Routingprobleme
Routingprobleme
Derzeit sind Router hinter einem HNA bzw. VPN Router nicht zu erreichen da die 26.10 bzw. 1.27 scheinbar die Routen zu diesen Routern auf sich zieht und damit einen Loop zwischen 1.1 und 1.27 erzeugt, laut Traceroute). Auch hat die 26.10 auf dem vpn1 einen viel höheren ETX als alle Anderen.
tuxmos 8.26 - 8.28
Re: Routingprobleme
Ich vermute, das bleibt so bis das neue System aus Gluon-Firmware mit batman und neu konfigurierten VPN-Servern steht. Schritt für Schritt gehts voran. Das ist, denke ich, eher ein Zeichen für den langsamen Wechsel. Knotenliste ist Anfang 2018 auch verschwunden und die Topologie ist seit zwei Wochen oder so down. Stay tuned 
SyntaxError: invalid syntax
Re: Routingprobleme
Meines Wissens laufen die Router mit Luci (bisherige Firmeware) und die mit Gluon über vollkommen separate VPN-Server und kommen sich damit nicht ins Gehege. Meinen Router hab ich schon auf Gluon umgestellt und damit weiß ich nicht mehr, was im "alten" Netz gerade passiert bzw. welche Schwierigkeiten es da wohl gerade gibt. Aus der Zeit mit Luci weiß ich aber, daß vpn1 und 2x nicht unbedingt harmonisch miteinander/untereinader Kommunikation ermöglich(t)en, so daß sich die Anzahl er erreichbaren Dienste/Knoten stark davon unterschied, mit welchem VPN-Server man primär verbunden war (1 war da schon schlechter als 2x). Könnte mit dem aktuellen Problem zu tun haben. Mit den Knoten, die mit Gluon laufen jedenfalls nicht.
Gluon ist zwar noch in der Testphase, läuft aber offenbar geradeaus, die VPN-Verbindungen (vpn3) laufen auch stabil. Also was spricht gegen die Umrüstung, wenn Luci mit den VPN-Verbindungen zickt und die dafür vorgesehenen Server sowieso früher oder später umgerüstet/abgeschaltet werden? Die meisten der bisherigen Router dürften jedenfalls unterstützt werden.
Gluon ist zwar noch in der Testphase, läuft aber offenbar geradeaus, die VPN-Verbindungen (vpn3) laufen auch stabil. Also was spricht gegen die Umrüstung, wenn Luci mit den VPN-Verbindungen zickt und die dafür vorgesehenen Server sowieso früher oder später umgerüstet/abgeschaltet werden? Die meisten der bisherigen Router dürften jedenfalls unterstützt werden.
Es gibt Windows oder das Betriebssystem eines Drittherstellers 
Re: Routingprobleme
Hi! Wo hast du dein Gluon hergenommen? Haben wir ein Repo? Zieht man eine Firmware.bin wie ganz früher oder gibts ein Tool davor wie Meshkit?
SyntaxError: invalid syntax
Re: Routingprobleme
...nein, ein Meshkit gibts da nicht. Zuerst das Factory-Image und später bei eventuellen Updates genügt "sysupgrade" (ein Image aus dem anderen Ordner). Den Link hat ja tuxmos schon geschickt, über die Seite hier geht's aber auch, über "Mitmachen - Firmware".
Wichtig für HNAs ist die Registrierung des VPN-Schlüssels unter "Mitmachen - VPN-Schlüssel speichern" oder https://freifunk-halle.org/fastd weil sonst gar nichts geht. Im Normalbetrieb bekommt man nur bei bestehendem VPN-Tunnel oder Verbindung zu einem Mesh-Nachbarn mit VPN eine IP4 per DHCP, ansonsten ist die Router GUI am WAN-Port (oder WLAN) über http://10.62.0.100 ggf. nicht erreichbar. Alternativ könnte man das dann über IP6 (http://[fd0f:8db3:d50a::100]/) versuchen, was dann aber auch nicht unbedingt klappen muß (manchmal dauert es nur ein wenig, bis das geht.. IP6-Eigenart
). Oder Computer LAN passend konfigurieren 
Im Config-Mode gibt es keinen DHCP-Server, weshalb man dann seinen Computer ebenfalls von Hand passend einstellen muß, um die GUI am LAN-Port(!!) über http://192.168.1.1/ erreichen zu können. Nach dem Flashen des Factory-Images ist man nach dem ersten Boot zunächst erst mal im Config-Mode. Nach einigen überschaubaren Einstellungen ist der Knoten nach dem nächsten Reboot dann betriebsbereit.
