 Ja herzlich willkommen. Ich fange dann mal an. Leider habe ich gerade mitgekriegt, dass meine Timer-App hier nicht mehr funktioniert. Das heißt, wenn ich zu lange labern sollte, sagt einfach mal Bescheid. Thema Freifunk in Karlsruhe. Der Talk soll sich mit den Hintergründen, mit den technischen Hintergründen auseinandersetzen und ich bin echt erstaunt, wie viele Leute bei so einem schönen Badewetter hier sich eingefunden haben. Erst mal vielen Dank für das zahlreiche Erschein. Was ich erwähnen will ist, die Infrastruktur dahinter ist natürlich nicht der treibende Grund. Freifunk machen wir aus meiner persönlichen Sicht aus zwei Aspekten. Das eine ist die Politik. Wir wollen die Störerhaftung endlich Adakta legen, umgehen sie geschickt und vielleicht erübrigt sich irgendwann Freifunk, wenn es das nicht mehr geben sollte. Dann kann man Freifunk noch für andere Dinge einsetzen, aber das ist eigentlich der Treiber. Der zweite Aspekt ist der soziale Aspekt, dass ich für freie Bürger freies WLAN-Anbiete ohne Mitschnorchelei, ohne aktuell, ohne Vorratsdatenspeicherung und auch Leuten Zugang ermöglichen, die sich das vielleicht jetzt vom Budget her nicht erlauben können. Also mir ist es persönlich zum Beispiel egal, wenn ich den ganzen Tag nicht da bin und mein VDSL-Anschluss eidelt vor sich hin, warum sollen die Nachbarn darüber nicht surfen? Also das sind die zwei wesentlichen Treiber und die Treiber führen dann zu einer Infrastruktur, über die ich heute erzählen. Ein paar Sätze zu mir. Mein Name ist, mein Klarnamen ist Roman Meier. Hier im Programm bin ich als Synpuseb. Das ist die Abkürzung für Synchronous Pulse Separator. Auf Deutsch nennt sich das das Amplitudensieb. Leute in meinem Alter, die noch analoge Technologie kennen können, vielleicht mit dem Begriff was anfangen, ist eine Baustufe in einem damals in der analogen Fernsehübertragung verwendete Baustufe, um Bildinformationen und Taktinformationen zu separieren. Mit dem IP-Protokoll bin ich seit 1992 unterwegs. Davor waren es eher Ansie-Mailbox-Systeme für die Leute, denen das noch was sagt. Ganz oben ist mein Reipendel. Wer wissen will, was ich eigentlich arbeite, who is euer Freund. Entschuldigung, ich bleibe direkt einfach mal beim Duo, weil ich denke in der Community ist das enorm. Kurzer Überblick. Freifunk haben wir. Auf der letzten GPN haben wir uns überlegt, Freifunk zu gründen. Für mich war das das erste Mal hier in Karlsruhe. Ich habe dann darauf erfahren, dass es schon mal versucht wurde, aber irgendwie nicht abhoben. Und das haben wir letztes Jahr dann nochmal gestartet, auch in einem, denke ich mal, größeren und koordinierteren Rahmen. Dadurch, dass es noch kein Freifunk gab, hat die Freifunk-Community Karlsruhe natürlich sehr spät angefangen gegenüber anderen, wie zum Beispiel Berlin oder Dresden, die das teilweise seit 10, 15 Jahren betreiben. Das heißt, wir konnten auf der grünen Wiese anfangen hier in Karlsruhe, hatten keine Altlasten, die wir hinterherziehen müssen und pflegen müssen. Das heißt, wir konnten durchstarten. Wir haben uns dann durch persönliche Kontakte an das Rheinland angebunden. Und dort ist die Organisation so, dass es von dem Rheinland Verein, der ganz oben steht, gibt es sogenannte Domänen, wo dann Ortschaften gruppiert sind. Und die Freifunk-Karlsruhe-Community ist also eine Domänen oder ein Domänenmitglied von Alpufer. Jetzt kann man sich denken, warum haben wir es Alpufer genannt? Naja, Rheinufer war schon besetzt. Karlsruhe liegt auch am Rhein. Und dann haben wir uns übergelegt, naja gut, dann nehmen wir mal die Alp. Also so viel vom Organisatorchen. Wir haben auch keinen eigenen Verein dafür gegründet hier in Karlsruhe. Wir sind einfach Mitglied oder wer es will, kann halt Mitglied im Freifunk Rheinland e.V. werden oder sollte das auch, wenn er uns unterstützen will. Ungefähr zur gleichen Zeit waren auch schon die Bestrebungen vom Rheinland e.V. Bemühungen oder die Bewerbung abgegeben worden, um Reibmitglied zu werden. Reib ist die Organisation, eine der fünf großen Rehres, wo man IP-Adressen einfach herbezieht. Und die Reib ist die Organisation für Europa, Mittlerer Osten und Russland. Und alle, die da Mitglied werden, können halt IP-Adressressourcen beantragen. Jetzt ist es so bei IPv4, dass der Pool wird ja immer knapper. Und deswegen war es also Zeit, bei dieser Entscheidung Reibmitglied zu werden, solange es noch IP-Adressen gibt. Das ist erfolgt im August letzten Jahres. Ungefähr zur gleichen Zeit, wo wir noch im Aufbau waren hier in Karlsruhe. Und deswegen haben wir uns quasi direkt an das Freifunk Rheinland Backbone, was damals auch im Entstehen waren, angekabelt und haben mehr oder weniger als Beta-Tester für die komplette Infrastruktur gedient. So, und der Freifunk Rheinland betreibt halt dieses Backbone und stellt halt IP-Connectivity für nicht nur verbundene Communities bereit. Da komme ich aber nachher noch zu. So sieht das Ganze aus, wenn man das versucht, geografisch irgendwie zu verorten. Das hellblaue, das ist die Domäne Ruhlgebiet, die auch derjenige Betreib, der diese Karte für uns mal erzeugt hat. Normalerweise ist Albufer darauf nicht zu erkennen, aber er hat es mal