Unsere Gateways müssten mal überwacht werden. Dazu soll vpn3 Daten mittels collectd einsammeln und graphisch aufbereiten.

Verbesserung der neuen Website.

• IPs im ICANN-Net
  • inet4: 134.255.239.70
  • inet6 2a02:d40:3:6::8af:95c3
  • inet6 2a02:d40:3:6::2bad:5960
  • inet6 addr: 2a02:d40:3:6::be04:1c79
  • inet6 addr: 2a02:d40:3:6::7ab:a9b1
  • inet6 addr: 2a02:d40:3:6::d9ac:b239
• Verbesserungen am FFBI Theme
  • den Footer anpassen für ein schöneres Design
  • verbesserte Einbindung des Logos im Kopfbereich hinsichtlich der Ansicht von Mobilgeräten (Bild skaliert nicht)
  • Es gibt ein Update vom Theme twentythirteen. Evtl. muss unser FFBI Childtheme angepasst werden.

• wenn IPv6 nativ auf WAN verfügbar ist, kann das mit dem Freifunknetz in Konflikt geraten (fix von gluon nehmen?) ⇒ bodems
  • anscheinend sorgt das relay zwischen br-public/br-private dafür das ein Route fdef:17a0:ffb1:300::/64 auf br-wan gesetzt wird…wtf?
  • Testen das Router Advertisments nicht von WAN zu br-public announced werden
• WAN wurde zu bridge gemacht, aber radio0_wan kann man nicht bridgen ⇒ WDS nutzen
  • muss noch getestet werden ob das jetzt läuft
• WLAN STA (als WAN) blockiert system beim start wenn die anmeldung nicht gelingt
  • https://forum.openwrt.org/viewtopic.php?id=51360
• Anstatt /sys/devices/virtual/net/br-lan/bridge/multicast_snooping auszustellen könnte man besser multicast_querier, austellen - das war bei Linux Kernel ⇐ 3.4 default
• iPhones können sich nicht verbinden ⇒ war eine falsche Konfiguration ⇒ done
  • das könnte die bessere Lösung sein - mal nachschauen was die Optionen genau machen!
• Freifunk TLD über LAN aufrufbar machen- war in der 0.3 kaputt (rebind protection war an :/)
  • muss noch getestet werden ob das jetzt funktioniert ⇒ läuft
• ebtables überarbeiten damit ungewollte multicasts nicht das Netz verstopfen
  • muss noch getestet werden ob das jetzt funktioniert
  • Rate gewollter multicasts limitieren? ⇒ done
• Neues Design für die Statusseite ⇒ joen/mwarning
• IPv4 Einträge aus /etc/dnsmasq.conf entfernen / aktualisieren ⇒ bodems
• Updatemechnismus für 0.3 auf 0.4 schreiben ⇒ mwarning
• ULA IPv6 adresse (statisch?) für den Router setzen (und auch in die /etc/hosts eintragen) ⇒ done
• DNS forwarder von IPv4 zu Ipv6 für das Freifunknetz testen
  • /etc/hotplug.d/iface/40-freifunk setzt das noch nicht an der richtigen Stelle für dnsmasq
• next-node funktioniert nicht wirklich ⇒ geht jetzt über Eintrag in /etc/hosts
• Gateway feature ausbauen ⇒ bessere Trennung von Geräten die Infrastruktur bilden und denjenigen die Dienste anbieten (z.B. Gateway ins Internet)
• nodogsplash ist im feed für trunk nicht mit drin und wird nicht mehr gebraucht⇒ wurde entfernt
• auf batman-adv 2014.x aktualisieren
• A.L.F.R.E.D. für die Kartengenerierung einsetzen ⇒ done
• Firmware version, Koordinaten, Hostname falls gesetzt per Alfred an den Kartenserver übertagen
• 104er und 105er Routen raus (104.0.0.0/8 wird jetzt von Akamai benutzt) ⇒ wir nutzen jetzt sowieso nur IPv6
• Freifunk-TLDs updaten ⇒ bodems
• MAC-Adresse über die Web-GUI konfigurierbar machen (nur im Erweiterten Modus)
• Jeder Router kann über die Web-GUI einen Link definieren der auf der Statusseite jedes anderen Routers angezeigt wird
• ein Prefix über Router Advertisments nur lokal verteilen ⇒ zu viele hacks nötig, jeder router bekommt eine statische ULA-Adresse (EUI-64), das sollte reichen
  • damit hat auch ein isoliertes Netz nicht nur link local Adressen (für die wäre immer die Angabe des Interfaces nötig, z.B. fe80::1%eth0) ⇒ man kann sich selber eine statische IP geben wenn man einen Server betreibt oder so
  • Problem: Clients versuchen den Router dann auch auch Gateway zu nutzen (niedrige priority verwenden?) ⇒ SLAAC macht das eigentlich