Wichtig für HNAs ist die Registrierung des VPN-Schlüssels unter "Mitmachen - VPN-Schlüssel speichern" oder https://freifunk-halle.org/fastd weil sonst gar nichts geht. Im Normalbetrieb bekommt man nur bei bestehendem VPN-Tunnel oder Verbindung zu einem Mesh-Nachbarn mit VPN eine IP4 per DHCP, ansonsten ist die Router GUI am WAN-Port (oder WLAN) über http://10.62.0.100 ggf. nicht erreichbar. Alternativ könnte man das dann über IP6 (http://[fd0f:8db3:d50a::100]/) versuchen, was dann aber auch nicht unbedingt klappen muß (manchmal dauert es nur ein wenig, bis das geht.. IP6-Eigenart
). Oder Computer LAN passend konfigurieren Im Config-Mode gibt es keinen DHCP-Server, weshalb man dann seinen Computer ebenfalls von Hand passend einstellen muß, um die GUI am LAN-Port(!!) über http://192.168.1.1/ erreichen zu können. Nach dem Flashen des Factory-Images ist man nach dem ersten Boot zunächst erst mal im Config-Mode. Nach einigen überschaubaren Einstellungen ist der Knoten nach dem nächsten Reboot dann betriebsbereit.
- ..so könnte die GUI im Normalbetrieb aussehen...
- screen.JPG (125.54 KiB) 45378 mal betrachtet
Es gibt Windows oder das Betriebssystem eines Drittherstellers
Re: Routingprobleme
Danke für die Infos. Damit habe ich es auf einem 1043 und einem 4300 installieren können, Test danach hat funktioniert. Jetzt kann ich überlegen, wie ich die Wolke aus vier Routern hier schwenke.
Eines möchte ich noch erfragen, nämlich wie ich per ssh auf die neue Firmware draufkomme. Habe mir einen pubkey hinterlegt, finde aber einfach nicht die Adressen der Router raus. "routername.ffhal" klappt auch nicht. Gibts irgendwo eine Liste mit den verbundenen Routern wo ich nachgucken könnte?
VG, schönes WE
Eines möchte ich noch erfragen, nämlich wie ich per ssh auf die neue Firmware draufkomme. Habe mir einen pubkey hinterlegt, finde aber einfach nicht die Adressen der Router raus. "routername.ffhal" klappt auch nicht. Gibts irgendwo eine Liste mit den verbundenen Routern wo ich nachgucken könnte?
VG, schönes WE
SyntaxError: invalid syntax
Re: Routingprobleme
Habe auch festgetellt, daß die Aufösung von (routername).ffhal nicht funktioniert. Ist mir aber auch erst nach Deinem Hinweis aufgefallen.
Jeder Router im Netz sollte, falls konfiguriert, remote (per SSH) über seine IP6-Adresse (und am Nachvollziehbarsten NUR über diese) erreichbar sein. Diese stehen ja auch auf der Statusseite jedes Knotens. Wenn die Neugestaltung der Routerkarte abgeschlossen ist (und ich denke, daß man sich da am Vorbild des Harz-Netzes orientieren wird), wird man jede IP6-Adresse dort sicher auch sehen können.
Die Adresse auf der Statusseite, die mit fd0f:... anfängt ist dabei die benötigte. Über sie (als bekannt vorausgesetzt) erreicht man auch die Statusseiten der Router, die gerade nicht in der Liste der Nachbarknoten angezeigt werden, aber trotzdem online sind.
Als Notbehelf für einen Aufruf über einen Namen kannst Du ja Deine hosts-Datei mit den für Dich interessanten Einträgen vervollständigen. Also für die Router, die von Dir administriert werden. Bei allen ist diese Information ja für Dich nicht von Bedeutung, denke ich mal. Zumindest für den Zugriff via SSH.
Der Teil fd0f:8db3:d50a:: ist übrigens für alle Router im Halle-Netz gleich (entspricht der Adresse unseres privaten Netz-"Segmentes" oder übersetzt in das IP4-Verständnis "der Netzwerkadresse").
Das vereinfacht vielleicht die Übersicht ein wenig. Der Rest der vollständigen IP wird nach bekanntem Schema von der MAC abgeleitet und entspricht damit einem normalen möglichen Adressierungsmechanismus, wie ihn IP6 von Haus aus vorsieht. Als eine von mehreren verschiedenen Möglichkeiten, versteht sich.
Hoffe, ich konnte Dir damit ein wenig weiterhelfen...
