by cliparts.co
Wir haben lange dran gearbeitet, aber nun ist sie endlich da: Die Freifunk Saar Firmware-Version 1.3. Mit dieser Version ist ein bedeutendes und lange erwartetes Feature endlich verfügbar: L2TP löst fastd ab.
Da nun IPv6 an allen Freifunk-Knoten verfügbar ist, beachte bitte auch die Hinweise zu den Privatsphären-Erweiterungen deines Betriebssystems, die Ralf im Artikel Ankündigung von IPv6 gegeben hat.
[technischer Exkurs]
Was bedeutet das konkret? Am WLAN-Mesh ändert sich nichts, aber die VPN-Verbindung zwischen euren Knoten und unseren Servern wird seit der neuen Version nicht mehr über fastd hergestellt, sondern über das deutlich performantere L2TP. So konnte die Verbindungsgeschwindigkeit auf vielen unserer Privateanschlüssen von 8 Mbit/s auf einem TP-Link 841N auf gut 30 Mbit/s gesteigert werden! Gleichzeitig sinkt der Ping von oft über 150ms auf üblicherweise unter 50ms, was die „gefühlte Geschwindigkeit“ beim Surfen deutlich steigert.
Die technische Ursachen hierfür sind, dass L2TP im Kernel-Space und unverschlüsselt arbeitet, während fastd im User-Space und verschlüsselt arbeitet. Wenn ein fastd-Paket reinkommt, muss der Kernel einen Context Switch durchführen, um fastd die Daten zu übergeben. fastd ver-/entschlüsselt das Paket dann und gibt es wieder an den Kernel (ein weiterer Context Switch), der es dann weiterleitet. Mit L2TP fallen all diese Zwischenschritte weg.
Nun ist der Wegfall der Verschlüsselung leider ein notwendiges Übel für diese Performance-Steigerung, aber das bedeutet konkret keine riesige Änderung im Sicherheitsniveau: Das WLAN war auch vorher unverschlüsselt. Es ist einfach schwer, ein frei zugängliches WLAN aufzubauen, wenn man vorher ein Passwort teilen muss. Die Sicherheit würde ein solches geteiltes Passwort auch nicht verbessern, da ein Angreifer, der den Verbindungsaufbau bei WPA2 Personal aufzeichnet und den Schlüssel hat, alle nachfolgenden Pakete auch entschlüsseln kann. Des weiteren werden die Pakete unverschlüsselt von unseren Servern via unser Exit-VPN (also Freifunk Rheinland) ins Internet geleitet. Die fastd-Verschlüsselung hilft also nur dagegen, dass die ISPs zwischen deinem Router und den Freifunk-Servern die Pakete auslesen können.
Deshalb ist es nach wie vor wichtig, auf Diensteverschlüsselung zu setzen. Das bedeutet, dass man sich nicht darauf verlässt, dass die Verbindungen auf dem Weg von einem selbst zum Dienst gesichert sind. Stattdessen muss man selbst darauf achten, dass man verschlüsselte Verbindungen beispielsweise über https herstellt. Viele Anbieter machen das mittlerweile automatisch, zum Beispiel Google, Facebook, Twitter, etc.
[/technischer Exkurs]
Kommen wir aber wieder zur Firmware zurück: Die Verbindung selber passiert zwar via L2TP, aber sie wird durch ein Programm namens Tunneldigger hergestellt. Er hilft dabei, Hindernisse auf der Netzwerkroute zu umgehen (z.B. NAT, Firewalls) und die Verbindungsparameter auszuhandeln. Hierfür benutzt Tunneldigger Port 10000/UDP und achtet selbstständig darauf, den besten Freifunk-Server klug auszuwählen. (Dies ist noch ein Vorteil gegenüber fastd, welches bei der Serverauswahl etwas primitiver vorging.) Wenn Tunneldigger sich einen Server ausgesucht hat, richtet er die L2TP Verbindung im Kernel ein und legt sich dann schlafen.
Des weiteren haben wir noch ein paar Verbesserungen im Bereich öffentliches IPv6 vorgenommen, um den Traffic den zwischen den Freifunk-Servern zu reduzieren und die Latenz von DNS-Abfragen zu verbessern. DNS ist die Namensauflösung, die zu Hostnamen wie „saar.freifunk.net“ die zugehörige IP ermittelt; eine bessere DNS-Latenz bedeutet schnelleres Laden von Seiten, da die Clients die IP-Adressen der Server schneller ermitteln können.
Die letzte wichtige Änderung ist die Verwendung eines neuen Buildbots, also eines Servers, der die Firmwares für uns baut. Zusammen mit den neuen Signaturkeys von Marvin, Ralf und dem Buildbot, die schon im letzten Build gesetzt wurden, bedeutet das einen allgemein unkomplizierteren, besser reproduzierbareren und einfacher zu überblickenden Build-Prozess.
Wir haben die neue Firmware mit L2TP nun schon etwas über zwei Wochen bei uns im experimentellen Betrieb und auch ein paar mutige Community-Mitglieder haben hier fleißig geholfen. An dieser Stelle ein dickes Dankeschön! Nun steht die stabile Version zum Download und via Autoupdater bereit. Nach und nach werden sich alle Freifunk-Knoten aktualisieren, die in den Einstellungen Autoupdate aktiviert haben.
Bei deaktiviertem Autoupdater bitten wir darum, neue Firmware-Versionen von Hand einzuspielen. Fastd wird so schnell nicht abgeschaltet, es werden also alle genug Zeit bekommen, ihre Knoten zu aktualisieren.
Bei Fragen bietet sich weiterhin unsere Mailingliste freifunk-public@saar.freifunk.net an.
Pingback: IPv6 & User-Services – Freifunk Saar