• vpn2 wird irgendwie nicht richtig als Gateway benutzt, obwohl es funktioniert, wenn mans manuell einstellt ⇒ gefixt
• Probleme mit OpenWrt trunk beheben (für neue Hardware)
  • https://forum.openwrt.org/viewtopic.php?id=47708 (das bringt /etc/init.d/freifunk-setup.sh as der Bahn)
  • https://forum.openwrt.org/viewtopic.php?id=47707 (das macht die /etc/dnsmasq.conf ungültig)
  • „make menuconfig“ ⇒ „error: recursive dependency detected“ ⇒ kommt nicht mehr
  • Problem mit Switch des wr1043nd-v2: https://forum.openwrt.org/viewtopic.php?id=47773
• Traffic shaping ⇒ simple-tc
• Automatisches Firmware-update (deaktivierbar / von FF Lübeck)
• Splash-Seite auch auf dem Router anzeigen lassen können wenn Leute auf das Internet zugreifen wollen.
  • ⇒ besser also HowTo - ansonsten schwer umsetzbar
• IPv6-Routen ins ICVPN
• Irgendwas mit Alfred (z.B. Services announcen oder Zugang zu anderen Netzen)? ⇒ noch nicht
• fastd auf Version 12 aktualisieren
• batman-adv auf 2014.1.0 aktualisieren ⇒ für 0.4
• BSSID ändern? (aktuell 12:CA:FF:EE:BA:BE), etwas ohne babe? ⇒ 12:CA:FF:EE:C0:BE
• WAN über WLAN macht Probleme

• fastd updaten auf v9 aktualisieren und die selber angepassten Pakete entfernen
• „ fastd –generate-key –machine-readable“ im setup script dauert zu lange und der Router startet neu ohnedas das setup-script zuende läuft. Es folgt einen ständiges neubooten!
  • ⇒ partition war wegen einem vorherigen kaputten flashen readonly und fastd hatte sich vermutlich aufgehangen, jetzt läuft es wieder. Vielleicht hilft haveged aber dennoch für schwache Geräte wie die dem wrt54g?
• Z.Z. verkündet sich dnsmasq per IPv6 immer als Gateway - besser abstellen
  • Wird jetzt gefiltert
• Anycast wird von mehreren Nodes beantwortet und sorgt für eine Nichterreichbarkeit der node
  • Wir haben das Script von neoraider genommen/bekommen und angepasst - merci!
• dnsmasq sollte für private laufen, aber nicht für public
• DNS-Anfragen gehen nicht übers Freifunknetz
  • ⇒ DNS forwarding von dnsmasq abschalten ⇒ done
    • node/freifunk im Browser funktioniert dann nicht mehr
• DNS für ICVPN-TLDs
  • ⇒ in /etc/dnsmasq.conf eintragen (z.B. server='/ffhl/10.x.y.z#53') ⇒ done
• Node vergibt nach Start nicht direkt IPv4-Adressen über public
  • ⇒ Änderungen im DHCP-Teil vom watchdog-script scheinen das Problem gelöst zu haben
• jeder router testet seinen Gateway auf internetzugang ⇒ funktioniert
• /sbin/mac2ip6 entfernen?
  • nicht nötig solange keine ipv6 gateways announced werden
    • ⇒ wird benötigt um die ipv6 für br-public zu generieren und auch für die Zukunft!
  • mapping von mac ⇒ ip ergibt nicht die korrekte ip? ⇒ Ja
  • für batctl debug output der gui noch nützlich ⇒ für ipv6 aktualisiert
• keine ipv6 Adressen für br-private
  • macht wenig Sinn, oder ips für public verwenden ⇒ 6relayd ermöglicht jetzt ipv6 adressen des public Netzes im private Netz
• mdns und ipv4/ipv6 dhcp und ipv6 router advertisments blocken mit iptables/ebtables
• code aus ipv6 branch mit master mergen für dual stack
• routen für Intercity-VPN
  • funktioniert derzeit nur in public oder wenn nichts an WAN angeschlossen ist
  • DNS-Auflösung (.ffhl, .dn42) funktioniert derzeit nur, wenn nichts an WAN angeschlossen ist
• masala für P2P-DNS ⇒ KadNode
  • soll den eigenen Namen noch direkt auflösen
• testen