--- Test
Using username "root".
root@10.62.0.100's password:
BusyBox v1.25.1 () built-in shell (ash)
_________
/ /\ _ ___ ___ ___
/ LE / \ | | | __| \| __|
/ DE / \ | |__| _|| |) | _|
/________/ LE \ |____|___|___/|___| lede-project.org
\ \ DE /
\ LE \ / -----------------------------------------------------------
\ DE \ / Reboot (17.01-SNAPSHOT, r3878+42-eed9d40133)
\________\/ -----------------------------------------------------------
root@Halle-Diesterwegstr-y02hal-01:~# ssh fd0f:8db3:d50a::92f6:52ff:feff:d11c
Host 'fd0f:8db3:d50a::92f6:52ff:feff:d11c' is not in the trusted hosts file.
(ssh-rsa fingerprint md5 ab:4f:0d:1a:f1
78:2e:2fa5:e4:d2:2e:4a:db)
Do you want to continue connecting? (y/n) y
root@fd0f:8db3:d50a::92f6:52ff:feff:d11c's password:
Das ist mein SSH-Zugiff auf cassini... an dieser Stelle ist für mich natürlich schluß, ich bin ja nicht der Admin dieses Knotens
Jeder Router im Netz sollte, falls konfiguriert, remote (per SSH) über seine IP6-Adresse (und am Nachvollziehbarsten NUR über diese) erreichbar sein. Diese stehen ja auch auf der Statusseite jedes Knotens. Wenn die Neugestaltung der Routerkarte abgeschlossen ist (und ich denke, daß man sich da am Vorbild des Harz-Netzes orientieren wird), wird man jede IP6-Adresse dort sicher auch sehen können.
Die Adresse auf der Statusseite, die mit fd0f:... anfängt ist dabei die benötigte. Über sie (als bekannt vorausgesetzt) erreicht man auch die Statusseiten der Router, die gerade nicht in der Liste der Nachbarknoten angezeigt werden, aber trotzdem online sind.
Als Notbehelf für einen Aufruf über einen Namen kannst Du ja Deine hosts-Datei mit den für Dich interessanten Einträgen vervollständigen. Also für die Router, die von Dir administriert werden. Bei allen ist diese Information ja für Dich nicht von Bedeutung, denke ich mal. Zumindest für den Zugriff via SSH.
Der Teil fd0f:8db3:d50a:: ist übrigens für alle Router im Halle-Netz gleich (entspricht der Adresse unseres privaten Netz-"Segmentes" oder übersetzt in das IP4-Verständnis "der Netzwerkadresse").
Das vereinfacht vielleicht die Übersicht ein wenig. Der Rest der vollständigen IP wird nach bekanntem Schema von der MAC abgeleitet und entspricht damit einem normalen möglichen Adressierungsmechanismus, wie ihn IP6 von Haus aus vorsieht. Als eine von mehreren verschiedenen Möglichkeiten, versteht sich.
Hoffe, ich konnte Dir damit ein wenig weiterhelfen...
--- Test
Using username "root".
root@10.62.0.100's password:
BusyBox v1.25.1 () built-in shell (ash)
_________
/ /\ _ ___ ___ ___
/ LE / \ | | | __| \| __|
/ DE / \ | |__| _|| |) | _|
/________/ LE \ |____|___|___/|___| lede-project.org
\ \ DE /
\ LE \ / -----------------------------------------------------------
\ DE \ / Reboot (17.01-SNAPSHOT, r3878+42-eed9d40133)
\________\/ -----------------------------------------------------------
root@Halle-Diesterwegstr-y02hal-01:~# ssh fd0f:8db3:d50a::92f6:52ff:feff:d11c
Host 'fd0f:8db3:d50a::92f6:52ff:feff:d11c' is not in the trusted hosts file.
(ssh-rsa fingerprint md5 ab:4f:0d:1a:f1
78:2e:2fa5:e4:d2:2e:4a:db)Do you want to continue connecting? (y/n) y
root@fd0f:8db3:d50a::92f6:52ff:feff:d11c's password:
Das ist mein SSH-Zugiff auf cassini... an dieser Stelle ist für mich natürlich schluß, ich bin ja nicht der Admin dieses Knotens
Es gibt Windows oder das Betriebssystem eines Drittherstellers
Re: Routingprobleme
Ja, du hast mich soweit angestupst, dass ich vom Testlaptop jetzt auf die beiden gluon-Router (cassini und hertz) per LAN-Kabel und ssh-key draufkomme Ich hab nicht kapiert, dass der jeweilig angeschlossene Router die 10.62.0.100 ist, dachte das ist dein Knoten als Beispiel... Und ich muss noch mehr v6 lernen, die ganzen speziellen Adressen und Bereiche. Es ist wie damals vor 10 Jahren, als mir Freifunk v4-Subnetting erklärt hat
10.62.0.100 einmal angesurft wurde es klar, sobald man die v6-Adressen der Nodes kennt kann man seine .ssh/config bauen. Musste in dieser jedoch die fe80-Adressen benutzen, vielleicht weil ich am LAN-Kabel hänge? Versuche ich die fd0f-Adressen, sagt er "Netzwerk nicht erreichbar". Könnte mir vorstellen, dass man die fd0f-Adressen benutzt, um Nodes "hinter" dem VPN-Server zu erreichen?