zusammengestückelt. Als Weihnachtsgeschenk, glaube ich, letztes Jahr im Forum, hat er das gepostet. Und da kann man also schön sehen, wie im Rheinland die unterschiedlichen Domänen ineinander verschmelzen teilweise und wer jetzt direkt ans Rheinland angebunden ist und wer noch Standalone unterwegs ist. Wenn man sich die große Karte vom Rheinland ohne Auswahl einer spezifischen Domäne anguckt, dann sieht man da unten auch Karlsruher als kleine Enklave, die ja schon ein paar grüne Punkte erzeugt hat. Ein bisschen zur Statistik, die ist jetzt nicht vollständig. Der Kollege hat erst später angefangen, hier statistische Daten zu ermitteln. Aber was man an dem Grafen in der Mitte oben sieht, ist, dass innerhalb von einem, ne von zwei Monaten, sich mal eben die Anzahl der Notes hier verdoppelt hat. Also dank auch unserer PR-Truppe, die fleißig Werbung macht und die Werbetrommel rührt, haben wir also eigentlich ein ganz gutes Wachstum hingelegt für so eine junge Community. Andere, wie gesagt, machen das schon jahrelang und arbeiten da immer noch am Aufbau. Kommen wir ein bisschen zur Technik, die Topologie. Das ist jetzt ein Schaubild, habe ich auch geklaut. Ich war, ehrlich gesagt, ein eigenes zu basteln, ist aber im Prinzip nur eine Prinzip-Tarstellung. Das geht von links nach rechts, von links, dem Kleint nach rechts ins Internet. Das stellt im Prinzip die allgemeine Freifunktopologie da. Der kleine Nübsi da mit der Antenne, der Glurnote ist im Prinzip der Access Point. Da haben wir hier auch einen hier zum Hochzeigen. Genau, das ist so ein kleiner TP-Link oder irgendwas. Da komme ich gleich zu. Der verbindet sich mit sogenannten FASD-Tunnel. Das sind VPN-Tunnel, die auch an der Stelle verschlüsselt sind zu sogenannten Supernotes. Hier kläre ich gleich auch noch. Das sind im Prinzip VMs, Router, Server, was auch immer. Irgendwas, was IP vorweiden kann, kann man nehmen, was man will. Und von dort aus verbinden die wiederum sich zum Freifunkreinland Backbone. Die weiß ich, die sind hier als Chorrouter dargestellt. Hier ist nur Frankfurt und Berlin drin. Es gibt auch noch Düsseldorf, kommt nachher noch mal. Und von dort aus geht es halt ins Internet. Diese verschlüsselte Verbindung dient einzig und allein dazu die Störerhaftung vom Freifunknotenbetreiber abzuwenden. Ansonsten ist das WLAN, was wir hier aufspannen, ist sowieso unverschlüsselt. Da kann jeder sich einklinken und schnorcheln, was er will. Deswegen gibt es dann weiter hinten im Backbone auch keine Verschlüsselung mehr, weil es ist eh offen. Die Verschlüsselung an der Stelle dient nur dazu dem Betreiber oder dem Aufsteller eines solchen Knotens die Rechtssicherheit zu geben, dass er nicht in die Störerhaftung genommen werden kann. Ich gehe jetzt von links nach rechts durch jedes einzelne Element dieser Infrastruktur durch. Also wenn man sich das mal kurz ein Kopf behält, fangen wir mal mit dem Glurn Node an. Die Firmware. Also Glurn ist im Prinzip nur ein Framework. Das haben glaube ich Lübecker Kollegen, haben das ins Leben gerufen und arbeiten da auch fleißig an der Weiterentwicklung ran und wird mittlerweile von sehr vielen Communities eingesetzt. Einige mikrieren noch gerade erst da drauf von ihrem alten Legacy Firmware. Ist etwas aufhändig teilweise, wenn man da alt Lasten hat. Aber wie gesagt, wir hatten sie nicht. Wir haben von Anfang an gesagt, wir gehen auf Glurn. Es macht viele Dinge einfacher und auch eigentlich für jeden möglich sich da einzubringen. Die Community spezifischen Einstellungen sind in sogenannter Side Conf und Side MK. Die findet ihr in unserem Git Repository. Das heißt mit diesem Git Repository von Karlsruhe und dem allgemeinen Glurn, was man auschecken kann, hat man eigentlich schon alles zusammen, um eine Firmware zu bauen. Wie gesagt, das Glurn ist nur ein Framework. Basierend ist das auf OpenWRT. Bleibt auch kompatibel mit den offiziellen Repositories. Das heißt, wenn man so einen Freifunknoten hat mit einem Glurn, kann man ganz normal Zusatzpakete aus dem normalen OpenWRT Repository zu installieren. Also wenn man das noch aufwerten will und selber noch Features benötigt, die wir jetzt standardmäßig nicht unterstützen, dann feel free. Die Hardware-Unterstützung ist ein bisschen limitiert. Also von den Images, die wir anbieten, das hat einfach den Grund, weil es nicht alle Chipsetze gleichzeitig Art Hoc-Modus und den Access Point-Modus unterstützen auf dem gleichen Radio-Device. Es ist einfach eine Treiber-Unterstützung und inwieweit die Hardware-Hersteller da der Community entgegenkommen und Dokumentation oder eigenen Source-Code bereitstellen. Im Prinzip ist dieses OpenWRT so weit kastriert auf die Funktionen, die wir eigentlich benötigen. Das heißt, dieser ganze Clicky-Bunt, die Einrichtungs-Food, es ist alles entfernt oder wird gar nicht erst erzeugt. Dann gibt es noch ein paar Zusätze. Es ist einerseits die Einrichtungsseite, es ist also so ein kleiner Einrichter, wo man also wirklich nur die nötigsten Einstellungen, die ein Grübsen vornehmen kann. Und es gibt ein Diemen, der nennt sich Alfred. Ich habe die Abkürzung vergessen. Das ist irgendwie, in der offiziellen Wikibeschreibung steht