• z.Z. geht ein dhcp request ungewollt über die batman-adv bridge auch an andere Nodes und wird davon auch beantwortet
  • vom traffic her weniger tragisch weil batman die request per unicast and das gateway sended (wenn vorhanden, ansonsten broadcast)
  • es wäre gut das zu filtern
    • aber bridges erlauben kein Filtern
    • 1. Möglichkeit: ebtables (hier bzw. hier) oder ifconfig nutzen um eine Filterregel zu erstellen
    • 2. Möglichkeit: batman patchen, sollten nur zwei Zeilen sein..
  • ⇒ Auf link local adressen wechseln - dann wird kein dhcp im mesh mehr benötigt
  • Hilfetext einblenden
• Geschwindigkeitsschwankungen
  • ist das Traffic Shaping durch den VPN Provider schuld?
  • Maximalgeschwindigeit sollte um einiges höher sein

• Pirate-Box feature: Auflisten der Inhalte des USB-Sticks über eine Link auf der Statusseite.
  • Herunter- und Hochladen von Dateien
  • lighthttp anstatt von uhttpd nötig?

• Trafficshaping
• Jeder Router soll alle 5min testen ob der Gateway Internet hat
  • Es fällt schwerer ein black hole zu erzeugen. (absichtlich oder durch irgendeine Störung)
  • Die Auswahl des Gateways könnte so jeder Router selber treffen.
• IPv6 ⇒ done
  • radvd durch dnsmasq ersetzen ⇒ done
    • http://www.linksysinfo.org/index.php?threads/ipv6-using-dnsmasq-for-ipv6-instead-of-radvd.68396/
    • ebtables scheint nicht alles zu blocken, scheinbar funktionierende ebtables-Regeln sind auf der HS-Node
• Integration in das Intercity-VPN ⇒ done
  • BGPv6 funktioniert immer noch nicht
• Splashpage auf jeder Node, anstatt eine zentrale auf dem Gateway
  • ermöglicht individuelle Splashpage, interessant für Cafébetreiber, die eigenes Logo einblenden wollen oder Privatpersonen, die Services im Netz anbieten, um darauf aufmerksam zu machen
  • Splashpage hochladen über Webinterface (einfacher als scp für Normalnutzer)
• Autoupdate: automatische Updatefunktion für die Firmware
• Problem: der Router hängt vor einer SplashPage fest. :/
  • Per https nicht, könnte man eventuell über einen internen Update-Server machen
• Traffic shaping; damit ein Nutzer nicht die anderen benachteiligt
  • aktuell wird der VPN-Gateway nur durch den geringen Upload der Internetanschlusse der Router limitiert.
  • http://www.rooot.net/en/geek-stuff/openwrt/1-qos-openwrt.html
• Traffic Limit: Damit Freifunk den eigenen Internetanschluss nicht blockiert
  • „Split-tunneling“: Bestimmte IP-Netze über andere Gateways (z.B. Uni-VPN)
• broadcasts etc. filtern damit das Netz damit nicht überflutet wird. ⇒ done
• Portforwarding über Web-GUI
• Eigenes Zertifikat auf Router?
• Freifunk-IPs im LAN verteilen aber lokalen Internetanschluss nutzen
  • hm, wie soll das funktionieren? ⇒ done (6relayd)
• WLANs in der GUI auflisten ⇒ done
  • schon vorhanden von nju - muss noch integriert werden.

