Neues Admin Team

Liebe FFRN Community,

wir haben heute eine gute Nachricht zu verkünden :wink:

Es hat sich ein neues Admin Team zusammengefunden. Dieses besteht aus @Jevermeister, @wusel und @tomh. Dabei kommen @Jevermeister und @tomh aus der Region, während @wusel eigentlich beim Freifunk im Kreis Gütersloh zuhause ist, sich aber bereit erklärt hat, uns auch hier zu unterstützen.

Die unmittelbare, administrative Zukunft ist damit gesichert. Dies bedeutet aber nicht, dass es ein „weiter so“ geben soll oder darf. Damit der FFRN auch wirklich eine Zukunft hat, braucht es eine aktive Community und nicht nur ein Admin Team, welches den Betrieb am Laufen hält.

Seht es bitte als einen Neuanfang, eIne neue Chance es besser zu machen. Die strukturellen Probleme im FFRN gibt es ja nicht erst seit diesem Jahr.

Was wir uns als neues Admin Team daher wünschen ist, das hier ALLE aktiv werden und sich überlegen, was sie beitragen könnten. Unter https://pads.ffrn.de/p/Aufgaben-FFRN wurde neulich mal gesammelt, was es so für „Aufgaben“ gibt. Die Liste ist mit Sicherheit nicht vollständig und lebt davon, von Euch ergänzt zu werden. Manche Aufgaben können nur von den Administratoren durchgeführt werden, derer werden wir uns annehmen und die Sachen nach und nach abarbeiten. Insbesondere die Community- und Öffentlichkeitsarbeit aber kann und sollte auch von der Community geleistet werden. Traut Euch also. Schließt Euch zusammen und macht einfach was.

Generell wollen wir versuchen, die Arbeit als Administratoren so zu gestalten, das ein Ein- und Ausstieg möglich ist. Wenn also noch jemand überlegt, ob er sich melden soll: macht es! Wir sind ein offenes Team und können jederzeit Unterstützung gebrauchen.

Liebe Grüße
Jan, Kai und Tom

9 „Gefällt mir“

Ich kenne mich relativ gut mit Icinga2 aus und hatte auch schon mal angeregt, mehr automatisierte Überwachung zu realisieren (ablaufende Zertifikate, nicht erreichbare Gateways, kaputte Zone-Files). Falls da Interesse bestünde, könnte ich gerne was helfen.

Ich hatte auch vor langer Zeit unter .freifunk.duenndns.org mal das Dynamische DNS von FFRN nachgebaut, weil das immer wieder kaputt war. Falls da Hilfe benötigt wird, kann ich vielleicht auch was beitragen.

Generell würde ich daber erstmal abwarten, was mit dem Verein am Jahresende geschieht. Wenn wirklich die Lichter aus gehen, macht es keinen Sinn, kurz vorher noch viel Arbeit reinzustecken.

Ansonsten wünsche ich dem neuen Admin-Team schonmal gutes Gelingen!

2 „Gefällt mir“

Also ich bin an automatisierter Überwachung definitiv interessiert! Müssen wir mal schauen wie wir das umsetzen können.

Vielen Dank!

Naja, das ist eine Sache des Vereins/Vorstandes. Das würde ich eigentlich ganz gerne etwas abgrenzen, denn solange man einfach „Open Source“ arbeitet würde da ja nicht „viel“ verloren gehen, wenn der Verein das zeitliche segnet. Wovon der Vorstand aber aktuell erstmal nicht ausgeht.
Das entscheidende ist ja die Community. Denn wenn keine Menschen hinter dem Freifunk in der Rhein Neckar Region stehen braucht es auch keinen Verein.
Also ich kann sehr gut verstehen, wenn du erstmal abwarten möchtest. Aber wenn es hier keine „Lebenssignale“ gibt lohnt es sich auch irgendwie nicht für den Verein und seine Gemeinnützigkeit zu kämpfen. :chicken: :egg: Ich denke man muss hier irgendwie ein Mittelmaß finden.