drinne, das ist ein Diemen, mit dem man alle möglichen Daten per Multicast in das Netz abstrahlen kann. Und wir benutzen ihn hier für Statistik. Das interessanteste eigentlich an dieser ganzen Glorenentwicklung ist unter anderem, dass es da ein Auto-Updater drin gibt. Der macht es sehr leicht, eine ganze Community weiterzuentwickeln, ohne dass irgendwer eingreifen muss bei den Freifunkommunities, die es schon länger machen. Die haben teilweise Notes mit einer uralten Firma, die irgendwann auch nicht mehr kompatibel sind zum Rest des Freifunkonstruktes. Zeige ich nachher noch was zu. Zu dem Auto-Updater kommt jetzt, kann ich gleich noch in der Liveschaltung dann zeigen, habe ich eh vor. Also ich habe nicht so viele Folien, ich wollte das ein oder andere einfach am offenen Herzen zeigen. Hier meine Statistik über die Firmware-Entwicklung kann man schlecht sehen. Da ganz oben rechts wechselt die Farbe von Rot auf Blau. Das war ein Firmware-Updater, das letzte was wir eingespielt haben. Das haben wir einfach veröffentlicht und morgens um vier haben alle Knoten, die auf Auto-Updater, was per default enabled ist, einfach die neue Firmware gezogen. Muss halt keiner was tun. Die Infrastruktur wird darüber gepflegt, indem wir halt die Firmware dann online stellen und die Knoten sich die dann ziehen. Was passiert, wenn ein Update-Knoten-Funktion so fähig macht? Sollte nicht passieren. Und zwar aus dem Grund. Es gibt also drei Branches in unserer Firmware, der erste ist stable. Das ist auch der, der im Moment eigentlich nur verfügbar ist. Ich kann nur jedem raten diesen zu benutzen, weil an dem ist zumindest alles Menschenmögliche getan, das zu verhindern, dass ein Knoten danach unbrauchbar wird. Bei den anderen sieht es anders aus. Der Beta-Branch ist im Prinzip derjenige, wo wir bevor wir es veröffentlichen quasi schon eine stable, artige Version, wo wir aber alle erdenklichen Szenarien durchspielen. Das heißt, auch mal einen Knoten komplett neu aufsetzen und gucken, ob die Einrichtungsseiten, ob das alles tut und ob hinterher auch das dabei rumkommt, was wir uns vorstellen. Also da testen wir auch verschiedene Hardware. Und jeder, der uns dabei unterstützen kann, ist natürlich herzlich willkommen. Er muss halt schon mal seinen Knoten komplett platt machen und von vorne beginnen, um uns da helfen zu können und vielleicht auch das eine oder andere Debugging durchzuführen. Und dann gibt es noch den Experimental. Und da kann es durchaus passieren, dass das Dingen hinterher nur noch als Briefbeschwerer fungiert. Also wie gesagt im Moment haben wir keine in unserem FDP-Verzeichnis, deswegen ist die Gefahr recht gering. Es sei denn, ihr kompiliert die selber und zerbruselt euch den Bruder. Also gut, dann zeige ich das eben. Das ist jetzt einer der Knoten, das ist natürlich meiner, logisch. Was der Auto-Updater macht, ist im Prinzip, guckt in diese Datei rein, und zwar der Cronjob. Und ganz oben steht im Prinzip Auto-Updater, der es enabled und der sucht nach dem Branch Stable, vergleicht das mit dem aktuellen Release, was er installiert hat und spielt bei Vorlage eines aktuelleren Releases das Einverhalten. Was da drunter kommt, das sind die Public Keys von den Mitfirmen, mit Bauern, einer davon ist von mir. Die werden signiert. Und ganz unten in dem Stable Branch kann man auch sehen, Good Signatures 2, das heißt ein Stable wird nur dann genommen, wenn zwei Firmware-Bauer signiert haben, ansonsten wird das Update gar nicht eingespielt. GPG ist es glaube ich nicht, es ist ein ECDSI, glaube ich heißt es. Also im Prinzip signieren wir auch nicht die Firmware, wir signieren ein Manifest-Datei, wo die MD5-Hashes der Firmware-Images drin sind und das wird dann signiert. Oder vielleicht weiß ein anderer mehr. So, dann auch Fragen zu, vielleicht direkt macht es den komplett automatisch. Wo es schon mal Probleme geben kann, ist bei diesen Auto-APs die PoE durchschleifen, das heißt wenn ein Knoten quasi an der Stromversorgung des Ersten, dann könnte es sein, dass wenn der erste durchstartet und der zweiten noch sein Update noch halbinstaliert hast, dann ist er unter Umständen nicht mehr benutzbar. Wobei bei den mir bekannten, die haben immer noch ein Failsafe, Bootloader Eintrag, das heißt die können immer noch mal ohne aufzuschrauben und den Lötkolben ansetzen zu müssen, können die wieder belebt werden. Jetzt kommt ein bisschen fancy Zeug, ich bin berufliche Netzwerke, hatte ich ja gesagt seit einigen Jahren und als ich das erste Mal darüber gestolpert bin, habe ich erst mal gestutzt. Mir erst mal die Frage gestellt wer macht denn sowas. Batman, das nennt sich Better Approach to Mobile Ad hoc Networks. Muss man sich nicht unbedingt merken, ist aber ausgesprochen die Abkürzung, also die Batman-Abkürzung, deswegen auch die Punkte. Das Ganze ist im Prinzip ein Layer 2 Routing Protokoll, was in Open Mesh Community entwickelt wurde. Es gab auch noch eine Userland Implementierung, es gibt auch noch andere Implementierung, aber Batman hat sich mittlerweile, glaube ich, in vielen Communities durchgesetzt. Das Praktische ist, das ist ein Linux Kernel Modul, ist also in Linux Kernel seit, weil es nicht welcher Release