen - das war bei Linux Kernel <= 3.4 default | |
* <del>iPhones können sich nicht verbinden => war eine falsche Konfiguration => done</del> | |
* das könnte die bessere Lösung sein - mal nachschauen was die Optionen genau machen! | |
* <del>Freifunk TLD über LAN aufrufbar machen- war in der 0.3 kaputt (rebind protection war an :/)</del> | |
* <del>muss noch getestet werden ob das jetzt funktioniert => läuft</del> | |
* <del>ebtables überarbeiten damit ungewollte multicasts nicht das Netz verstopfen</del> | |
* <del>muss noch getestet werden ob das jetzt funktioniert</del> | |
* <del>Rate gewollter multicasts limitieren? => done</del> | |
* <del>Neues Design für die Statusseite => joen/mwarning</del> | |
* <del>IPv4 Einträge aus /etc/dnsmasq.conf entfernen / aktualisieren => bodems</del> | |
* <del>Updatemechnismus für 0.3 auf 0.4 schreiben => mwarning</del> | |
* <del>ULA IPv6 adresse (statisch?) für den Router setzen (und auch in die /etc/hosts eintragen) => done</del> | |
* <del>DNS forwarder von IPv4 zu Ipv6 für das Freifunknetz testen</del> | |
* <del>/etc/hotplug.d/iface/40-freifunk setzt das noch nicht an der richtigen Stelle für dnsmasq</del> | |
* <del>next-node funktioniert nicht wirklich => geht jetzt über Eintrag in /etc/hosts</del> | |
* <del>Gateway feature ausbauen => bessere Trennung von Geräten die Infrastruktur bilden und denjenigen die Dienste anbieten (z.B. Gateway ins Internet)</del> | |
* <del>nodogsplash ist im feed für trunk nicht mit drin und wird nicht mehr gebraucht=> wurde entfernt</del> | |
* <del>auf batman-adv 2014.x aktualisieren</del> | |
* <del>A.L.F.R.E.D. für die Kartengenerierung einsetzen => done</del> | |
* <del>Firmware version, Koordinaten, Hostname falls gesetzt per Alfred an den Kartenserver übertagen</del> | |
* <del>104er und 105er Routen raus (104.0.0.0/8 wird jetzt von Akamai benutzt) => wir nutzen jetzt sowieso nur IPv6</del> | |
* <del>Freifunk-TLDs updaten => bodems</del> | |
* <del>MAC-Adresse über die Web-GUI konfigurierbar machen (nur im Erweiterten Modus)</del> | |
* <del>Jeder Router kann über die Web-GUI einen Link definieren der auf der Statusseite jedes anderen Routers angezeigt wird</del> | |
* <del>ein Prefix über Router Advertisments nur lokal verteilen => zu viele hacks nötig, jeder router bekommt eine statische ULA-Adresse (EUI-64), das sollte reichen</del> | |
* <del>damit hat auch ein isoliertes Netz nicht nur link local Adressen (für die wäre immer die Angabe des Interfaces nötig, z.B. fe80::1%eth0) => man kann sich selber eine statische IP geben wenn man einen Server betreibt oder so</del> | |
* <del>Problem: Clients versuchen den Router dann auch auch Gateway zu nutzen (niedrige priority verwenden?) => SLAAC macht das eigentlich</del> | |
==== Für 0.3 ==== | |
* <del>vpn2 wird irgendwie nicht richtig als Gateway benutzt, obwohl es funktioniert, wenn mans manuell einstellt => gefixt</del> | |
* <del>Probleme mit OpenWrt trunk beheben (für neue Hardware)</del> | |
* <del>https://forum.openwrt.org/viewtopic.php?id=47708 (das bringt /etc/init.d/freifunk-setup.sh as der Bahn)</del> | |
* <del>https://forum.openwrt.org/viewtopic.php?id=47707 (das macht die /etc/dnsmasq.conf ungültig)</del> | |
* <del>"make menuconfig" => "error: recursive dependency detected" => kommt nicht mehr</del> | |
* <del>Problem mit Switch des wr1043nd-v2: https://forum.openwrt.org/viewtopic.php?id=47773</del> | |
* <del>Traffic shaping => simple-tc</del> | |
* <del>Automatisches [[autoupdate|Firmware-update]] (deaktivierbar / von FF Lübeck)</del> | |
* <del>Splash-Seite auch auf dem Router anzeigen lassen können wenn Leute auf das Internet zugreifen wollen.</del> | |
