Neue Fimware für Freifunk Bielefeld

Nach über 8 Monaten Entwicklungszeit und über 300 Commits ist jetzt die neue Firmware (Version 0.4) von Freifunk Bielefeld fertig! :D

Innerhalb der Firmware wurde vieles stark umgebaut, sodass wir jetzt besser für die Zukunft gerüstet sein sollten und der Verwirklichung eines freien und dezentralen Bürgernetzes einen weiteren Schritt näherkommen

Ein paar wichtige Änderungen im Detail

Die Namen und Positionen der Router werden jetzt auf dem Router eingestellt anstatt über das Knotenformular auf unserer Webseite  und ermöglicht damit eine dezentrale, gleichberechtigte Kartengenerierung. Nun kann der Router auch so eingestellt werden, das er nicht zur Kartengenerierung beiträgt und daher unsichtbar ist. Ebenso werden auch endlich nicht mehr die MAC-Adressen der Clients (die blauen Punkte) für die Karte übertragen, sondern nur die Anzahl.

Die größte Änderung betrifft die komplette Umstellung auf IPv6. IPv6 soll in Zukunft auch im Internet IPv4 ablösen. Wir gehen diesen Schritt schon jetzt.  Ein Vorteil ist, das nun auch Geräte innerhalb des Freifunknetzes aus dem Internet heraus erreichbar sind. Den allermeisten Nutzern sollte diese Umstellung aber normalerweise nicht weiter auffallen. Bei alten Geräten kann es aber zu Problemen kommen. In dem Fall versuchen wir aber gerne zu helfen.

Eines der großen Probleme im Freifunknetz ist das Auffinden von internen Diensten. Das kann z.B. eine Webseite sein, ein Spieleserver oder WebCam. Daher kann nun auf der Weboberfläche des Routers ein Link eingegeben werden, der auf allen öffentlichen Statusseiten der Router angezeigt wird.  Dies soll helfen, die Nutzung von internen Diensten anzuschieben. Standardmäßig ist die Anzeige auf dem Router allerdings ausgestellt.

Bitte beachtet, dass das Autoupdate erst in ein paar Tagen zur Verfügung steht und bis dahin die alte Karte auf dieser Seite eingebunden ist. Die Downloads sind aber bereits verfügbar und neue Knoten tauchen jetzt auf der neuen Karte auf.

 Liste der Änderungen
  • Wechsel auf OpenWrt Barrier Breaker (14.07)
  • IPv6 only mit NAT64/DNS64 auf den Gateways
  • Jeder Router verteilt ein gemeinsames FF-lokales Prefix für isolierte/autarke Netzwerke
  • Unterstützung neuer Modelle
    • u.a TP-LINK CPE210/220/510/520 (danke an Gluon)
  • Mesh-Protokoll: batman-adv 2014.4.0
  • VPN zum Server: fastd v17
    • höhere Geschwindigkeit und Sicherheit
  • Der WAN-Anschluss kann jetzt mit den Ports und einem privaten AccessPoint gebridged werden.
  • Die Kartendaten (Name und Position) können auf dem Router eingetragen werden.
  • dezentrale und gleichberechtigte Karten (mit alfred und ffmap)
  • Die Firmware/Karte unterscheidet jetzt verschiedene Communities
  • Karte: ffmap unterscheidet jetzt unterschiedliche Communities in einem Netz
  • Die Weboberfläche des Routers wurde neu gestaltet
  • Jeder Router kann einen Service verkünden (Label+Link), welcher auf den Statusseiten der anderen Router angezeigt wird.
    • Per default ist die Anzeige au der Statusseite dekativiert
  • Inkognito-Modus des Routers – übermittelt keine Daten für die Karte.
  • Die Identität des Routers (MAC-Adresse) kann über die Weboberfläche gändert werden.

 Screenshots

Fertige Images sind wie immer auf unserer Downloadseite zu finden. Die Quellen der Firmware und zum Betreiben eines Servers/Gateways befinden sich auf github.com.

Danke an alle, die dieses Release ermöglicht haben und mitgeholfen haben unser gemeinsames Netz voran zu bringen!

VPN als Dienst im Weimarnetz

Im Weimarnetz wird VPN für zwei Zwecke genutzt: Die Verbindung von Meshwolken, die sich durch die Luft nicht sehen können und um die DSL-Betreiber aus dem Fokus der Abmahnanwälte zu nehmen. Sollte die Störerhaftung fallen, geht es nur noch um die Verbindung der Wolken untereinander. Jahrelang haben wir das gesamte Netz mit einem (zentralen) Server betrieben. Ergebnis langer Überlegungen ist ein dynamischeres, offeneres Konzept, das wir nun umzusetzen wollen.