drin ist, aber ich glaube schon im 2-6er-2 war es drin. Damit ist es auch Teil von OpenWRT, also nichts Spezielles, findet jeder Linuxer auch auf seinem normalen Arbeitsplatz oder Server, lädt nur keiner dieses Kernel Modul, weil es außer in solchen Freifunk Communities gar nicht gebraucht wird. Nachteil daran ist, gibt es inkompatible Versionen, man muss also immer gucken, welche Batman Protokoll Version hat man geladen. Da gibt es dann natürlich bei neueren Debian-Releases, es ist zum Beispiel im Moment die Version 15, wir benutzen in unserer Community noch 14, das heißt man muss dann mit DKMS Bild im Prinzip sich eine ältere Version zu seinem Kernel bauen. Wie gesagt, Layer 2 Routing hört sich ein bisschen krank an, ist aber so, das Routing basiert auf Mac-Adressen, das heißt hier werden keine IP-Prefixe geroutet, sondern auf Mac-Adress-Layer. In dieser Routing-Tabelle ist auch noch eine Metrik drinne, oder in der Metrik enthalten ist auch die Linkqualität, gerade bei WLAN-Verbindungen, die ja dann schon mal etwas schwächeln könnten, ist das ganz interessant. Es ist ein kleiner DHCP Helper eingebunden und zwar in der Form, dass die DHCP Anfrage von Batman aus gefiltert wird und nur an den Knoten zugestellt wird, der seiner Meinung nach der bessere Knoten ist. Das ist aber auch das einzige, was Batman wirklich manipuliert, ansonsten switcht das einfach nur durch, mit der Einschränkung, dass wir für bestimmte Pakete auch einen Rätlimiting haben, aber ehrlich gesagt so tief bin ich da noch nicht drinne. Ich meine nur, es ist benötig dringend Verbesserung, wir haben in einigen Communities ein Grundrauschen des Batman Overheads, der ist nicht für jeden DSL-Anschluss tauglich. Hier mal eine Darstellung, wo Batman überhaupt zum Einsatz kommt, also von der Anordnung genau wie die Tropologiezeichnung am Anfang, links ist der Klein, der spricht ganz normales WLAN, dann ist da dargestellt, dass das zwei Glurennots miteinander reden, das ist also im Prinzip das WLAN-Mesh, auf der Ebene wird Batman eingesetzt und von dem Glurennot zum Supernot wird das Batman-Protokoll auch auf dem FASD-Tunnel betrieben. Was man an dieser Darstellung schön sieht ist, die Payload geht natürlich tierisch in den Keller, weil man noch mal inkapsuliert und noch mal einpackt und noch mal einpackt für die Leute, die es kennen, also die Maximum Transmission Unit, die reduziert sich bei unserem Deployment auf 1406 bytes, auf diesem FASD-Tunnel speziell. Batman selber kann selber in sich noch mal fragmentieren, das heißt man bekommt davon nichts mit, kostet aber Performance. Das ist also auch noch ein Optimierungsfeld. Ja gut, wir verbreiten in der Community ganz normal 1500. Das heißt, der Batman muss bei extrem großen Paketen, bis er das dann durchbringt, muss er selber in sich fragmentieren. Hast du mal jemand durchgeblattet, was das bringt, wenn man direkt seinen 1406 einstellen kann? Noch nicht, aber wäre interessant. Deswegen, das ist auch eine meiner Zielsetzung, warum ich den Talk halte. Ich möchte Leute gewinnen, die sich daran beteiligen und so was vielleicht mal ausprobieren. Also man kann die Batman-Fragmentierung abschalten und dann einfach schauen, wie große Pakete bekomme ich denn noch durch. Was Batman im Prinzip für den Endanwender macht, habe ich versucht auf diesem Bild darzustellen, es passiert nichts anderes als, dass alle Knoten in einer Community zusammengepappt werden zu einem Grußen. Man muss sich das vorstellen, dass alle WLANs, die mit dieser SSID herumfunkten und alle gelben Ports, an diesen Plastikrutern innerhalb einer Community bilden einen großen Switch. Nichts anderes passiert dann. Heißt auch, stöpselig was hier in den gelben Port rein, kommt das bei meinem Nachbarn oder den Abtrünnigen, der seinen Freifunk Karlsruhe-Router vielleicht im Rheinland aufstellt, putzelt das dann aus dem Netz. Ich habe das auch mal im Frühjahr gemacht, ich habe einen in Amerika abgeworfen und das funktioniert ja genauso. Das ist völlig unerheblich. Ich zeige das mal kurz. Das ist im Prinzip die Tabelle oder die Mac-Adressin-Tabelle, die da übertragen wird. Und was man hier an der Stelle sehen kann, ich habe viele, viele Neighbors, habe ich hier über das Mesh-VPN, aber auch welche bei WLAN 1. Das ist im Prinzip die Notes, die in dem WLAN Mesh erreicht werden. Kann das auch nochmal hochscrollen. Das ist eine ziemlich lange Liste. Und da oben sieht man aber, das ist Originator. Last Scene, das ist so ein Heartbeat, die senden alle 5.000 Millisekunden, sagen die, hier ich bin noch da. Dann gibt es Nextop, ein Interface und schon vorberechnete potenzielle Nextops. Das sind jetzt im Prinzip die Nachbarn, die er über das WLAN sieht, weil wenn sein eigener Ablinkdown geht, schickt das über den anderen. Kommt da eine ganze Oberhälmung? Ja. Kann man das nicht, da ist ja auch 6.000 Sekunden Repensierung, kann man, aber dann ist bei einem Failover, 60 Sekunden lang, fungstille und wir haben uns im Moment auf 5 Sekunden eingeschossen. Kann man ändern. Ja, ist halt immer so eine Abwägungssachen, wie schnell Rekonve geht das Netz in einem Fall von Erstörung und wie geduldig sind die Nutzer, die da dran angebunden sind. Weil