Ich habe da schon selber etwas gemacht: ffnode-zonefile-generator Das läuft aktuell bereits zum Test unter nodes.ff.tomhe.de und soll auch eigentlich demnächst auf nodes.ffrn.de kommen.

Dito; die Münsteraner lassen das aus ihren Ansible-Rollen fallen, scheint mir ein zielführender Weg zu sein (händisch klappt evtl. anfangs, skaliert aber nicht die Bohne …)

1 „Gefällt mir“

Liebes Admin Team! Danke, dass Ihr das macht! Ich bin sehr froh, dass diese Sache nun aus der Welt geräumt ist.Und ja, jetzt sollte jeder mit anpacken. Ich habe das gut durchdachte Pad durchgelesen.
Für mich gibt es da vor allem eine Sache: Zu Treffen einladen, den Ort kann ich bereitstellen, dort kann man auch basteln ( EMIL Lampertheim). Ich werde auch wieder Leute ansprechen und Werbung machen für Freifunk, sobald wir den Jahreswechsel 2019 überlebt haben. Ich persönlich werde dann versuchen, die 841er, die unter meinen Fittichen stehen, auszutauschen. Aber wo bekommt man derzeit einen 842 v3 oder eine 1043 er v5 ??

2 „Gefällt mir“

Hallo,

ich bin neu bei euch und betreibe selbst leider keinen Freifunk Router (Dank Wohnheim-Nutzungsbedingungen), habe aber zwei Ideen:

  1. Weniger komplexe Infrastruktur
    Wenn ich mir als Hobby-Informatiker so eure Liste anschaue, sieht das für mich ein wenig überwältigend aus. Ich kann mir auch vorstellen, dass das auch Auswirkungen auf die Praxis hat, da bei vielen moving parts auch Sachen vernachlässigt werden und von engagierten Menschen aufrecht erhalten werden müssen.
    Da eines eurer Probleme genau dieses Engagement ist, ist es denke ich gut, über Vereinfachungen zu diskutieren, bei denen maintenance und engagement auch besser möglich wären. Das sieht vielleicht erstmal nach einem Schritt rückwärts aus, aber das wäre glaube ich sehr im Sinne der Zukunft von FFRN und Community Engagement, nach dem Motto “simplicity is strength”. :)

  2. Mastodon statt Facebook(/Twitter)
    Ist glaube ich ein ziemlich simpler Punkt: Facebook ist eine missbrauchende, US-kontrollierte und -zensierte Datenschleuder sondergleichen, die allein in diesem Jahr bestimmt mehr als 5 Datenskandale hinter sich hat und dessen Unternehmenspolitik mehr als kritisch zu sehen ist. Im Sinne der Ethik und des nachhaltigen Engagements empfehle ich daher, Facebook abzuschalten und stattdessen das Fediverse zu nutzen, das geht auch ohne eigene Mastodon-Instanz (Stichpunkt Komplexität) z.B. bei chaos.social vom CCC oder tchncs.de.
    Es lassen sich auch einige Argumente gegen Twitter anbringen, aber bei Facebook gibt es mittlerweile echt keine Ausreden mehr. Twitter ist zwar auch erwiesenermaßen US-zensiert und hat kommerzielle Interessen, jedoch ließe sich da als Kompromiss z.B. Crossposting mit Mastodon einrichten, wobei Mastodon aber die erste Priorität sein sollte und Twitter das rein informative Replikat.

Ich bin auch gerne bereit, bezüglich Punkt 1 praktische Ideen beizusteuern, das verdient aber denke ich seinen eigenen Thread, wenn meine Idee hier überhaupt Zustimmung findet.

Das klingt doch super @Frank!

