Plan B für die Router

Moin.
Um es ganz klar zu sagen: mir liegt der Verein am Herzen und ich will gerne dazu beitragen, dass er weiter existieren kann. Trotzdem frage ich mich in letzter Zeit. Haben wir einen Plan B für den Fall, dass der Verein zum Ende des Jahres abgewickelt wird? Also ich meine jetzt die 900 Router, die in Betrieb sind.
Mir wäre es wichtig, dass die dann ein “update” bekommen, damit sie weiterhin funktionieren. Sei es nun auf eine andere Community, oder was auch immer technisch möglich ist.

Ich habe ca. 40 Router am Start, die manchmal auch recht weit weg sind. Es wäre nicht leitsbar, die alle von Hand vor Ort umzuflashen.
Gleichzeitig kann das “update” ja nur so lange eingespielt werden, solange es unseren Verein noch gibt und die Server noch laufen. Daher habe ich das Gefühl, diese Diskussion anstoßen zu müssen.

Worst case wäre für mich, : Verein tot. als Router tot, alle Nutzer denken: Freifunk ist kacke, ich bekomme böse Anrufe und Mails und muss mich die ganze Zeit rechtfertigen…

1 „Gefällt mir“

In den letzten Tagen ist mir hierzu auch eine Möglichkeit in den Sinn gekommen:
Gibt es irgendwo eine Übersicht welche Kosten monatlich für die Gateways aufkommen? Ich kann mir vorstellen, dass eine gewissen Spendensumme pro Monat auch ohne Verein zusammen zu bekommen ist. Offen bleibt die Haftungsfrage. Gäbe es hier die Möglichkeit den Traffic der Gateways bei einem VPN-Anbieter wie z.B. NordVPN abzuwerfen?
Somit müsste auf den Clients selbst nichts geändert werden, die Gateways (oder zumindest ein Teil davon, die Finanzen des Vereins sind mir nicht bekannt) könnten weiter betrieben werden, wenn sie vor Abwicklung des Vereins an jemand anders überschrieben werden. Dadurch, dass der Traffic bei einem VPN-Anbieter abgeworfen wird, könnte dies auch eine Privatperson sein.

Nur eine fixe Idee die mir in den letzten Tagen gekommen ist. Wäre sowas realisierbar und in deinen Augen sinnvoll?

1 „Gefällt mir“

Natürlich kann man den Traffic auch nicht direkt am Gateway ausleiten. Gängig sind andere Varianten, wie z.B. mullvad, AirVPN, FFRL oder andere Vereine, über die die Ausleitung denkbar wäre.
Die VPN-Anbieter bringen dann eventuell technische Einschränkungen mit, wie ip4 only oder Ausland - ist also auch ein ganzes Stück Geschmacksfrage.

1 „Gefällt mir“

Gluons »Autoupdate« bedingt zweierlei: Kontrolle über die in der zu aktualisierenden Firmware hinterlegten Updateserver sowie Zugang zu den in der zu aktualisierenden Firmware hinterlegten Schlüsseln.

Das sollte der Vorstand liefern können; effektiv wird man mit mind. 60 EUR/Monat/Host rechnen müssen, sei es für einen Server von Hetzners Resterampe oder eigene Hardware, die man z. B. bei IN-Berlin unterstellt (optional inkl. Community-IX-Zugang).

Genau das möchte ›der Freifunk‹ ja eigentlich nicht, daher gibt es mindestens über den Freifunk Rheinland e. V. (FFRL) die Möglichkeit, »Exit-Tunnel« zu bekommen, sodaß der Datenverkehr in Deutschland ausgeleitet wird. Neben dem FFRL betreiben u. a. auch der Freifunk Nordwest (FFNW) und Freifunk Kreis GT (FFGT) eigene Netzwerkinfrastrukturen, die auch anderen Communities auf Anfrage zugänlich sind. (Heißt: die Abmahnmafia (Zivilrecht) fängt für FFRN-Nutzer die vorgelagerte Institution (FFRL, FFNW, FFGT, …) ab — die Möchtegern-Spielplatzattentäter (Strafrecht) führen nach wie vor zu Untersuchungen über die hinterlegten Kontakte vor Ort.)