erfahrungsgemäß ist ein WLAN, was nicht funktioniert. Entschuldigt bitte, aber wie hier, als die GPN gestartet ist, hat es auch erst mal nicht funktioniert. Ein WLAN, was nicht funktioniert, will keiner und deswegen dieser Ansatz. Dazu noch Fragen zu diesem Batman-Magie von der Technik her. Sonst habe ich noch ein paar Darstellungen, das ist im Prinzip. Ja, klar, also die Anmerkung, falls es nicht jeder verstanden hat, war, dass, wenn man den Teil mal zu groß setzt, bis das dann von Knoten zu Knoten durchpropagiert ist, dauert so ein, kann so eine Änderung dann schon mal einige Stunden auch in Anspruch nehmen. Was ich hier jetzt dargestellt habe, ist im Prinzip unser Graf, das ist aber der Inhalt des Batmans. Was ich jetzt nicht eingeblendet habe mit dem VPN, ich kann das aber mal interaktiv zeigen. Ich jetzt den VPN-Knopf anmache, dann sieht man auch die Verbindungen. Na, das ist der Ball sehr klein zu den Supernoten und das ist im Prinzip die Information, die auch der Batman vom Protokoll her vorhalten muss. Das heißt, er muss jede Verbindung kennen und wohl die lang geht. Hier noch eine Statistik, weil wir nämlich in Skalierungsgrenzen und dieses Grundrauschen, weil wir das ja eben angesprochen haben, das haben wir mit der letzten Firmware-Release, haben wir das auch versucht zu reduzieren und ist uns auch in Teilen gelungen. Das kann man an diesen Traffic-Management-Grafen erkennen. Das war genau bei Veröffentlichung der Firmware, hat das Gezappel etwas nachgelassen und ist auch nach unten gegangen. Damit haben wir versucht, die Batman-Grundlast im Freifunk etwas zu reduzieren. Es ist leider immer noch so, also an einem DSL 768er Anschluss, also wirklich draußen auf dem Land macht Freifunk kein Spaß, muss man einfach so sagen. Das nächste, was im Prinzip in der Firmware anders ist, wie im normalen OpenWRT oder man es halt konfigurieren muss, ist dieser FASD Eingang schon angesprochen. Der ist ähnlich zu allen anderen VPNs. Der FASD ist aber optimiert für diese Plastikrouter, die also wirklich eine sehr begrenzte CPU-Ressource haben. Und gerade mit der Verschlüsselung ist das auch der Flaschenhals, der im Prinzip existiert. Den FASD kann man im Layer 3 oder im Tunnel-Modus oder im TAP-Modus betreiben. Wir arbeiten hier natürlich im TAP-Modus, also als Layer 2-Bridge. Es gibt da keine große Unterscheidungen. Es gibt also keine unterschiedlichen Server oder Klein-Bein-Ressources, alles in der Konfig. Wie schon gesagt, das ist die Technologie gegen die Störerhaftung. Wenn es das Gesetz man nicht mehr gibt, brauchen wir das auch nicht mehr. Können wir das im nächsten Firmware-Release abschalten, dann wird es auch schneller. Aktuell an Siphers benutzen wir den Salsa 2012. Mit Umec ist er etwas schneller geworden, sagt man, gemessen habe ich es, also ich habe es versucht zu messen, aber ich habe nicht viel gemerkt. Aus kompatibilitätsgründen unterstützen wir immer noch Gmec. Von der Politik her lassen wir jeden rein. Das heißt, wir hatten am Anfang, als wir mit Freifunk gestartet haben, wie viele andere Communities, musste man am Ende des Einrichtungsassistenten einen Key angezeigt bekommen. Da stand dann drin, bitte sende diesen Key an, bla, bla, blub, um deinen Knoten zu registrieren. Das haben wir mittlerweile ausgeschaltet. Das ist also nicht mehr erforderlich. Funktioniert einfach so. Meistens ist genau an der Stelle die Open Source Unterstützung für diese IS-Offloading-Engines, die vielleicht in der ein oder anderen Hardware drin ist, nicht gegeben. Das ist eigentlich das Hauptproblem. Noch mal zurück zu dieser Policy. Also wir lassen jeden daran verbinden an dem Freifunk. Das heißt, man kann sich diesen Router kaufen oder schießen oder wie auch immer. Die Firmware installieren und es tut fertig. Falls mal der Fall sein sollte, dass einer von den Knoten Amak läuft oder einer so viel dran rum spielt, dass er das Freifunknetz zerfremelt, können wir ihn immer noch blacklisten. Also das haben wir da drin. Das heißt, sobald wir den identifiziert haben, können wir den aussperren, damit er die Community nicht stört. Passiert in anderen Communities schon mal das Leute von einer Community in die andere. Fleschen aber dann nicht komplett neu und der Knoten hängt dann in Zweien drin und verbindet dann diese Riesen beiden Wolken, zum Beispiel Rheinland und Köln-Bonn und Umgebung. Und das gibt also ein Riesen-Turbo und danach ist erst mal Stillstadt. Ich weiß nicht, ob man es hinten gut lesen kann. Das ist so eine FastD-Config. Da oben ist auch die erste Option, ist die MTU 14106. Die ist in anderen Communities unter Umständen 20 Beide größer. Bei uns ist sie so klein, weil wir IPv6 unterstützen. Das heißt, der FastD baut ganz normal, probiert er erst IPv6 aus und dann ein Fallback über IPv4. Deswegen gibt es auch in den PIR-Einträgen, gibt es unter ListRemote diesen Albufer 0 und Albufer 1. Man könnte davor jetzt noch schreiben IPv4 oder IPv6. Das haben wir uns gespart, indem wir einfach voll dual-Stack-angebundene Infrastruktur betreiben. Der Vorteil daran ist im Prinzip, die aufkommenden Kabelanschlüsse auch hier in der Region bieten oftmals zwar eine native IPv6 Anbindung, aber ein