* <del>=> besser also HowTo - ansonsten schwer umsetzbar</del> | |
* <del>IPv6-Routen ins ICVPN</del> | |
* <del>Irgendwas mit Alfred (z.B. Services announcen oder Zugang zu anderen Netzen)?</del> => noch nicht | |
* <del>fastd auf Version 12 aktualisieren</del> | |
* <del>batman-adv auf 2014.1.0 aktualisieren => für 0.4</del> | |
* <del>BSSID ändern? (aktuell 12:CA:FF:EE:BA:BE), etwas ohne babe? => 12:CA:FF:EE:C0:BE</del> | |
* <del>WAN über WLAN macht Probleme</del> | |
| |
==== Für 0.2 ==== | |
* <del>fastd updaten auf v9 aktualisieren und die selber angepassten Pakete entfernen</del> | |
*<del>" fastd --generate-key --machine-readable" im setup script dauert zu lange und der Router startet neu ohnedas das setup-script zuende läuft. Es folgt einen ständiges neubooten!</del> | |
* <del> => partition war wegen einem vorherigen kaputten flashen readonly und fastd hatte sich vermutlich aufgehangen, jetzt läuft es wieder. Vielleicht hilft haveged aber dennoch für schwache Geräte wie die dem wrt54g?</del> | |
* <del>Z.Z. verkündet sich dnsmasq per IPv6 immer als Gateway - besser abstellen</del> | |
* <del>Wird jetzt gefiltert</del> | |
* <del>Anycast wird von mehreren Nodes beantwortet und sorgt für eine Nichterreichbarkeit der node</del> | |
* <del>Wir haben das Script von neoraider genommen/bekommen und angepasst - merci!</del> | |
* <del>dnsmasq sollte für private laufen, aber nicht für public</del> | |
* <del>DNS-Anfragen gehen nicht übers Freifunknetz</del> | |
* <del>=> DNS forwarding von dnsmasq abschalten => done</del> | |
* <del>node/freifunk im Browser funktioniert dann nicht mehr</del> | |
* <del>DNS für ICVPN-TLDs</del> | |
* <del>=> in /etc/dnsmasq.conf eintragen (z.B. server='/ffhl/10.x.y.z#53') => done</del> | |
* <del>Node vergibt nach Start nicht direkt IPv4-Adressen über public</del> | |
* <del>=> Änderungen im DHCP-Teil vom watchdog-script scheinen das Problem gelöst zu haben</del> | |
* <del>jeder router testet seinen Gateway auf internetzugang => funktioniert</del> | |
* <del>/sbin/mac2ip6 entfernen?</del> | |
* <del>nicht nötig solange keine ipv6 gateways announced werden</del> | |
* <del> => wird benötigt um die ipv6 für br-public zu generieren und auch für die Zukunft!</del> | |
* <del>mapping von mac => ip ergibt nicht die korrekte ip? => Ja</del> | |
* <del>für batctl debug output der gui noch nützlich => für ipv6 aktualisiert</del> | |
* <del>keine ipv6 Adressen für br-private</del> | |
* <del>macht wenig Sinn, oder ips für public verwenden => 6relayd ermöglicht jetzt ipv6 adressen des public Netzes im private Netz</del> | |
* <del>mdns und ipv4/ipv6 dhcp und ipv6 router advertisments blocken mit iptables/ebtables</del> | |
* <del>code aus ipv6 branch mit master mergen für dual stack</del> | |
* <del>routen für Intercity-VPN</del> | |
* <del>funktioniert derzeit nur in public oder wenn nichts an WAN angeschlossen ist</del> | |
* <del>DNS-Auflösung (.ffhl, .dn42) funktioniert derzeit nur, wenn nichts an WAN angeschlossen ist</del> | |
* <del>masala für P2P-DNS => KadNode</del> | |
* <del>soll den eigenen Namen noch direkt auflösen</del> | |
* testen :-) | |
| |
=== Sonstiges ==== | |
| |
* z.Z. geht ein dhcp request ungewollt über die batman-adv bridge auch an andere Nodes und wird davon auch beantwortet | |
* vom traffic her weniger tragisch weil batman die request per unicast and das gateway sended (wenn vorhanden, ansonsten broadcast) | |
* es wäre gut das zu filtern | |
* aber bridges erlauben kein Filtern | |