Jenes Szenario ist eher unwahrscheinlich; der Verein dürfte die Hosting-Verträge eingegangen sein, jene an einen Dritten zu übertragen, ist im Massengeschäft eher nicht vorgesehen — lies: vom Anbieter nicht unterstützt. Geht letztendlich auch um den Datenschutz.

Im Gegenteil, FFRL (wie auch FFNW, FFGT, …) böte(n) gerade die Möglichkeit, ein dediziert für FFRN-Zwecke zugewiesenes IPv6-Netz zu nutzen — anders als die Ausleitung mit Hetzner-Adressen derzeit. (Für IPv4 gibt’s bestenfalls 'ne Adresse je Gateway, typisch 4 IPs je Community — IPv4 isch over.)

2 „Gefällt mir“

Also zumindest bei Hetzner ist das problemlos möglich, schon mehrmals praktiziert.

daher gibt es mindestens über den Freifunk Rheinland e. V. (FFRL) die Möglichkeit, »Exit-Tunnel« zu bekommen, sodaß der Datenverkehr in Deutschland ausgeleitet wird. Neben dem FFRL betreiben u. a. auch der Freifunk Nordwest (FFNW) und Freifunk Kreis GT (FFGT) eigene Netzwerkinfrastrukturen, die auch anderen Communities auf Anfrage zugänlich sind.

Das wäre natürlich der bessere Weg. Verstehe ich es also richtig, dass in diesem Fall der Verein als juristische Person sterben kann und sich dann im schlechtesten Fall beim FFRN nur noch jemand um Forum, Website und Firmware-Updates kümmern muss und als Ansprechpartner für die „ausleitende Community“ zur Verfügung stehen muss?
Klar, da bleiben immer noch genug offene Punkte, aber ich denke mal die größte Hürde, die ein sterben der derzeit aktiven Nodes bedeuten würde, wäre damit genommen.

1 „Gefällt mir“

Also wenn du auf allen Routern deinen SSH Key hinterlegt hast könntest du die Router auch selber Remote auf etwas anderes umziehen. Nicht ganz trivial, da die Router vorab konfiguriert werden müssen. Aber im Prinzip sind das genau die gleichen Probleme wie wenn man das zentral machen möchte.

Da wir wissen das es 50 Mitglieder für die aktuellen Ausgaben des Vereins braucht (Quelle: Freifunk Rhein-Neckar Pads), der Verein im wesentlichen die Gateways als Kosten hat und die Mitglieder 60 € Mitgliedsbeitrag bezahlen lässt sich das einfach ausrechnen: 50 Mitglieder * 60€ / 12 Monate = 250 € pro Monat Vereinsausgaben.
Von den 250 € werden 3 Server bezahlt. Der Verein wird dann beispielsweise auch noch Ausgaben für die Rechtsschutzversicherung haben. Aber die von @wusel genanten 60 € für dedizierte Server sind etwa das was man erwarten sollte.
Was ich mich ja frage ob es denkbar und eventuell sogar billiger wäre „Cloud“ Server (beispielsweise auch von Hetzner) vor allem aber auch praktischer anstatt der dedizierten Server zu nutzen.

Eine Möglichkeit die es beispielsweise auch gäbe wenn jeder der möchte privat ein Gateway sponsert und ggf. auch betreibt. Die Gateways werden dann alle untereinander verbunden und die Ausleitung erfolgt über FFRL, FFNW, FFGT, … Im Bereich Freifunk Franken gibt es beispielsweise solche Ansätze.