Das kann ich dir nicht so genau sagen. Es ist auf jeden Fall ein sehr wichtiger Punkt, da das Netz aktuell aus sehr vielen schwachen alten Geräten besteht die schon jetzt nicht so zuverlässig laufen und auch sehr oft einfach keine gute Erfahrung bieten. Glücklicherweise gibt es aber aktuell aber wieder einige Optionen. Eine definitiv interessante Option ist der mit 57€ etwas teurere (dafür gibt es aber auch 2,4 und 5 GHz mit WLAN AC, Gbit, 128 MB Flash, 256 MB RAM und 4 Kerne mit 717 MHz (ARM Cortex A7)) [das ist das Niveau der 4040 und des GL-B1300 allerdings mit 4 mal so viel Flash] AVM FRITZ!Repeater 1200. Das interessante ist das es diesen im lokalen Einzelhandel geben sollte und das Versions Chaos der TP-Link Geräte bei AVM wohl nicht so existiert. Wir unterstützen den noch nicht. Aber er sieht sehr sehr vielversprechend aus. Hat halt nur einen LAN Port. Aber ich denke sehr oft wir auch nicht mehr gebraucht (und dann gibt es ja noch die 4040). Wenn der also wirklich hält was er verspricht ist es verdammt cool. Das Flashen ist wohl noch etwas schwieriger, jedoch wird es dafür dann wohl (wie für die 4040) irgendwann ein Skript geben. Und man kann ja auch „Flash-Partys“ veranstalten.

Der TP-Link TL-WR841N hat ja beispielsweise auch nicht immer 15€ (in neu!) gekostet. Der war ja anfangs durchaus auch etwas teurer. Ich denke es ist langsam einfach an der Zeit upzugraden und dabei auch neue Entwicklungen wie WLAN-AC mitzunehmen.

Seit ich seit gestern den GL-B1300 habe bin ich ziemlich begeistert. Damit macht es echt Spaß.

Ich verweise immer sehr gerne auf die Tabelle der Darmstädter Freifunker. Dort haben sie sehr übersichtlich die Router in verschiedene Kategorien eingeteilt und die einzelnen Spezifikationen mit rot (eher schlecht - geht zwar, aber halt nicht super toll) und grün (super toll :star_struck:) versehen damit man sieht wo es hacken könnte. Und da dort auch Menschen dabei sind die sich an der Gluon und OpenWRT Entwicklung beteiligen glaube ich ihnen auch wenn sie schreiben das sie bei allen Geräten auf der Seite keine Bedenken für die nächsten 5 Jahre haben.

Ich neige aktuell eher dazu keine TP-Link mehr zu kaufen, da die vielen unterschiedlichen Versionen mir echt ziemlich auf die nerven gehen. Aber der Komfort ein Gerät aus dem Regal kaufen zu können hat halt schon seinen Preis.

Aber diese längere Antwort kratzt die Thematik halt auch nur an.

Hallo @unicorn und Herzlich Willkommen im Forum!

Ja mit den Wohnheimen ist das so eine Sache. Wenn da der DFN beteiligt ist, dann ist das so eine Sache. Ob aber solche Nutzungsbedienungen/AGB überhaupt zulässig bzw. gültig sind bzw. generell bei Internetprovidern mit legalen Mitteln der Nachweis erbracht werden kann ist auch noch fraglich.
Ich weiß nur das beispielsweise in Darmstadt in den Wohnheimen zwar Freifunk sicherlich auch „verboten“ ist , es aber auch keinen Sinn macht deren Uplink für Freifunk zu verwenden, da der Traffic auf doch ziemlich mickrige 100 GB begrenzt ist. Ist halt auch ein Mittel gegen das Teilen von Internetzugängen.