Woher kanntest du die fd0f-Adresse von cassini? Kannst du hertz hinter cassini sehen? Habe mit batctl rumgespielt, aber da das Layer 2 ist muss ich erstmal eine Namenszuordnung zu den MAC-Adressen hinkriegen, um die Nachbarn zu sehen. Oder übersehe ich eine Nachbarliste? Ich meine, gibts die überhaupt so wie man sie von olsr kennt mit batman?
Danke und viele Grüße!
Edit: Ich zweifle gerade an mir. Plötzlich zeigt die Statusseite viel mehr Infos! Nachbarn zum Beispiel. War ich blind?
Edit 2: Ich verstehe jetzt. Kein Tunnel -> reduzierte Statusseite. Teste das alles grad ohne Antennen, deswegen war das so wahrscheinlich.
Ich hab nicht kapiert, dass der jeweilig angeschlossene Router die 10.62.0.100 ist, dachte das ist dein Knoten als Beispiel... Und ich muss noch mehr v6 lernen, die ganzen speziellen Adressen und Bereiche. Es ist wie damals vor 10 Jahren, als mir Freifunk v4-Subnetting erklärt hat 10.62.0.100 einmal angesurft wurde es klar, sobald man die v6-Adressen der Nodes kennt kann man seine .ssh/config bauen. Musste in dieser jedoch die fe80-Adressen benutzen, vielleicht weil ich am LAN-Kabel hänge? Versuche ich die fd0f-Adressen, sagt er "Netzwerk nicht erreichbar". Könnte mir vorstellen, dass man die fd0f-Adressen benutzt, um Nodes "hinter" dem VPN-Server zu erreichen?
Woher kanntest du die fd0f-Adresse von cassini? Kannst du hertz hinter cassini sehen? Habe mit batctl rumgespielt, aber da das Layer 2 ist muss ich erstmal eine Namenszuordnung zu den MAC-Adressen hinkriegen, um die Nachbarn zu sehen. Oder übersehe ich eine Nachbarliste? Ich meine, gibts die überhaupt so wie man sie von olsr kennt mit batman?
Danke und viele Grüße!
Edit: Ich zweifle gerade an mir. Plötzlich zeigt die Statusseite viel mehr Infos! Nachbarn zum Beispiel. War ich blind?
Edit 2: Ich verstehe jetzt. Kein Tunnel -> reduzierte Statusseite. Teste das alles grad ohne Antennen, deswegen war das so wahrscheinlich.
SyntaxError: invalid syntax
Re: Routingprobleme
Ja, das ist durch die Firmware fest vorgegeben und auch legitim, da das Routing nicht mehr über IP4 abgewickelt wird.tmk hat geschrieben:Ja, du hast mich soweit angestupst, dass ich vom Testlaptop jetzt auf die beiden gluon-Router (cassini und hertz) per LAN-Kabel und ssh-key draufkomme
Nein, da war einfach die IP6-Adressierung noch nicht komplett, die automatisch passiert und wo es nun mal einen Zeitfaktor gibt, weil das eben anders funktioniert als mit DHCP in IP4...tmk hat geschrieben: ... Musste in dieser jedoch die fe80-Adressen benutzen, vielleicht weil ich am LAN-Kabel hänge? Versuche ich die fd0f-Adressen, sagt er "Netzwerk nicht erreichbar". Könnte mir vorstellen, dass man die fd0f-Adressen benutzt, um Nodes "hinter" dem VPN-Server zu erreichen?
Die FE80-Adressen sind soganannte Link-Adressen und nur für die Verbindung in "unmittelbarer Nachbarschaft" gedacht. Die werden daher auch nicht geroutet. In IP4 gibt es keine derartige Entsprechung.
In IP6 gibt es keine Klasseneinteilung wie in IP4. Einen reservierten Bereich für Private Adressen gibt es aber auch. Das sind die mit fd00::/8 welche wie bei IP4 von der Verwendung in öffentlichen Netzwerken ausgeschlossen sind. 2 hoch 56 mögliche Netze (nach meiner Rechnung 72 057 594 037 927 936) sollten dafür ja wohl auch reichen. fd0f:8db3:d50a::/64 ist dabei die Auswahl für die private Netzwerkadresse für Freifunk in Halle. Es hätte auch eine beliebige andere fd-Adresse sein können...