Wenigstens bei meinen bisherigen Versuchen hat das autoupdate bei Gluon aber nur funktioniert wenn eine Verbindung mit einem Gateway hergestellt werden konnte. Es hat also nicht gereicht das der Knoten Internet hatte. Man kann also nicht einfach irgendwann ein Update auf die URL legen, es zu signieren und dann hohlen sich die Knoten innerhalb von 24h automatisch die neue Firmware.

Da ist etwas zu einfach gedacht denke ich. Zwar ist ein Freifunk Netz mit Gateways die von privaten Leuten betrieben werden durchaus denkbar und für mich auch durchaus reizvoll. Aber das müsste ja auch erstmal finanziert und organisiert werden. Und ob das rechtlich in Ordnung ist, ist auch eher fraglich. Die Leute haben sich ja eine Firmware des Freifunk Rhein Neckar e.V heruntergeladen. Dementsprechend würde man ja annehmen das die Gateways auch von diesem betrieben werden. Und auf der Freischaltseite der Keys, der Downloadseite für die Firmware usw. stehen ja keine Nutzungsbedingungen die gegenteiliges erlauben. Eventuell wäre es in Ordnung, wenn der FFRN e.V. mit den Gateway Betreibern ein Abkommen schließt oder dergleichen. Aber einfach fremden Zugang zu Domains und den privaten Schlüsseln die man für den Betrieb benötigt zu geben höht sich für mich schwierig an.

1 „Gefällt mir“

Gateways und Netzinterna wie dhcp wird weiterhin gebraucht. Nur leiten die Gateways nicht direkt aus, sondern über Tunnel weiter.

1 „Gefällt mir“

Hmm, war Dein Firmwareserver per IPv6 erreichbar? Die Knoten haben im Grunde nur IPv6 (Knoten mit WAN-Link ausgenommen). Verzeichnislayout paßte?

wusel@ysabell:~$ wget -6 -O /tmp/out 'http://fw.gluon.ffrn.de/stable/sysupgrade/stable.manifest'
--2019-10-17 23:37:19--  http://fw.gluon.ffrn.de/stable/sysupgrade/stable.manifest
Auflösen des Hostnamen »fw.gluon.ffrn.de (fw.gluon.ffrn.de)«... 2a01:4f8:10a:3b48::19
Verbindungsaufbau zu fw.gluon.ffrn.de (fw.gluon.ffrn.de)|2a01:4f8:10a:3b48::19|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 126815 (124K) [application/octet-stream]
In »»/tmp/out«« speichern.

/tmp/out                     100%[============================================>] 123,84K   673KB/s    in 0,2s    

2019-10-17 23:37:19 (673 KB/s) - »/tmp/out« gespeichert [126815/126815]

Hmm, ich meine, das wird über die »Priorität« gesteuert; bei uns ziehen sich die Knoten binnen 4-8 Stunden ein neue Update …

# Default priority for updates.
GLUON_PRIORITY ?= 0

So macht das partiell der Freifunk Münsterland; einige Server betreibt und bezahlt der Förderverein (nicht gemeinnützig), einige Server stellen Privatleute. Somit gibt es eine ›abgesicherte‹ Basisinfrastruktur, gleichzeitig die Möglichkeit der direkten Partizipation von Bürgern/Freifunkern. (Und dank hochgradiger Automatisierung per Ansible sind »weggefallene« Server schnell auf anderen Systemen wieder aufgesetzt.)

Warum sollte das rechtlich fraglich sein? Es ist für den beim Hoster hinterlegten Kunden ggf. ein Problem, weil er erster Ansprechpartner der Behörden ist. Das übernimmt bei einem Verein ggf. der Vorstand … Wenn die Ausleitung nicht lokal geschieht, verlagert sich aber auch das Problem.

Das sehe ich zwar nicht so, aber bei einer Umstellung sollten die Knotenbetreiber definitiv informiert werden und ihnen Zeit gegeben, den Knoten oder das Autoupdate abzuschalten.

Welche Schlüssel meinst Du? Optimalerweise erweitert man die Anzahl der gültigen signing keys im Vorfeld per Firmware-Update, bevor die Leute wechseln, sodaß Kontinuität sichergestellt wird.