Was möchten wir erreichen?

  • Jede_r soll einen Server im Netz bereitstellen können, ohne die Konfiguration anderer Server oder Router ändern zu müssen.
  • Server sollen dezentral und organisatorisch unabhängig voneinander arbeiten. Wir wollen nicht von Einzelnen abhängig sein.
  • Lastverteilung und Ausfallsicherheit über mehrere Server
  • die Bereitstellung eines VPN-Servers soll im besten Fall scriptbasiert möglich sein
  • das Hinzufügen oder Austauschen von Servern funktioniert ohne, dass wir die Firmware auf den Routern anpassen müssen. Das Konzept soll möglichst wenig Dienste auf Server und Router erfordern (idealerweise nichts, was über OLSR und VPN hinausgeht, Internet setzen wir mal voraus)

Wie funktioniert es?

Server

Auf Serverseite benötigen wir vtun als VPN-Software und OLSR als Routing Daemon. Beides kompilieren wir selbst, da die Pakete in den Linuxdistributionen hoffnungslos veraltet sind (insbesondere OLSR) oder nicht zu unseren Anforderungen passen (vtun). VTUN kann in verschiedenen Varianten angeboten werden, die Parameter sind (de)aktivierte Verschlüsselung oder Kompression. Die unterschiedlichen Ausprägungen von VTUN müssen auf verschiedenen TCP-Ports lauschen. Weimarnetzrouter laufen standardmäßig ohne Verschlüsselung und ohne Kompression.

VTUN wird auf einem Server so vorkonfiguriert, dass sich jeder Knotennummer (=Abstraktion der IP-Konfiguration) aus dem Weimarnetz mit dem Server verbinden kann. Der OLSR-Dienst startet bei einem noch unbekannten Router kurz neu, um diesen in die Konfiguration aufzunehmen. Der Clou ist, dass sich der VPN-Server – selbst ein Knotenpunkt im Mesh – per OLSR-Service-Plugin im Netzwerk als Dienst ankündigt und so auch andere Router von diesem Dienst erfahren. In dieser Meldung teilt der Server Verbindungsdaten mit, z.B. die Ports, die MTU oder die Anzahl der bereits verbundenen Router.

Untereinander können sich die Server ebenfalls verbinden und das Mesh erweitern. So wird vermieden, dass Inseln entstehen.

Router

Jeder Router pflegt eine aktuelle Liste angekündigter VPN-Dienste. Die ist fest gespeichert, um einen Neustart zu überleben. Auch im Fall, dass andere Meshnachbarn fehlen, sind trotzdem Informationen zu verfügbaren Diensten da und eine Verbindung kann initiiert werden.

Stellt der Router fest, dass er selbst über Zugang zum Internet verfügt wird versucht, eine VPN-Verbindung zu starten. In einem kurzen Test wird der am besten erreichbare Server ausgewählt (z.B. Ping-Zeit, Anzahl Clients) und eine Verbindung mit diesem gestartet. Fertig.

Wie sieht es heute aus?

Wir haben inzwschen 3 laufende Server. Einen stellt uns Ufo aus Leipzig zur Verfügung, Basti betreibt einen in Chicago und einen in Düsseldorf. Einer unserer Mitstreiter baut gerade einen Server in der Schweiz auf, den wir dafür auch nutzen dürfen.

Aktuell laufen die Arbeiten an der Integration der Funktionen in unsere Firmware, die ersten Tests sehen vielversprechend aus.

Eine Note zu freifunk

Es war Anfang der 2000er Jahre, als drahtlose Netzwerkenthusiastinnen in Leipzig zusammen kamen, um sich gemeinsam über die Gründung eines offenen Meshnetzwerkes auszutauschen.

Die Idee war ein Fensterbrett-zu-Fensterbrett Netzwerk, das Menschen nachbarschaftlich verbinden sollte. Wir wollten eine eigene Netz- und Infrastruktur aufbauen, die sich aus billigen WLAN-Routern zusammensetzte, die von einzelnen, auch anonym, betrieben wurden.

Zur damaligen Zeit waren dezentrale, selbstroutende Meshnetzwerke per WLAN selten. es gab Projekte wie das “roftop net” am MIT oder “Seattle Wireless”, die jedoch nicht wirklich unserer Idee eines flachhierarchischen Ansatzes entsprachen. allerdings beschäftigte man sich damals auch im nicht weit entfernten Berlin bei olsrexperiment.de mit der Idee von sozialen Fensterbrett-zu-Fensterbrett Netzwerken und den dafür nötigen technischen Mitteln. Dort wurden wir fündig und begannen aus der Berliner Firmware unsere eigene Leipziger Version zu stricken.