Krüppel Internet, was vor vier angeht. Und um da die Performance nicht noch weiter zu reduzieren, haben wir an der Stelle IPv6 im Einsatz. Jetzt kommen wir zu den Supernoten, da wo der Tunnel auch hinaufgebaut wird. Im Moment betreiben wir zwei. Ja, wir brauchen mehr. Wir kommen langsam in Regionen, wo es eng wird. Wir arbeiten im Hintergrund dran. Morgen ist eine Mitgliederversammlung im Rheinland und da geht auch einer von uns hoffentlich hin, hat er mir versprochen und wird er unsere Belange auch zur Sprache bringen. Wir haben im Moment die zwei, Albufer 0 und Albufer 1. Auf dem Nuller läuft auch noch dieser Webseiten FU, den kann man gegebenenfalls auch mal irgendwann verlagern. Auf eine dedizierte Maschine im Moment ist er noch da drauf. Das sind ganz normale VMs. Wir betreiben die unter Debian, andere betreiben die unter Edge und unter Gentoo oder Arch. Es ist eigentlich egal, es ist keine Magie oder kein Spezialsoftware von Nöten. Man kann jeden Hosting-Provider nutzen. Ganz ehrlich, V4 ist natürlich bevorzugt aus den eben genannten FastD Gründen, wenn natürlich der DVM gar keinen V6 hat, bringt das an der Stelle nichts. Deswegen bevorzugen wir da V6-fähige Hoster. Auf dem Supernode läuft ganz normalen DHCP für dieses Legacy IP und ein Router Advertisement der IPv6 Stateless Auto Configuration anbietet. Dann macht die Kiste noch Network Address Translate, da komme ich gleich noch drauf zurück. Also im Prinzip haben wir da eine Art Carrier-Great-Nut im Einsatz, wo wir dann erst im Netz übersetzen. Das ist technisch notwendig. Ich sage es gleich noch, die Freifunk oder wir als Alprofer, wir haben acht IPs. Darauf müssen wir alles übersetzen. Im Moment benutzen wir zwei, also auf jedem Supernode eine. Das heißt wir übersetzen alle V4-Zugriffe auf diese eine IP. Das heißt die komplette Community hängt hinter uns, ist damit natürlich dann auch unsichtbar. Aber V6 ist nativ, also Vorsicht mit der Unsichtbarkeit. Dann läuft da noch ein bisschen DNS, kann man aber auch auf andere Maschinauslagern haben wir jetzt einfach aufgrund des Aufwands, auf auch diesen Maschinen abgeworfen. Die beiden Supernodes oder wenn es dann mal mehr sind, bilden zusammen ein privates AS, ein autonomes System. Mit der Nummer 65.081 wird so im Internet nicht geroutet, deswegen eine private AS-Nummer. Intern sprechen wir die Routing-Protokolle OSPF und BGP, in dem Fall halt IBGP und verbinden uns zu den Backbone-Routern mit GRE-Tunneln, wie ich anfangs in der Topologie Darstellung schon gezeigt habe. Und da sprechen wir dann EBGP. Das heißt wir pieren an der Stelle mit unserem privaten AS vom Freifunk Karlsruhe, mit dem Public AS vom Freifunk Rheinland. Also ganz normale Provider-Technologie, wie man halt so ein Internet baut. Der Backbone selber vom Rheinland hat fungiert unter der AS-Nummer 20001701, ist eine 32-Bit AS-Nummer, haben halt sehr spät angefangen, deswegen ist die auch so groß. Die haben noch ein Slecht 22 bekommen, das bekommen alle neuen Reibmitglieder. Mehr gibt's auch nicht, das heißt das war einmal und nie wieder. Bei V6 haben sie ein richtig großes Netz bekommen. Ich mach das ja auch beruflich, wir haben damals noch ein Slecht 32 bekommen, man kann jetzt mittlerweile aufdrehen und die Default Assignment ist ein Slecht 29, man muss halt nur fragen und sagen, gib mir IPs. Ich rechne jetzt nicht aus, wie viele es sind, das ist Hölle viel. Der Freifunk Rheinland Backbone besteht im Prinzip aus drei Locationen, jeweils zwei Maschinen, Düsseldorf, Frankfurt, Berlin. Lokal ist an jeder dieser Locationen ein Abstreamprovider zu geben, wo die jeweils zwei Maschinen angebunden sind. Es sind im Moment Planungen auch ein Peering an der einen oder anderen Stelle einzugehen, das heißt man verbindet sich zusätzlich noch zu irgendeinem Internet-Exchange, sei es D-Kicks oder E-Kicks oder wer halt gerade in der Nähe ist. Vom Freifunk Rheinland bekommen die Communities oder Domänen bekommen dann Briefix Assign. Also aus diesem kleinen Topf, Slecht 22 und dem großen Slecht 29er, wir haben halt dieses unten angegebene Slecht 29, V4 muss man dazu sagen, das sind halt nur acht IPs, mehr haben wir nicht, bei V6 haben wir ein paar mehr und der Freifunk Rheinland Backbone stellt im Prinzip die Connectivity für Public IP bereit. Bedeutet, da werden auch nur öffentliche IP-Adressen drüber geroutet, das heißt eine Community, die sich mit anderen Communities direkt verbinden will, muss das über den sogenannten Intercity VPN selber bauen, das ist jedem selber überlassen. Wie das aussieht, ist im Prinzip recht einfach darzustellen, das ist von der Topologie die Verbindung, ob jetzt durchgezogen oder gestrichelt, das sind alles GHE-Tunnel, an jedem Standort sind zwei Maschinen, das heißt die A-Maschinen sind alle direkt über GHE-Tunnel miteinander verbunden, die B-Maschinen alle untereinander natürlich auch und wie jetzt in unserem Beispiel die beiden Supernotes verbinden sich dann mit Tunneln zu diversen Backbone-Maschinen, meistens sind es pro Supernote zwei Tunnel nach draußen. Man entscheidet sich dann, packt man die alle in Frankfurt, dann hat man aber nur eine Region, in der man online ist, also wir haben es jetzt