* 1. Möglichkeit: ebtables ([[http://ebtables.sourceforge.net/examples/basic.html#ex_config|hier]] bzw. [[https://forum.openwrt.org/viewtopic.php?id=6497|hier]]) oder ifconfig nutzen um eine Filterregel zu erstellen | |
* 2. Möglichkeit: batman patchen, sollten nur zwei Zeilen sein.. | |
* => Auf link local adressen wechseln - dann wird kein dhcp im mesh mehr benötigt | |
* Hilfetext einblenden | |
* Geschwindigkeitsschwankungen | |
* ist das Traffic Shaping durch den VPN Provider schuld? | |
* Maximalgeschwindigeit sollte um einiges höher sein | |
| |
==== Nice-to-have ==== | |
* Pirate-Box feature: Auflisten der Inhalte des USB-Sticks über eine Link auf der Statusseite. | |
* Herunter- und Hochladen von Dateien | |
* lighthttp anstatt von uhttpd nötig? | |
==== Ideen für v2 ==== | |
* Trafficshaping | |
* Jeder Router soll alle 5min testen ob der Gateway Internet hat | |
* Es fällt schwerer ein black hole zu erzeugen. (absichtlich oder durch irgendeine Störung) | |
* Die Auswahl des Gateways könnte so jeder Router selber treffen. | |
* <del>[[ipv6|IPv6]] => done</del> | |
* <del>radvd durch dnsmasq ersetzen => done</del> | |
* <del>http://www.linksysinfo.org/index.php?threads/ipv6-using-dnsmasq-for-ipv6-instead-of-radvd.68396/</del> | |
* <del>ebtables scheint nicht alles zu blocken, scheinbar funktionierende ebtables-Regeln sind auf der HS-Node</del> | |
* <del>Integration in das [[http://wiki.freifunk.net/IC-VPN|Intercity-VPN]] => done </del> | |
* <del>BGPv6 funktioniert immer noch nicht</del> | |
* Splashpage auf jeder Node, anstatt eine zentrale auf dem Gateway | |
* ermöglicht individuelle Splashpage, interessant für Cafébetreiber, die eigenes Logo einblenden wollen oder Privatpersonen, die Services im Netz anbieten, um darauf aufmerksam zu machen | |
* <del>Splashpage hochladen über Webinterface (einfacher als scp für Normalnutzer)</del> | |
* Autoupdate: automatische Updatefunktion für die Firmware | |
* Problem: der Router hängt vor einer SplashPage fest. :/ | |
* Per https nicht, könnte man eventuell über einen internen Update-Server machen | |
* Traffic shaping; damit ein Nutzer nicht die anderen benachteiligt | |
* aktuell wird der VPN-Gateway nur durch den geringen Upload der Internetanschlusse der Router limitiert. | |
* http://www.rooot.net/en/geek-stuff/openwrt/1-qos-openwrt.html | |
* Traffic Limit: Damit Freifunk den eigenen Internetanschluss nicht blockiert | |
* "Split-tunneling": Bestimmte IP-Netze über andere Gateways (z.B. Uni-VPN) | |
* <del>broadcasts etc. filtern damit das Netz damit nicht überflutet wird. => done</del> | |
* Portforwarding über Web-GUI | |
* Eigenes Zertifikat auf Router? | |
* <del>Freifunk-IPs im LAN verteilen aber lokalen Internetanschluss nutzen</del> | |
* <del>hm, wie soll das funktionieren? => done (6relayd) </del> | |
* <del>WLANs in der GUI auflisten => done</del> | |
*<del> schon vorhanden von nju - muss noch integriert werden.</del> | |
====Erledigt==== | |
* <del>GUI den letzten Änderungen anpassen</del> | |
* <del>Bei Abruf einer Infoseite eines Gateways erscheint zuerst die Splashpage | |
* Kann man das in der Nodogsplashconfig ändern?</del> | |
* <del>Bug: Das anpingen eines Gateway-Knoten funktioniert nicht</del> | |
* <del>Serverloses Mesh über das Internet mit Tinc anstatt N2N mit supernodes => erstmal auf fastd umsteigen</del> | |
* <del>Tinc erlaubt (noch) nicht mehreren Nodes den gleichen Schlüssel zu verwenden.</del> | |
* <del>Feature: bei dual-Band Routern soll für das AccessPoint Interfaces eine andere Frequenz verwendet werden</del> | |
* <del>Feature: gateway adressen per avahi service announcement verkünden (anstatt über das batman-adv gw feature)</del> | |