2 „Gefällt mir“

Wow, also, es freut mich, dass hier so eine lebendige Diskussion stattfindet. Technisch bin ich zwar schon länger ausgestiegen, aber organisatorisch scheint mir folgendes wichtig:

  1. Der Verein macht eine MGV und gründet die Nachfolgeorganisation, die eben nicht mehr gemeinnützig ist. Mitgliedsbeitrag 60-100 € jährlich.
    1b Vielleicht kann man die Satzung dahingehend ändern, dass der Erbe des FFRN der neue Verein ist ?
  2. Der Verein informiert alle Knotenbetreiber, dass, wenn sie auto-Update anlassen, eben die Ausleitung über die neue Lösung erfolgt. Mit Frist und so. Wenn die Ausleitung über FFRL erfolgt, ist das jau auch wieder Freifunk, oder?
  3. Jemand, mit Kenntnissen, bereitet das große Crossgrade vor und hält es bereit.
  4. Am Tag X, den wir eben auf dieser MGL bechließen, erfolgt das Crossgrade auf die neue FW mit der neuen Ausleitung.
2 „Gefällt mir“

Ich empfinde diese Diskussion hier zum Thema „Wie geht es weiter?“ auch zum ersten Mal als angenehm und lösungsorientiert. :+1:

Das wäre wohl der Weg. Bleibt nur noch offen, ob der neue Verein genügend Mitglieder zur Finanzierung erhält. Wie oben aber schon bereits angesprochen, lassen sich die Kosten bestimmt reduzieren. (Cloud-Server anstatt dedizierte Server) Hierzu wären aber tiefere Blicke in die vorhandene Struktur nötig. (Derzeitige Auslastung, etc.)
Außerdem benötigt man weiterhin jemand der Zugriff auf die bestehenden Gateways erhält und das nötige Wissen hat. Ich selbst bin zwar Informatiker und habe mich in anderen Themen schon angeboten, dass ich mir eine Mitarbeit durchaus vorstellen kann. Allerdings traue ich es mir persönlich wiederum auch nicht zu in relativ kurzer Zeit mich so in die Materie einzuarbeiten, dass ich neue Gateways aus dem Boden stampfen kann bzw. die bestehenden umziehen kann.

2 „Gefällt mir“

Ob man jetzt einen neuen Verein gründet oder der aktuelle Verein seine Gemeinnützigkeit ablegt ist denke ich vergleichsweise egal. Ob eine Nachfolgeorganisation welche nicht gemeinnützig ist von einem gemeinnützigen Verein beerbt werden kann ist vermutlich ähnlich aufwendig wie ein ablegen der Gemmeinnützigkeit. Das sind Fragen welche der Vorstand mit einem Anwalt klären sollte. Im Endeffekt macht es vermutlich auch kaum einen Unterschied. Das aktuelle Vereinsvermögen dürfte (wenn ich mich richtig erinnere) irgendwo im Bereich 2000 € liegen. Eventuell ist es weg. Eventuell nicht. Ist dann halt so. Wie gesagt eher nicht das Problem der Community sondern das des Vereins.

So ein Modell fände ich ja sehr reizvoll. So kann man auch wesentlich leichter ein Community Projekt daraus machen, da jeder der will mal testen darf. So kann auch ein sanfterer Einstig in die Administration des Backends gegeben werden.

War zu großen Teilen ein Denkfehler von mir.

Zwar war bei meinen Servern und Routern IPv6 verfügbar und auch alles richtig eingetragen (Updates mit Verbindung zu den Gateways haben geklappt). Aber meine Überlegung ging auch ein wenig in die Richtung was passiert wenn ein Update mal fehlerhaft sein sollte und aus welchen Gründen auch immer die Knoten keine Verbindung mit den Gateways herstellen können. Dann wäre es natürlich sehr praktisch ein Firmware Update auf den Server legen zu können und die Router ziehen sich das. Wenn dafür aber eine IPv6-Verbindung erforderlich ist (ich erinnere mich etwas dementsprechendes gelesen zu haben), aber dann wäre so ein „Notfall-Restore“ ja eh nur bei einem Bruchteil der Knoten möglich. Aber das gehört wohl eher nicht in die Diskussion hier.

