Netz39

Freifunk Reboot 2

Datum: 2017-11-17

Link zum letzten Meeting: https://pad.n39.eu/p/FreifunkReboot (2017-11-03)

Anwesende Leute:

• Johann
• Franz
• Michel (der ist wichtig)
• Christian
• stefan
• tatjana
• Andreas (automatisiert Dinge)
• Ernst-Günter (irgendetwas mit Mathe)
• Brian (automatisiert auch Dinge)
• STP FFHarz / liest mit
• Angelika (liest nachträglich)

TODO:

• Link zur Mailingliste zur FSF einfügen
• Link zum Blog für Bundesratsinitaitve einfügen
• Link zum Landtagsbeschluss einfügen

Was tun wir heute ?

• Politik:
  • Bericht EU
    • WiFi For Europe
      • Überlegungen, ob teilgenommen werden sollte
      • Nein, weil Registrierung für Telefonnummer (Interpol, etc.)
    • Funkregularienrichtlinie (EU 2014/53)
      • Zertifizierte Hardware reicht nicht aus, Software sollte auch zertifiziert werden, damit Router, etc. betrieben werden dürfen (TM).
      • Hersteller werden sagen, dass nur noch zertifizierte Software auf ihren Geräten laufen darf
      • EU hat die Aufgabe, Verordnung dafür zu schreiben. (Geplant war Anfang 2017)
      • Arbeitsgruppe von Lobbyisten, Telcos, Gesellschaften
        • Man kommt da rein, wenn man Interesse nachweisen kann
      • Informationsfreiheitsanfrage (EFG) nach Umsetzung der Richtlinie
        • Ja, wir haben das noch nicht umgesetzt, da wir beschäftigt waren, is pending.
      • Frist bis Mitte 2018
      • Ziel: Verhinderung der Versiegelung der Geräte
  • Bericht Bund (10 Menschen)
    • Bundesratsinitiative zur Gemeinnützigkeit von FF-Vereinen
      • Finanzämter haben FF-Vereinen die Gemeinnützigkeit aberkannt oder gar nicht erst anerkannt
      • Geht so nicht, Abgabenordnung muss angepasst werden
      • Koalitionsvertrag soll dazu genutzt werden (Lobby (TM))
        • Grüne melden sich, wenn es dazu kommt
        • FDP möchte ein Digitalisierungsministerium
          • cyberseclunch.de
  • Bericht Land (max. 15 Menschen)
    • Landtagsbeschluss - Förderung von WLAN insb. Freifunk
      • Förderrichtlinien für kommerzielle und nicht-kommerzielle Anbieter (getrennt)
      • Förderung von 100k für freies WLAN
    • Namespace auf wiki.freifunk.net/lsa:Foo
      • Synchonisierung auf Landesebene
    • Es gab mal in der Altmark Freifunk
      • Da steht Infrastruktur, kümmert sich nur keiner drum..
      • Die haben auch ne Mailingliste, allerdings besteht kein guter Kontakt.
      • Stendal hat auch noch Knoten, Altmark hat aber auch nicht geantwortet.
      • Gehören zu FF Uelzen
    • Frage: Gibt es coole Ideen ?
      • Geld ist da
      • Teil der Förderung ist auch Erschließung
      • Immobilien der Stadt stehen in Magdeburg zur Verfügung
        • Platz, Strom, noch mehr ?
        • Diskussion ist noch nicht beendet
      • Eigenanteil ist da, 75% oder 90%
      • Kann halt dauern, Erfahrungswerte gibts noch nicht
        • Ministerium für Wirtschaft und Digitalisierung
      • www.digital.sachsen-anhalt.de
• Technik
  • Zertifikat fürs Pad muss gemacht werden
    • Automatisiert, Cronjob, möglichst kein manueller Eingriff
    • https://github.com/andreasscherbaum/acme-tiny/tree/noverify
  • Inventur
    • https://github.com/netz39/freifunk/tree/master/HW-Inventur
      • Angelika und Doro haben da sortiert.
      • Michel sortiert heute noch seine Sachen aus.
  • Repository netz39/freifunk ( https://github.com/netz39/freifunk )