Als sich später aus olsrexperiment.de die freifunk.net Idee und ihre Community formierte, schloss sich die Leipziger Gruppe der Firmware, der Idee und ihren Grundsätzen (u.a. das “Pico Peering Agreement”) umgehend an.

Olsrd wurde also auch unser erster Routing Algo der Wahl, um die Idee eines Adhoc Mesh’ im urbanen Raum umzusetzen. Wir entschlossen uns damals bewusst die wichtige IP Vergabe in Form einer simplen Liste in einem offenen, pseudonymen Wiki zu regeln. Es war mitunter bei technischen Problemen zwar ärgerlich, denn einige eingetragene IPs waren nicht einmal mit einem Emailkontakt versehen. Allerdings wollten wir eine administrierte Freischaltung aus Gründen des unbedingt offenen Konzeptes vermeiden. Immerhin brachte es die Leipziger Community Mitte der 2000er Jahre mit dieser Methode auf legendäre mehrere hundert aktive Knoten.

Im Gegensatz zum Berliner freifunk Projekt, in dem es zum früheren Zeitpunkt für mobile Endgeräte nur möglich war am Netzwerk teilzunehmen, wenn diese auch ihrerseits olsrd laufen hatten, entschieden wir uns in Leipzig für eine NAT und DHCP Lösung, bei der Clients ohne eigenes OLSRouting am Knoten eine temporäre Lease bekamen und folglich zum Mesh genattet wurden. Strittiger Kernpunkt dieser Debatte war, dass die Zuweisung einer DHCP Lease einen hierarchischen Vorgang darstellte und wir technische und soziale Hierarchien eigentlich gänzlich vermeiden wollten.

Wir wollten, dass Menschen sich minimalinversiv, dezentralisiert und selbstbestimmt in ihrer Nachbarschaft vernetzen konnten und forderten auch jeden freifunk Knotenbetreiber darüber hinaus auf, eigene Dienste im freifunk Mesh anzubieten. Es wurden Plugins für olsrd geschrieben. Es wurden im Mesh Asterisk, Jabber, Blog, Streaming, File und sonstige Server eingerichtet. Es war die Zeit der freifunk Content Debatten, es war ein spannender Spielpatz, auch inhaltlich. Glücklicherweise konnten Knotenbetreiber, die über Gateways zu anderen Netzen verfügten, diese auch ins Mesh einbinden. So tröpfelte auch in den Opalgebieten des Leipziger Südens manchmal etwas Internet aus der Luft, weil nette Menschen nebenan ein Gateway geöffnet hatten. Schon damals war die Frage nach dem Öffnen des eigenen Internetanschlusses für das freifunk Mesh eine heikle Angelegenheit. Es gab auch damals Angst vor “Saugern”, der wir allerdings nicht mit technischen Filtern und Blockaden begegneten, sondern mit sozialen Mitteln, wie Aufklärung und Information (u.a. auch eine Splashpage). Denn im freifunk ist die Freiheit des einzelnen nur so groß wie die seines Nachbarn, es geht darum Ressourcen zu teilen. freifunk ist darum auch immer soziale Basisarbeit, die wir nicht durch technische Mittel erledigen können.

 

Zeitsprung: 2015

Als von der freifunk Community und vom Netzwerk unabhängige (auch namentlich unabhängige) Internet Service Provider (ISP) gegründet wurden, mit dem Ziel provisorisch und temporär juristische Fussangeln der Störerhaltung zu umgehen und den Internet Traffic über entfernte Gateways abzuleiten, ist es in einigen Teilen der bundesweiten freifunk Community offensichtlich zu gravierenden Missverständnissen über den grundsätzlichen Charakter eines “freien” freifunk Netzes gekommen.

Im Westen der Republik sehe ich, dass freifunk Vereine und ISP Konstrukte entstehen, die leider nicht den Bau freier Netzwerke fördern, sondern selbst offiziell als Anbieter von Internetzugängen agieren. Die Ideen des Teilens und der Allmende gehen damit verloren.

Es ist paradox, da die freifunk Idee nicht nur dem Namen nach für “freies funken” steht, sondern auch konzeptionell niemals für ein reguliertes, zentralisiertes Gratis-Hot-Spot-Netz mit integriertem Vereins- oder ISP-Betrieb stand. Das geht nicht gut zusammen und darüber muss in der freifunk Community dringend geredet werden.

