Freifunk Fulda/ICVPN

Aus Magrathea Laboratories e.V.
Wechseln zu: Navigation, Suche
Beispiel der ICVPN Topologie (aus dem Jahr 2014)

Das InterCity VPN ist ein Overlay-Netz, das die autonomen Systeme der teilnehmenden Freifunk-Communities direkt miteinander verbindet und den Austausch von Datenverkehr untereinander erlaubt. Dazu bauen die Communities ein Mesh-VPN mit der Software Tinc auf und tauschen Routen in ihre Netze mittels des Border Gateway Routing Protokolls (BGP) aus.

Ein Nutzer im Freifunknetz Fulda kann dadurch Ziele in anderen Freifunknetzen direkt adressieren.


Aktueller Status Freifunk Fulda

Aktuell sind wir durch Peerings auf gw01 mit den anderen ICVPN Teilnehmern verbunden. Für den Austausch von Routen mit den anderen Communities wird das Routing Protokoll BGP mit Hilfe der Software bird verwendet. Eine BGP Session wird über das Mesh-VPN zu jedem anderen Teilnehmer im InterCity VPN aufgebaut. Jede andere Community befindet sich also genau einen Hop entfernt.

Auch auf unseren anderen Gateways ist die Nutzung des InterCity VPN möglich, da unsere Gateways ihre Routen mit Hilfe von iBGP (Internal BGP) auch untereinander austauschen. Ein Knoten bzw. Freifunk Fulda Nutzer, der mit einem anderen Gateway als gw01 verbunden ist, kann Ziele im ICVPN also trotzdem über gw01 erreichen.

Die Verwendung von Tinc bietet einige Nachteile bzgl. Performance und Stabilität. Darüber hinaus sind viele der BGP-Sessions im InterCity VPN nicht stabil, was unterschiedliche Gründe hat. Eine Alternative besteht im Verzicht auf ein Mesh-VPN, in dem jede Community mit jeder anderen Community ein Peering besitzt. Stattdessen können gezielt Peerings mit einzelnen (z.B. Nachbar-Communities oder solche zwischen denen tendenziell mehr Datenaustausch stattfindet) Communities aufgebaut werden. Der Datenverkehr wird dann von Community zu Community weitergeleitet, bis er sein Ziel erreicht. Man spricht in diesem Fall von Transit. Da nun auf ein Mesh-VPN verzichtet wird, können die Verbindungen beispielsweise mit Hilfe von GRE/IPSec realisiert werden, wodurch die Stabilität und Performance stark gesteigert werden.

Derzeit setzen wir auf den Gateways gw02 und gw04 eben diese Art der Verbindung mit anderen Communities ein. Mit Hilfe von GRE/IPSec werden sichere Verbindungen zu den Peering-Partnern aufgebaut, Routen ausgetauscht und der Datenaustausch ermöglicht.

Die Funktionsweise des Routing in unserem Netz ist im Artikel Freifunk Fulda/Gateway/Routing detailliert beschrieben.


Status

Den aktuellen Status des ICVPN kann man auf der Inter City VPN Monitoring Webseite einsehen. Darüber hinaus betreiben wir ein Looking Glass, mit dessen Hilfe unsere aktiven Sessions für den Routenaustausch eingesehen werde können.


Anleitungen

Für den Aufbau des InterCity VPN kommen eine Reihe von Technologien zum Einsatz, die jeweils gut dokumentiert sind. An dieser Stelle wird eine Übersicht über die wichtigsten externen Ressourcen geboten.