so aufgeteilt, dass der eine der Albuva Null sich mit den Supernotes A in Frankfurt und Düsseldorf verbindet und der Albuva 1 mit den B-Maschinen in Frankfurt und Berlin, das ist im Prinzip alles soweit. Habe ich noch für jeden der hoffentlich neugierig geworden, ist noch ein paar Links Gluren, ist im Prinzip die Quelle fürs Gluren, da steht eigentlich alles, wie man es baut, wo man dran drehen kann und wie man sich auch einbringen kann, also Wünsche von meiner Seite ist zum Beispiel mehr Hardware-Unterstützung, es gibt nämlich noch diverse Boxen, die auch auf einem Radio beide Betriebsarten unterstützen, die aber im Moment noch nicht eingepflegt sind. Wer mehr über den Batman lesen will, geht zu OpenMesh.org. Der Fast D ist auch in dem Gluren-Zeig da drin als Dokumentation und ansonsten das Forum des Freifunk, heißt jetzt Freifunk, hieß früher Freifunk Rheinland, da haben sich mittlerweile alle Communities irgendwie in diesem Forum organisiert. Es sind also noch ein paar mehr und ich kann auch jetzt, wie viel Zeit haben wir denn? Knapp zehn Minuten sind noch. Ich kann auch gerne mal zeigen. Das ist jetzt der BGP-Prozess auf dem, auf einem der Supernots. Was man daran erkennen kann, diese, hatte ich ja genannt die AS-Nummer, die 201701, das sind im Prinzip die Verbindungen, die wir zum Backbone unterhalten und die anderen sind alle über ein Intercity VPN, weil wir da einige Handner Freifunk-Netze drüber angebunden haben. Manche sind seit dem letzten Riester hat gar nicht mehr hochgekommen, also da ist immer irgendwas brei. Das Schöne an BGP ist, man kann das sehr gezielt filtern und man muss also nicht den ganzen Müll, wenn mal einer Müllannounce akzeptieren. Ja und ganz unten, das ist im Prinzip der andere Knoten, also der Albufe 1, mit dem diese Maschinen natürlich auch Routen austauscht. Insgesamt kann man da an der letzten Zeile erkennen 500 Stück, das sind jetzt die 500 empfangenen Routen von dem anderen Supernots, das heißt, die schieben sich gegenseitig die Informationen. Der eine sagt, ich habe hier irgendwas gelernt, gebe ich dir weiter und umgekehrt. So werden die Routing-Informationen da ausgetauscht und das gleiche sieht für V6 ganz ähnlich aus. Ja, Fragen dazu. Ja. Ja, die werden auch wiederholt. Soweit mir bekannt ist, dass genau in der nächsten Batman Release in Arbeit. Also wenn ich es richtig verstanden habe, die Ankündigung ist in V15, sind schon die Grundsteine gelegt worden, also in der Batman Protokoll Version 15 und in 16 soll es dann auch produktionsreif sein. Änderungsbroke, das kann man ja auch unverzürger betragieren, dann sollten auch die Updates schnell ins Deck zu gehen. Könntest du was zu der Größenordnung von diesen neuen Supernots sagen, also wie dicke VMs habt ihr da und was läuft da an Schleswig im Moment so drüber? Die werfen so zweieinhalb Tee im Monat ab im Moment pro Maschine und das ist echt, müsste ich nachgucken, schaue ich mal gerade. Das ist eine ganz normale VM. Hat auch nicht viel Speicher, ich glaube ein halbes, ja. Also die Ressourcen sind nicht unbedingt groß, die da benötigt werden. Der Fast D frühstückt halt viel CPU und auch was eben erwähnt wurde mit diesem IS, das Problem ist nämlich auf dem Supernot könnte ich mit der richtigen Compiler Einstellung dann auch IS Bausteine in der CPU benutzen, hilft mir nur nichts, wenn der Plastik Router das nicht kannte und da ist für 18 Euro halt nicht viel IS, Hardware, Offload, Materie vorhanden. Wie sieht es aus mit IPv4 Nuts auf den zwei Supernots, wie wird da das Load Balance gemacht, dass es stabil bleibt, dass ich wenn ich genattet werde bei Legacy IP immer über den gleichen rauskomme? Das entscheidet ja schon der Batman im Vorfeld. Der Batman sucht sich im Prinzip ein Default Gateway schon raus vorab und erst wenn das ausfällt, schaltet er auf den anderen Raum. Wir haben das im Moment, es ist auch die Verteilung, weil jeder Knoten nur einen Fast D Tunnel aufbaut, zu welchem er den aufbaut ist Zufall aktuell. Man könnte das mit Round Robin DNS noch ein bisschen mehr verteilen, aber im Moment haben wir da noch keinen Bedarf drin gesehen. Wenn dann dieser Tunnel ausfällt und damit das Gateway, dann müssen Verbindungen natürlich neu aufgebaut werden. Also in dem Moment Zugzahlsmal, aber bisher haben wir dann noch keine Failover Bedarf gesehen, irgendwie mit VRP oder irgendwas anderem Magischem im Hintergrund zu arbeiten. Wie funktioniert bei IPv6 der Störerhaftungsschutz? Genauso. Dafür hier ist Whois da und zwar darüber. Die Postfachadresse für Anwaltsschreiben ist in Menschenglatbach. Das ist alles. Die IP-Adressen gehören dem Freifunk Rheinland. Das heißt mit den IP-Adressen, mit denen man auch als Nutzer nach außen im Internet auftritt, sind Freifunk Rheinland IP-Adressen. Das heißt Abmannanwälte sollten sich an diese Adresse wenden. Zu einem Team, ich glaube aktuell sind es zwei Juristen, die der Freifunk Rheinland hat, die diese schreiben, beantworten oder in Ablage, wo auch immer. Wie bitte? Ich glaube, die Volljuristen werden sogar bezahlt. Das ist auch ein Grund, warum ich empfehle, wer uns unterstützen will in den Rheinland EV einzutreten. Ich glaube, Mitgliedsgebühren sind 16 Euro