Mit dem Mesh-VPN ist eine Verbindung zu unseren Gateway-Servern möglich ohne das dafür eine Richtfunk Verbindung benötigt wird.

Als Software kommt dafür FastD zum Einsatz.

Auf das VPN wird direkt auf allen Gateway Servern betrieben. Dabei stellen diese jeweils 1 Prozess pro technischer Domain zur verfügung.

Als Methoden stehen “salsa2012+umac, salsa2012+gmac” zur verfügung. In unserer Firmware ist “salsa2012+umac” standartmäißg ausgewählt.

Whitelist & Keys

Jede Mesh-VPN Verbindung benötigt einen eindeutigen Kryptographischen Key.

Neue Keys werden von den VPN-Servern müssen per Mail an uns gesendet werden und wernden manuell freigeschaltet. Dafür gibt es mehrere Gründe:

  1. Missbrauch des VPNs Unser VPN wurde zunehmend von Servern und schnellen Kabel-Anschlüssen aus verwendet, um sehr große Datenmengen herunterzuladen. Das ist in sofern Problematisch, da unsere Gateways nur mit jeweils 1Gbit/s ans Internet angebunden sind. Fangen einzelne an, diese Geschwindkeit bis aufs Maximum auszureitzen,so steht nicht mehr genug Bandbreite für alle zur Verfügung. Außerdem wird meist keine Standard Freifunk Firmware verwendet, sondern lediglich ein Linux, welches unser Mesh-Protokoll spricht. Hier fehlen essenzielle Filterregeln die im normalen Betrieb verhindern sollen, dass es zu Störungen im Netz kommt. Sperrten wir den genutzen VPN-Key, so wurde kurzerhand ein neuer generiert. Aus diesem Grund sehen wir uns gezwungen zu einer Whitelist statt einer Blacklist überzugehen.

  2. Kontaktmöglichkeit Uns als Admin Team fehlt leider oft die Möglichkeit, Kontenbetreiber direkt anzusprechen. Dies ist insbesondere Ärgerlich wenn wir Knoten z.B. aufgrund von Fehlkonfiguratonen sperren müssen. Wir würden an der Stelle gerne den Betreiber darauf aufmerksam machen und gemeinsam das Problem beheben, anstatt einfach den Knoten zu sperren.