Ich möchte darum alle Freifunkerinnen dazu auffordern miteinander zu sprechen, wie wir unsere Netze gestalten, ob wir freie, offene, unregulierte und flache (auch sozial flache) Strukturen bauen oder ob wir mit einer Servicementalität von kommunalen Internet Lieferanten zu Werke gehen. Freifunk kennt keine Kunden und sollte niemals mit dem Lieferversprechen eines Providers konzeptioniert und betrieben werden, denn neben der Idee des hierarchielosen und freien “people owned” Netzwerkes ist freifunk auch eine soziale Community idee, die so dezentral und führungslos funktioniert, wie der im Mesh benutzte algo. Und so wie die Nodes die Informationen über Routen und erreichbare Knoten austauschen, sollten die freifunkerinnen auch ihr Wissen miteinander teilen. Echtes freifunk ist darum auch nicht durch externe, einzelne Eingriffe abschaltbar.

Wir müssen uns klar sein, dass die ISP Lösung nur bei der Umgehung der Störerhaftungsfrage half und ohne die Störerhaftung der freien Funkidee sogar hinderlich werden kann. Sollte die Störerhaftung für private, offene WLANs fallen, so müssen umgehend alle juristischen und technischen ISPkonstrukte im freifunk beseitigt werden.

Ein ideales freifunk Mesh besteht aus autonomen, vom User selbstverwalteten Routern auf jedem einzelnen Fensterbrett einer Strasse und eines Kiezes; eine Meshwolke, die die Menschen lokal vernetzt – eine alternative offene Infrastruktur im urbanen Nachbarschaftsraum. Alle darüber hinaus von einzelnen angebotene Dienste und Gateways innerhalb dieses Mesh’ sind quasi Extras, die sich das offene freifunk Netz lediglich als Transportnetz zu nutze machen. Darum kann auch auf das schon erwähnte Pico Peering Agreement im freifunk an keiner Stelle verzichtet werden.

Wer jetzt die freifunk Idee und ihren Namen benutzt, um regulierte und zentralisierte Hot-Spot Wolken zu bauen oder lokale ISP-Instanzen zu gründen, der verschenkt fahrlässig zuvor mühsam erkämpften politischen und sozialen Raum, den die freifunk Community mit ihrer Idee immer schon definiert hatte. Lokale, selbstverwaltete und nicht-kommerzielle ISPs sind wichtig und wünschenswert. Allerdings haben sie bezüglich ihres Designs und ihrer Funktion nichts mehr mit der ursprünglichen freifunk Vision zu tun. freifunk kann per Definition niemals ISP sein.

Und auch per default eingeschaltete automatische Updatefunktionen in der Firmware, sowie hinterlegte Keys sind nicht mit der Idee einer freien, selbstbestimmten und dezentralen Netzwerkstruktur vereinbar. Die Hoheit über seinen Knoten liegt bei UserIn.

Lasst uns wieder unregulierte Netze bauen, freie freifunk Netze.

#freifunkbefreien

Sven Heinze, @kinolux

Freifunk-Broschüre “Freie Funknetze in der Praxis” von Medienanstalt Berlin-Brandenburg

Die Medienanstalt Berlin-Brandenburg (mabb) hat eine eine Broschüre “WLAN für alle – Freie Funknetze in der Praxis” veröffentlicht. Aus der Pressemitteilung: Aktuelle Publikation der mabb informiert umfassend über das Thema „Freifunk“.

Sie erläutert ausführlich, was sich hinter „Freifunk“ verbirgt und welche Chancen und Risiken mit diesem Netz verbunden sind. Mit der Publikation möchte die mabb die Freifunk-Community dabei unterstützen, die Bekanntheit von Freifunk in der Öffentlichkeit zu vergrößern. Noch kennen zu wenige Bürger und Institutionen die Möglichkeiten dieses Netzes. Und die, die es kennen, haben Bedenken und Vorbehalte es zu nutzen oder selbst anzubieten. Fragen wie „Ist das Freifunk-Netz sicher?“, „Mache ich mich strafbar wenn ich meinen Router für andere öffne?“ oder „Hafte ich für illegale Downloads anderer?“ werden immer wieder gestellt. Die Publikation der mabb greift diese Fragen auf und gibt praktische Erläuterungen und Anwendungshinweise für Nutzer und Anbieter.

Die Broschüre kann als als PDF heruntergeladen oder analog bestellt werden. Die Inhalte stehen unter einen freien Creative Commons-Lizenz.