• GUI den letzten Änderungen anpassen
• Bei Abruf einer Infoseite eines Gateways erscheint zuerst die Splashpage * Kann man das in der Nodogsplashconfig ändern?
• Bug: Das anpingen eines Gateway-Knoten funktioniert nicht
• Serverloses Mesh über das Internet mit Tinc anstatt N2N mit supernodes ⇒ erstmal auf fastd umsteigen
  • Tinc erlaubt (noch) nicht mehreren Nodes den gleichen Schlüssel zu verwenden.
• Feature: bei dual-Band Routern soll für das AccessPoint Interfaces eine andere Frequenz verwendet werden
• Feature: gateway adressen per avahi service announcement verkünden (anstatt über das batman-adv gw feature)
  • ⇒ niemand benutz avahi dafür; für router advertisment fpr ipv6 sollte dafür benutzt werden (radvd)
• Router über N2N sehen sich zwar, es kommt aber keine Verbindung zustande - port forwarding war schuld
• tinc VPN integrieren (forwarding etc.)
• tinc testen
• n2n testen
• das 10er gateway das über LAN announciert wird führt nicht dazu das ein lokale Route eingetragen wird
  • 192.168.1.1 als gateway anzukündigen würde helfen, aber ist das richtig? Was ist mit der 10er Route ins FF Netz?
• dezentrales DNS
• wan_watchdog:
  • der Internet-Check mit fping ist nicht exklusiv an das wan interface gerichtet
  • wenn der lokale standard gateway gesetzt ist auf die IP einer anderen Node (weil auch gw) dann geht das ping dorthin (und wird von der splash-page dort blockiert)
  • Lösung: beim ping eine route für die zu testende IP einfügen das auf wan zeigt; inklusive dem gateway hinter wan; danach wieder entfernen: „route add -host <ip> dev wan“ „ping <ip>“ „route del -host <ip>“ - aber wir müssen den gateway von dnsmasq irgendwie bekommen.
• default route für lan und mesh sollen unterschiedlich sein
  • Lösung: gateway separat für mesh und lan setzen („uci set dhcp.lan.dhcp-option=3,<gw_ip>“). Lokale route so lassen wie es ist. Der Zugang von lan und mesh zu wan wird über forwarding kontrolliert.
• eingeben von openwrt bringt einem zur nächsten Node ⇒ zu freifunk/node/.. ändern
  • Lösung: config domain; option name freifunk; option ip <ip.addr> in /etc/init.d/freifunk_first
• GUI
  • vieles Klicken in der gui sorgt für einen Neustart auch bei schnellen Routern - da läuft was falsch
  • einzelne n2n-Konfigurationen deaktivieren können (option 'enabled' '0' in /etc/config/n2n einführen?) ohne das die Einträge entfernt werden müssen
  • „Advanced Mode“
    • freifunk-ssid ändern, zusätzliche Einstellungen
• Feature: jeder einzelne Anschluss am Router soll als einzelnes Interface (für WAN/LAN oder MESH) nutzbar sein
• Feature: ssh/https Zugang per default nur im LAN erlauben (aber auch für WAN und MESH zu erlauben)
  • Sinnvoll um den Zugang per default auf LAN zu beschränken wenn noch kein Passwort gesetzt wurde.
  • Sinnvoll wenn aus dem Netz in dem WAN hängt administriert werden soll
  • Konfigurationszugang nur über bestimmte interfaces
• n2n durch fastd ersetzen - sobald automatisch keys akzeptiert werden
  • fastd ist klein mit nur wenigen Abhängigkeiten
  • wird aktiv entwickelt und von anderen Communities verwendet
• Unterstützung Dualbandrouter 5 GHz-Band ⇒ done, muss aber noch getestet werden
• nodogsplash stürzt ab wenn rdir parameter fehlt (z.B. bei wget )
  • es existiert ein patch und Zusatzinfo
• Nodes sollen Hostname haben und auf Statusseite anzeigen ⇒ ist implementiert
• GUI: Ports korrekt anzeigen (z.Z.) werden Ports über die interne Numerierung angezeigt ⇒ jetzt über routerspezifische Angaben in settings.js möglich - ansonsten Ports mit Fragezeichen markiert
• eigenes WLAN im private-Netz ⇒ funktioniert bereits