im Jahr, also fünf pro Monat. Darüber wird das Backbone finanziert, die Reibmitgliedschaft finanziert. Soweit ich weiß, ist der Freifunk Rheinland auch Sponsor dieser Klage von den Berlinern gegen die Störerhaftung, die gerade noch anhängig ist. Also da gehen dann auch Gelder hin. In welcher Größenordnung ist denn ungefähr? In welcher Größenordnung sind die Mängel der Abmahnung und so weiter, was da pro Monat einkommt? Keine Ahnung. Könnten wir aber die Kollegen fragen, die sind teilweise hier. Ja, hier vorne? Ja, es könnte zum Problem werden, ganz ehrlich, wenn das Gesetz dann mal durch ist wieder, dieses neue Vorratsdatenspeicher Überlegungen sind einfach die Community so klein zu machen, dass sie unter 10.000 bleiben, aktuell. Aber ganz ehrlich, das ist alles noch zu neu. Das ist nämlich die Frage, das müsste dann mit diesen bezahlten Juristen abgesprochen werden, wie man das zählen sollte. Gut. Direkt dazu, dass diese 10.000 Nutzer, das gilt hauptsächlich für Anbieter von Telemediendiensten und da ist die Frage, ob der Freifunk Rheinland überhaupt so ein Anbieter ist, weil er eben kein Mail und Kram anbietet, sondern ein reiner Zugangsanbieter ist. Das ist so eine Frage, die man da irgendwie erst mal juristisch klären müsste. Diese 10.000 Nutzergrenze ist ja gerade zum Beispiel bei E-Mail-Dienstanbietern, dass sie eben ab 10.000 Nutzer eine Schnittstelle zur Liveüberwachung anbieten und da der Freifunk Rheinland aber kein Mail und sowas anbietet, ist die Frage, ob er das überhaupt bauen müsste. Noch eine? Was genau der Sinn ist, diese Firma ist da drauf zu tun, weil ich habe mir überlegt, man könnte doch eigentlich einfach die Standardfirma von meinem Router da lassen, dann könnte man einfach halt die Verschlüsselung, die Wählernverschlüsselung abschalten und so einen privaten VPN doch einfach einlichten. Also warum jetzt dieses drumherum? Ich habe jetzt irgendwie das Problem ist, wenn man einfach sein Gästewähler an einer Fritzbox oder irgendetwas aufmacht für jeden, dann kann man halt in Haft genommen werden bezüglich Störerhaftung. Das heißt, wenn der Nachbar darüber illegale Musikdownloads fährt, dann ist ja dieser Download mit der eigenen IP-Adresse draußen registrierbar. Das heißt, du bekommst das privaten VPN vom Abmahnanwalt. Selbst wenn ich jetzt im privaten VPN nutze, oder? Wenn im privaten VPN als Exit-Tunnel irgendwo in Schweden deinen ganzen Verkehr rausleitet, dann natürlich nicht, aber ich sage mal, das ist für jeden Individual auffand. Und so kapseln wir quasi diese Funktionalität alles in der Firmware für den Endanwender. Das heißt, theoretisch bräuchte ich jetzt auch nicht diese Firmware jetzt. Wenn ich das jetzt sagen mal selber jetzt einlichte, den VPN-Zugang. Also man kann auch jedes Open-WRT im Prinzip so lange bearbeiten mit diesem Batman und dem Fastie, dass es wie ein Freifunknoten fungiert und damit die Infrastruktur mitnutzen. Also da vielleicht zusammengefasst, nichts muss, alles kann. Also es ist jedem freigestellt. Okay, ich hätte noch eine Frage. Die Telekom bietet ja auch dieses Hotspot an, wo man ja auch seinen WLAN theoretisch freigeben kann und so. Wo liegt jetzt der Unterschied zum Freifunk? Ja, der Unterschied ist im Wesentlichen. Erstens, es ist ein kommerzielles Produkt. Zweitens, wenn ich es anbiete, dann darf ich bei den anderen Tee online mit Anbietern, mit Surfen, kann aber nicht an einem Kabel-BW-Anschluss irgendwie mich einbuchen. Und unseres ist völlig produkttransparent. Das heißt, Freifunk ist Freifunk. Egal, welche zugrunde liegende Infrastruktur der Anbieter ist. Noch eine könnte ich verkraften, aber wir sind jetzt durch. So, das ist das Sache mit dem Batman. Soweit ich weiß, macht man den ganzen Aufwand, damit man einfach von einem Excel-Point zum anderen wechseln kann. Das heißt, wenn du in der ganze Straße Freifunk-Excel-Point hast, in Langdurch, dann kannst du von Excel-Points, Excel-Points wechseln und für die Internetkonnektivität nicht. Und ein anderer Punkt ist eben die Mesh-Funktionalität. Wenn dein Anschluss daheim ausfällt, dann und ein Freifunknoten von Nachbarn noch siehst, dann geht dein Freifunknoten eben über den Nachtens in der Net. Das ist halt der große Unterschied, warum man nicht eben jeder so einen eigenen Tunnel macht, der irgendwann Schweden endet. Das war jetzt noch vier Ergänzungen vorher zu der Frage. Warum man nicht jeder seinen eigenen. Das ist der oftmals beschriebene Vorteil. Aus meiner Perspektive ist mittlerweile eigentlich, also wir haben so eine flächendeckende Internetversorgung. Also der Fall tritt wahrscheinlich kaum ein, dass man über den DSL-Anschluss des Nachbarns dann surfen geht, weil der eigene ausgefallen ist. Also meiner ist noch nie ausgefallen. Und ich glaube, der von den Nachbarn auch nicht. Also es ist technisch und theoretisch alles schön und gut, aber ... Ja gut, das kenne ich jetzt nicht. Gut, dann würde ich mal sagen herzlichen Dank für die Aufmerksamkeit und ich stehe natürlich jeder Zeit im Nachgang noch für Fragen zur Verfügung. Ich werde noch eine Zeit lang hier bleiben und die Kollegen haben gleich auch noch einen Workshop an dem Freifunk-Tich draußen. Halb sechs, genau.