    • Überführung nach https://github.com/FreifunkMD/FFMD-Orga
    • https://github.com/FreifunkMD/FFMD-Orga/issues/6
    • Zustimmung? > Ja
  • Administration
    • Server
      • gw1 - Debian 7 - braucht ein bis zwei Upgrades
      • gw2 - Debian 8 - braucht auch ein Upgrade
      • web1 - Debian 8 - braucht auch ein Upgrade
        • von web1 gibt es backups auf hydrogen.n39.eu
      • Es gibt KEIN Backup.
      • IPs stehen HART in der Firmware, falls DNS kaputt geht.
      • Option: Neu mieten, neu machen, wenn es funktioniert, dann alte Geräte abschalten
        • Generelle Entscheidung: Ja
        • Möchte man das weiter so halten mit den festen IPs ?
          • Irgendwer hat das mal so gewollt, deswegen ist das so.
          • Generell möchte man das eigentlich nicht.
        • dafür ist dann auch ein transitional firmware update notwendig
      • Konfiguration (nicht 100%ig aktuell): https://wiki.md.freifunk.net/Gateway/Konfiguration
      • Es gibt nicht alle Programme in der aktuellen Version, weil einige Versionen breaking changes hatten und Rückwärtskompatiblität nicht gegeben ist.
        • Batman oder fastd geht da kaputt
        • ab Batman-adv 2014.3 sind die batman Versionen abwärtskompatibel/für autoupdate reicht es macht aber kein spass
        • drauf zu achten ist, welches Routingprotokoll ab dem Zeitpunkt unter stützt wird. Es gibt BATMAN_ALGO IV und V / ab 2017.1.x kann das explizit in der Site.conf gepflegt werden / default IV
        • batman-adv braucht Kernelmodul mit der richtigen Protokollversion, da ist der Distributionskernel nicht immer hilfreich, und unterschiedliche Protokoll- bzw. Compat-versionen sind nicht interoperabel
        • fastd ist kompatibel
        • Steht irgendwo auf der Mailing-List.
    • neuer Admin? Wer will sich primär verantwortlich fühlen?
      • Oberhavel möchte sich da einbringen.
      • OH möchte auch "unsere" Firmware nehmen, weil Berlin.
    • Anleitung FF Harz: http://wiki.harz.freifunk.net/wiki/doku.php?id=anleitungen:gateway:gateway_einrichten
      • Steffen aktualisiert die Anleitung in den nächsten Tagen (https://github.com/FreifunkMD/FFMD-Orga/issues/8)
      • danach baut Andreas daraus ein Ansible Playbook
    • Workshop für Update-Strategien
      • Interesse ?
        • Ja, FFHarz ist dabei (Steffen TP) / wäre auch interessant 1–2 Dinge aufzuarbeiten
      • fastd ? Diskussion.
        • ggf. nur für Authentifizierung, nicht mehr für Verschlüsselung?
      • v6 müsste man auch mal bauen.
        • https://wiki.freifunk.net/IPv6:Prefixe
        • Tunnel, falls kein v6 verfügbar ist, damit ALLE Adressen aufgerufen können, auch v6.
  • Frage Traffic direkt rausleiten? Derzeit noch ueber ipredator. Wenn ja dann Hoster vorher bescheid sagen
    • Macht mehr Sinn und mehr Durchsatz (Erfahrung von FFHARZ / Privatebreiche dürfen aber nicht geforwardet werden / es gibt spezialis die hängen Drucker, Repeater und Co. ins FF!
    • ipredator ist der Schweden-VPN.
    • das muss den Nutzern sehr deutlich kommuniziert werden, da sich einige auf dieses VPN verlassen bzw. es benutzen, um Deutschland zu verlassen ← darauf hin sollten Sie ein eigenes VPN bei Anbieter haben / Freifunk ist an sich unverschlüsselt Layer 2 mit gluon → ein paar Gedanken zu Thema: http://pad.harz.freifunk.net/public/vpn