* <del>=> niemand benutz avahi dafür; für router advertisment fpr ipv6 sollte dafür benutzt werden (radvd)</del> | |
* <del>Router über N2N sehen sich zwar, es kommt aber keine Verbindung zustande - port forwarding war schuld</del> | |
* <del>tinc VPN integrieren (forwarding etc.)</del> | |
* <del>tinc testen</del> | |
* <del>n2n testen</del> | |
* <del>das 10er gateway das über LAN announciert wird führt nicht dazu das ein lokale Route eingetragen wird</del> | |
* <del>192.168.1.1 als gateway anzukündigen würde helfen, aber ist das richtig? Was ist mit der 10er Route ins FF Netz?</del> | |
* <del>dezentrales DNS</del> | |
* <del>wan_watchdog:</del> | |
* <del>der Internet-Check mit fping ist nicht exklusiv an das wan interface gerichtet</del> | |
* <del>wenn der lokale standard gateway gesetzt ist auf die IP einer anderen Node (weil auch gw) dann geht das ping dorthin (und wird von der splash-page dort blockiert)</del> | |
* <del>Lösung: beim ping eine route für die zu testende IP einfügen das auf wan zeigt; inklusive dem gateway hinter wan; danach wieder entfernen: "route add -host <ip> dev wan" "ping <ip>" "route del -host <ip>" - aber wir müssen den gateway von dnsmasq irgendwie bekommen.</del> | |
* <del>default route für lan und mesh sollen unterschiedlich sein</del> | |
* <del>Lösung: gateway separat für mesh und lan setzen ("uci set dhcp.lan.dhcp-option=3,<gw_ip>"). Lokale route so lassen wie es ist. Der Zugang von lan und mesh zu wan wird über forwarding kontrolliert.</del> | |
* <del>eingeben von openwrt bringt einem zur nächsten Node => zu freifunk/node/.. ändern</del> | |
* <del>Lösung: config domain; option name freifunk; option ip <ip.addr> in /etc/init.d/freifunk_first</del> | |
* GUI | |
* <del>vieles Klicken in der gui sorgt für einen Neustart auch bei schnellen Routern - da läuft was falsch</del> | |
* <del>einzelne n2n-Konfigurationen deaktivieren können (option 'enabled' '0' in /etc/config/n2n einführen?) ohne das die Einträge entfernt werden müssen</del> | |
* <del>"Advanced Mode"</del> | |
* <del>freifunk-ssid ändern, zusätzliche Einstellungen</del> | |
* <del>Feature: jeder einzelne Anschluss am Router soll als einzelnes Interface (für WAN/LAN oder MESH) nutzbar sein</del> | |
* <del>Feature: ssh/https Zugang per default nur im LAN erlauben (aber auch für WAN und MESH zu erlauben)</del> | |
* <del>Sinnvoll um den Zugang per default auf LAN zu beschränken wenn noch kein Passwort gesetzt wurde.</del> | |
* <del>Sinnvoll wenn aus dem Netz in dem WAN hängt administriert werden soll</del> | |
* <del>Konfigurationszugang nur über bestimmte interfaces</del> | |
* <del>n2n durch fastd ersetzen - sobald automatisch keys akzeptiert werden</del> | |
* <del>fastd ist klein mit nur wenigen Abhängigkeiten</del> | |
* <del>wird aktiv entwickelt und von anderen Communities verwendet</del> | |
* <del>Unterstützung Dualbandrouter 5 GHz-Band => done, muss aber noch getestet werden</del> | |
* <del>nodogsplash stürzt ab wenn rdir parameter fehlt (z.B. bei wget ;-) )</del> | |
* <del>es existiert ein [[http://www.braindeadprojects.com/src/OpenWRT/001-allow-magic-token.patch|patch]] und [[http://www.braindeadprojects.com/blog/what/finally-saying-no-to-nocatsplash/|Zusatzinfo]]</del> | |
* <del>Nodes sollen Hostname haben und auf Statusseite anzeigen => ist implementiert</del> | |
* <del>GUI: Ports korrekt anzeigen (z.Z.) werden Ports über die interne Numerierung angezeigt => jetzt über routerspezifische Angaben in settings.js möglich - ansonsten Ports mit Fragezeichen markiert</del> | |
* <del>eigenes WLAN im private-Netz => funktioniert bereits</del> | |