Naja gibt es wirklich so viel Infrastruktur? Die Gateways braucht es, das Forum braucht es als zentrales Kommunikationsmittel der Community. Über den Chat kann man diskutieren (allerdings für Vorstand und Admin Team durchaus praktisch), da würde ich aber prinzipiell anstatt des Rocket.Chat aber auch eher eine Matrix Lösung bevorzugen. Und was gibt es sonst noch? Grafana braucht man auch eigentlich zur Überwachung. Ich sehe jetzt nicht wirklich wo man da ohne Einbußen einsparen könnte. Klar könnte man sich auf andere verlassen und nicht so viel selbst hosten. Aber noch mehr zu zentralisieren sehe ich eher nicht als Fortschritt.

Ich denke auch das wir auf alternativen setzten sollten. Man muss aber dabei halt leider bedenken, das heutzutage sowohl jüngere als auch ältere (da aber sogar noch eher) teilweise noch nichtmal wissen was ein Browser ist und auch nur die gröbste Idee haben wie das Internet funktioniert (Bildungsauftrag des Vereins :wink:). Viele bewegen sich leider zu einem sehr großen Teil nur in den Facebook Produkten (WhatsApp, Instagram und ein paar ältere Herrschaften Facebook). Aber wenn wir die „Öffentlichkeit“ erreichen wollen braucht man leider auch die Platzhirsche. Aber ein Crossposting (und eine Verlinkung auf die bessere Alternative) sollte auf jeden Fall sein. Da hast du recht.
Man muss nur aufpassen das man nicht zu sehr kritisiert, oder die Menschen „belehrt“. Denn sehr viele wollen das nicht so gerne hören. Hier ist es sehr wichtig wie man das macht und sich geschickt anstellt.

Hmm. So, wie das FFRN-Netz (und aktuell viele Freifunk-Netze) funktioniert, braucht man „FFRN-seitig“ die Gateways, auf denen fastd als VPN-Tunnellösung läuft. Alle Gateways müssen dabei auf Ebene 2 verbunden sein, dafür braucht es in der Regel Tunnel, die Ethernetframes weiterleiten können …

Wenn man einmal verstanden hat, wie B.A.T.M.A.N. Advanced-Netze funktionieren, tut das alles gar nicht mehr soo doll im Kopf weh wie vorher ;)

Der Schlüssel ist, den ganzen Kladderadatsch zu automatisieren, d. h. daß auf den richtigen VMs die richtigen Konfugurationen eingestellt werden, um das Ziel, ein funktionsfähiges Freifunk-Netz, zu erreichen.

Man kann natürlich darüber reden, ob ein quadratkilometergroßes Layer-2-Netz eine so kluge Idee ist und nicht vielleicht die Rettung auf Layer-3 (mit Babel oder BMX6/7) läge. Leider muß ein Teil der Administratoren auf diesem Terrain sich zuhause fühlen, denn letztlich ist es eine Netzwerkgeschichte, die wir hier veranstalten.

Das Vereinfachungspotential hinsichtlich des reinen Netzes ist meines Erachtens denn auch eher marginal.

Ob man Forum, Blog, Chat, Ticketsystem, Monitoring, Reporting, Karte, … wirklich braucht, kann man diskutieren, aber teilweise hängt das dann auch zusammen: für die Statistiken in der Karte braucht man die Daten, die das Reporting sammelt. Für einen Überblick braucht man ein Monitoring, sonst können z. B. im Forum gemeldete Probleme kaum eingeordnet werden. Und so weiter, und so fort.

Was spricht dagegen, einfach einen Channel auf matrix.org zu eröffnen? Man muss es ja nicht selbst administrieren, Datenschutz wäre durch E2E-Verschlüsselung in 1:1 Chats gegeben.

Ich selbst würde mich auch bereiterklären, meine Matrix-Installation auf tilde.fun zu öffnen.

Kostet die Administration des Chats aktuell viel Zeit?

Aktuell ja, da wir, bzw. überwiegend @TomH, nach und nach alles aktualisieren und dabei das eine oder andere auch mal uns vor die Füße fällt — generell würde ich eher sagen, daß das wenig laufende Pflege benötigt. Nutzung kann man sich ja 2020 genauer ansehen und ggf. das Produkt wechseln oder den Chat ganz einstellen, falls die Admins die einzigen Nutzer sind.