1 „Gefällt mir“

Es freut mich wirklich sehr, dass hier wieder konstruktive Ideen ausgetauscht werden :)

Wenn ich mich recht entsinne, dann hatten wir mal temporär beim Umstieg auf Gluon einen TFTP-Server im Freifunk-Netz laufen, der Firmware verteilte, um defekten Knoten einfach wieder ein Image zugänglich zu machen. Das sollte also möglich sein.

1 „Gefällt mir“

Richtig; wobei bzgl. der Community ja auch noch ein paar Tätigkeiten vakant sind, Stichwort Webseite, Blog, (Re-)Präsentation, … Nicht direkt das Thema hier, aber ohne daß sich auch ein paar Leute dafür begeistern können, würde ein Umzug auf andere Infrastruktur doch auch nur eine leidensverlängernde Maßnahme sein?

Dafür gibt’s ein Gluon-Package, mit dem der verbindunglose Knoten versucht, sich als Client an umliegenden [FfRrEeIiFfUuNnKk]-SSIDs anzumelden und darüber das Autoupdate zu fahren … Außerdem testet man FW normalerweise an ausgesuchten Knoten vorab (experimental - testing - stable) ;-)

2 „Gefällt mir“

Naja aus meiner Sicht liegt hier momentan so ziemlich alles brach, da es irgendwie eine große Unklarheit darüber gibt ob es eine Zukunft des FFRN gibt. Ich habe beispielsweise aktuell wenig Lust Zeit und Energie in Webseite, Wiki, „Öffentlichkeitsarbeit“, … zu stecken, wenn in 2,5 Monaten die Lichter ausgehen. Klar könnte man sagen, das ein möglicher völlig unabhänig gegründeter Nachfolgeverein davon profitieren könnte. Aber mir persönlich waren das bisher einfach zu viele Unsicherheiten. Und ich könnte mir vorstellen das dies anderen auch genauso geht.
Wenn man aber etwas Klarheit über die Zukunft schafft könnte das denke ich durchaus motivierend wirken und das ganze Projekt wieder etwas Fahrt aufnehmen.

Das geht nicht. Ansonsten könnte man ja immer steuerbegünstigte Spenden sammeln und sie dann in kommerzielle Projekte stecken.
Geld vom einem gemeinnützigem Verein muss an gemeinnützige Vereine weiter gegeben werden. Das wird schon in der Satzung festgelegt und ist Voraussetzung, dass ein Verein gemeinnützig werden kann.

Übrigens gibt es immer noch die Meinung des Anwalts, dass die Gemeinnützigkeit erstmal erhalten bleibt - wenn ich das in dem Bericht richtig deute.

2 „Gefällt mir“

Das war auch erst das was ich schreiben wollte. Hatte aber dann noch mal gegoogelt und auf einer Seite stand das es mit Steuernachzahlungen usw. möglich wäre. Das es schon seinen Sinn hätte, dass es nicht möglich ist, ist schon klar. Aber es sind ja nicht immer alle Schlupflöcher geschlossen.

Danke, das hatte ich schon wieder etwas verdrängt.
So ganz genau „möchte“ ich mich mit dem Vereinssteuerrecht auch gar nicht beschäftigen (wenn ich es überhaupt nicht muss). Für diese Aufgaben hat der FFRN ja glücklicherweise einen Vorstand.
Vielen Dank @Michel @fbausch @sur5r das ihr das erledigt :+1:

Wäre denn der bestehende Verein ggf bereit, Images eines “Beispiel”-Gateways bereitzustellen? Von einer funktionierenden Referenz-Installation ausgehen zu können, würde das Aufsetzen neuer Gateways massiv vereinfachen.