• neue Firmware
  • Aktuell
    • Gluon 2016.1.4
    • Hardgecodete Sachen, bspw. IPs und sowas
    • Es braucht mindestens zwei Leute zum Signieren
      • Mehr Keys! (hier wäre es zum Beispiel auch sinnvoll sich die Aufgaben vereinsübergreifend zu teilen) Busfaktor(!?)
      • Wenn einer kaputt geht, ist halt blöd. (Bus-Faktor)
  • Travis?
    • Automatisierte Builds
      • ggf. auch auf eigener Hardware? Oder erlaubt Travis so dicke Builds, mehrere Stunden, Platzbedarf von 50 GB und mehr und Output von mehreren hundert MB, der noch irgendwo hingeladen wird?
    • Wird als experimental getaggt und ausgerollt.
    • experimental kann kaputt gehen, das ist dafür gedacht.
    • Umtaggen auf stable, beta wird manuell gemacht.
    • Für ein paar Router auf stable bauen, alles Andere wird einfach testing geflaggt und das wars.
  • Zeitverzögerte Updates
    • Last auf Servern verringern
    • Wir haben 2017, ein paar hundert Downloads von statischen Dateien sind so schlimm? o.O
    • Wir haben 2017 auch kein Firmware-Update ausgerollt.
  • Neues Gluon
    • Die letzte Gluon Version mit OpenWRT (Gluon 2016.2.7) enthält die Migration nach LEDE-Projekt.
      • ^^ was ist da gemeint? OpenWRT v15.05.1 ist die letzte offizielle OpenWRT Version
      • Upgrade von aktuell gluon 2016.1.4 auf gluon 2016.2.7 (https://gluon.readthedocs.io/en/v2017.1.x/releases/v2016.2.7.html) damit die Vorraussetzungen für den das spätere Upgrade auf Guon 2017.x.x (basierend auf LEDE Projekt) gegeben sind
    • https://github.com/FreifunkMD/FFMD-Orga/issues/9
  • Anpassung site-config für neue Firmware
    • für 2016.1.x oder 2016.2.x oder 2017.1.x gibt es pending PR, da gab's Review mit Changes Requested, da fehlt's noch an Erfahrung mit Git? Jedenfalls wurden die angefragten Änderungen nicht umgesetzt und der PR daher nicht gemerged.
  • Was hat sich in der Firmware geändert?
    • es gibt gute Release Notes von Gluon, bspw.: https://gluon.readthedocs.io/en/v2017.1.x/
  • Sind unsere Gateways noch hinreichend aktuell?
    • laut GitHub hat Vitapower87 schon 2017.1.x erfolgreich getestet gegen die "alten" Gateways
    • fastd aktuell ist immernoch v18, muss man prüfen (fastd ist abwärts kompatibel.v16 funktioniert mit v18 aus meiner Erfahrung heraus)
    • Knackpunkt ist batman-adv, siehe oben
  • Zusage zu funktionierenden Updates nur mit ausgewählten Routern, die wir selbst (automatisch) testen
  • Config-Formular soll erhalten bleiben!
    • Abfrage von Positionsdaten
    • Kontaktdaten (freiwillig, aber mit Verifikation)
• Fahrplan Gateway
  • Dokumentation des Ist-Zustandes des Servers (https://github.com/FreifunkMD/FFMD-Orga/issues/8)
    • Magdeburg
    • Harz
  • Brain - Was übernimmt man von Harz/MD/etc.
  • Ansible - Konfiguration für fastd und batman adv 2016 (letzte OpenWRT Version)
  • Ansible - Konfiguration für aktuelle Software Versionen
• Fahrplan Firmware
  • BuildStep lösen (Travis)
  • Firmware (experimental) muss … haben
    • n-tes Gateway (mehrere neue Gateways eintragen, auch noch nicht existierende) < gleiches für Update Server und für Time Server (empfiehlt sich) / UpdateServer ggf. auch statisch hinterlegen, wenn DNS nicht funktioniert/ Erfahrungswerte.
    • neue User, die Firmware signieren können
  • Firmware auf Stable schieben (Firmware signieren)
    • Wenns geht, keine alten Gateways mehr.
  • weitere Infrastuktur anpassen
    • DNS
    • Formular zum Keyaustausch alternative: https://github.com/Freifunk-Rhein-Neckar/ffrn-node-manager
    • map (in folge Freifunk API File etc
    • webserver https://wiki.md.freifunk.net/Webserver/Konfiguration
• Frage: Verschlüsselung zwischen Node und Gateway notwendig/gewollt?
  • Kein Konsens, bisher

• Wiki
  • Abschreiben des Wiki ist noch in Arbeit, habe weniger Zeit als gehofft. Bleibe aber dran.

Mailinglisten unter https://md.freifunk.net/kontakt/ Orga-Repository: https://github.com/FreifunkMD/FFMD-Orga

Nächster Termin: 2017-12-01 19:00 im Netz39

===== Info: #ffmd firmware signieren unter mac: # brew install libuecc # git clone https://github.com/tcatm/ecdsautils.git # mkdir -p ~/.usr/local # brew install cmake # brew install pkg-config # cmake -DCMAKE_INSTALL_PREFIX:PATH=/Users/NAME/.usr/local . # cd ecdsautils/ # make # make install

jetzt verfügbare Tools: - ecdsakeygen - ecdsasign - ecdsaverify

# git clone git@github.com:freifunk-gluon/gluon.git # cd gluon/contrib/ # vim sign.sh # changeline 34: from: # ecdsasign "$upper" < "$SECRET" » "$lower" to # /Users/NAME/.usr/local/bin/ecdsasign "$upper" < "$SECRET" » "$lower" # sh sign.sh ~/.ecdsa/NAME/secret test.manifest