Mal eine ganz andere Frage: das alte Admin-Team hatte immer Kopfschmerzen was L2TP anging, und weiterhin Fastd benutzt. Ich habe die Vor- und Nachteile nicht ganz 100%ig überschauen können, hätte mich aber über L2TP und die dadurch mögliche Performance schon gefreut.

Daher mal meine Frage ans neue Admin-Team: habt ihr vor, dauerhaft auf Fastd zu bleiben, oder plant ihr langfristig auf etwas anderes (gibts noch alternativen zu L2TP?) umzusteigen?

Zitat:

Gluon integrates several OSI-Layer 2 tunneling protocols to enable interconnects between local meshes and provide internetwork access. Available protocols currently are:

  • fastd
  • L2TPv3 (via tunneldigger)

fastd is a lightweight userspace tunneling daemon, that implements cipher suites that are specifically designed to work well on embedded devices. It offers encryption and authentication. Its primary drawback are the necessary context-switches when forwarding packets.

L2TPv3 is an in-kernel tunneling protocol that performs well, but offers no security properties by itself. The brokering of the tunnel happens through tunneldigger, its primary drawback being the lack of IPv6 support.

Kurz und sehr stark verallgemeinert:

fastd = UDP-basierter Tunnel mit Authentifizierung der Gegenstelle und wahlweise verschlüsseltem Inhalt, Tunnelcode läuft im Userkontext (wie z. B. auch OpenVPN).

tunneldigger+l2tp = UDP-basierter Tunnel mit unverschlüsseltem Inhalt, Tunnelcode läuft im Kernelkontext (wie z. B. GRE, IPSec, WireGuard).

fastd kostet leider „sehr viel“ CPU-Ressourcen auf den Router-CPUs und auch den Gateways, da jedes Paket aus dem Kernel- in den Userspace und wieder zurück in den Kernelspace geschoben werden muß — das ist bei L2TP nicht der Fall, die Pakete bleiben im Kernelspace. (Das ist auch ein Grund, warum WireGuard deutlich performanter als OpenVPN sein kann.)

Persönlich finde ich die L2TP-Lösung charmanter (ein offenes WLAN verschlüsselt zu übertragen ist irgendwie sonderbar), bei FFGT stellen wir „derzeit“ darauf um.
Für FFRN sehe ich das nicht als vorrangiges Thema, aber es wird zwischen uns Admins immer mal wieder diskutiert, genauso, wie die Entwicklung um Babel und WireGuard verfolgt wird; erst einmal haben wir aktuelle Firmware-Releases und Übernahme und Neuordnung der bestehenden Infra auf dem Zettel. (Da wir u. a. bei IPv4-Adressen beschränkt sind, ist das auch nicht so einfach, „mal eben schnell“ eine Testumgebung zu starten.) Ich denke sagen zu können, auch aus den Gesprächen mit dem Vorstand im Vorfeld der Bildung des neuen Admin-Teams, daß wir L2TP zumindest nicht kategorisch ablehnen ;-)

Hallo Wusel,

vielen Dank dass Du Dir soviel Zeit genommen hast zu antworten. Die technischen Details, die Du geschrieben hast, waren mir alle bekannt, es ging da eher im Möglichkeiten, amoklaufende Knoten zu blocken und solche Features, die wohl mit Fastd einfacher waren als mit L2TP.

Ich bin auf jeden Fall froh, dass sich da am Horizont Verbesserungen abzeichnen :-)

Wenn mal eine neue Firmware fertig ist, biete ich mich gerne als Beta-Tester an.

Ah, sorry, wußte nicht, auf welchem Level ich ansetzen sollte. FTR, Du kannst einzelne fastd-Tunnel anhand des Schlüssels und l2tp-Tunnel anhand der Node-ID sperren. Das geht also bei beiden Lösungen.