Naja, eigentlich ist das ziemlich straight forward - batman Modul installieren und dann je nach gusto dhcp/radv + nat + fastd. IMHO ist das meiste Konfig die sich aus dem individuellen Setup (IP-Adressen etc) des Gateways oder von Definitionen “so soll unser Netz laufen” ergeben.
Zumindest für den reinen Betrieb reicht das dann schon. Für Karte, Forum, Wiki etc gibt es dann mehr zu tun.

Unter Gateway aufsetzen hat sich @tomh ja schon erfolgreich beschäftigt, dort sind auch die ansible Rollen verlinkt.

Ich habe für KA auch mal als Notbehelf eine VM hochgezogen - falls nötig kann ich auch schauen ob ich die noch finde. Alternativ gibt es vermutlich fertige Images, Docker etc im Netz.

1 „Gefällt mir“

Ein neues Setup (Gateways inkl. Karte, InfluxDB und Grafana) ist, Ziel-VMs vorhanden, mit dem Münsteraner Ansible-Zeug in ~1h fertig aufgesetzt; das ist wirklich eine schöne, vielleicht teils zu spärlich dokumentierte, Arbeit (use the Source, Luke!). Mittlerweile soll das auch wieder für fastd-Setups tun …

Insofern liegt es, denke ich, eher nicht an …

…, das kann man mit FFRN- und/oder FFMS-Ansible-Rollen erschlagen.

Der technische Status bei FFRN ist, AFAICT, dieser:

Dafür, daß nur noch ein Admin und auch nur noch auf Zuruf aktiv ist, läuft, den Stimmen im Forum nach zu urteilen, die Technik mehr als reibungslos? (Das ist auch der Grund, warum ich »todesmutig« meinen Hut in den Admin-Ring schmeiße: normalerweise läuft der Serverkram einfach vor sich hin; streßlevelsenkend wirken tendenziell HW-/VM-Reserven; (Freifunk-) Server-Admin ist ein eher ein langweiliger Job :smile:)

Offene Punkte aus meiner Sicht:

  • Statement des »FFRN-Vereins« (sprich: des Vorstandes), wie er sich die zukünftige Zusammenarbeit bzw. auch Zusammensetzung des »Admin-Teams« vorstellt
  • Meinungsfindung in der Community, wie jene sich die Zukunft vorstellt, durchaus auch personell
  • Info an die zukünftige Admin-Crew, wann es wie weitergeht
    • darin: Selbstorganisation »wer macht was«
  • Besetzung anderer vakanter Positionen in der FFRN-Community

Sofern, davon geht der Vorstand ja wohl derzeit aus, am 31.12.2019, 24:00 Uhr, eben nicht die Lichter ausgehen, wäre die Klärung bzgl. der Stabübergabe vom Letzten an die Neuen Admins spätestens im November zweckmäßig; und auch für den anderen Fall müßten langsam mal Weichen gestellt werden, damit eben nicht am 1.1.2020 alle betroffen ins Leere gucken.

IMHO, YMMV.

3 „Gefällt mir“

Das ehrt Dich und zumindest ich haette da keine Bedenken, wuerde aber wuenschen, dass die anderen Admins neben Dir auf laengere Sicht den ganzen Job machen.

Es ist schwer sich neben jemanden zu entwickeln, der sowieso alles weiss und alles in einem Bruchteil der „eigenen“ Zeit erledigt.
Das waere zu beruecksichtigen.

adorfer hat im „grossen Forum“ letzens geschrieben, dass es fuer eine Freifunkcommunity mindestens zwei Leute braucht, die Freifunk zu ihrem Lieblingshobby machen, fand ich treffend die Aussage. Das war hier, Du kennst den Thread: Über welchen Kanal kommen Infos? - #10 von adorfer - Wuppertal - Freifunk Forum