Die habe ich von der Statusseite von cassini. Ja und hertz kann auch auch sehen. Auch dessen Statusseite ist für mich erreichbar...tmk hat geschrieben: Woher kanntest du die fd0f-Adresse von cassini? Kannst du hertz hinter cassini sehen?
Mein Hinweis war ja schon, die hosts Datei auf Deinem PC um solche Einträge zu erweitern...tmk hat geschrieben: ... aber da das Layer 2 ist muss ich erstmal eine Namenszuordnung zu den MAC-Adressen hinkriegen, um die Nachbarn zu sehen.
Ja, auf der rechten Seite der Statusseite eines Knotens. Farblich rötlich hervorgehoben, sind die Knotennamen per Mausklick der Weg zur jeweilgen Statusseite.tmk hat geschrieben: Oder übersehe ich eine Nachbarliste? Ich meine, gibts die überhaupt so wie man sie von olsr kennt mit batman?
Aber gerne dochtmk hat geschrieben: Danke und viele Grüße!
Nein, die Statusseite wird nur dann vollständig angezeigt, wenn die IP6-Kommunikation im Hintergrund auch störungsfrei funktioniert. Klappt das nicht, fehlen dann die mittlere und rechte Spalte der Seite und damit auch die Liste und Anzeige der Knotennachbarn und das Verbindungsdiagramm.tmk hat geschrieben: Edit: Ich zweifle gerade an mir. Plötzlich zeigt die Statusseite viel mehr Infos! Nachbarn zum Beispiel. War ich blind?
Eher nicht. Kein Tunnel bedeutet kein IP4-DHCP und daher die Seite möglicherweise komplett nicht erreichbar. Wird sie nur unvollständig angezeigt, liegt das allerhöchstens an IP6 und daran, daß die Adressabstimmung zwischen Router und Computer noch nicht vollständig abgeschlossen war. Dafür braucht der Router nicht zwingend eine Verbindung zum restlichen Netz....tmk hat geschrieben: Edit 2: Ich verstehe jetzt. Kein Tunnel -> reduzierte Statusseite. Teste das alles grad ohne Antennen, deswegen war das so wahrscheinlich.
Es gibt Windows oder das Betriebssystem eines Drittherstellers
Re: Routingprobleme
Hallo nochmals, ich habe heute die paar Router bei mir geschwenkt. WLAN geht besser, 13 statt 7 MBit/s im Schnitt
Zwei Fragen tun sich auf, opkg kann die Paketliste nicht laden. Ich dachte erst es ist ein URL-Fehler in /etc/opkg/distfeeds.conf, aber anscheinend geht keine Namensauflösung. ping 8.8.8.8 geht, ping heise.de sagt "ping: bad address". Haben wir analog zu https://185.233.104.56/images/ auch etwas für Pakete?
Wie würde ich nun das Policyrouting realisieren, also dass per LAN angeschlossene Hosts nicht über den Tunnel gehen?
Viele Grüße
Tim
Zwei Fragen tun sich auf, opkg kann die Paketliste nicht laden. Ich dachte erst es ist ein URL-Fehler in /etc/opkg/distfeeds.conf, aber anscheinend geht keine Namensauflösung. ping 8.8.8.8 geht, ping heise.de sagt "ping: bad address". Haben wir analog zu https://185.233.104.56/images/ auch etwas für Pakete?
Wie würde ich nun das Policyrouting realisieren, also dass per LAN angeschlossene Hosts nicht über den Tunnel gehen?
Viele Grüße
Tim
SyntaxError: invalid syntax
Re: Routingprobleme
Hallo Tim und Interessierte,
hier die Behelfslösung:
Die Namensauflösung in /etc/resolv.conf steht bei frisch installierter Firmware lediglich auf "nameserver 127.0.0.1".
Damit sind die Server der Repositories nicht erreichbar.
Ein...
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
... behebt das Problem und "opkg update" usw. funktionieren wieder.
Viele Grüße...
hier die Behelfslösung:
Die Namensauflösung in /etc/resolv.conf steht bei frisch installierter Firmware lediglich auf "nameserver 127.0.0.1".
Damit sind die Server der Repositories nicht erreichbar.
Ein...
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
... behebt das Problem und "opkg update" usw. funktionieren wieder.
Viele Grüße...
jabber: xmpp@dac524.de
mail: d a c 5 2 4 @ y a h o o . d e
pgp: https://pgp.mit.edu/pks/lookup?op=vinde ... 912DBAE462