TL;DR: wir migrieren unsere v2019-fastd Knoten zu aktuellem v2023-wireguard Gluon-Firmware
Nicht nur wenn man auf die aktuelle Jahreszahl (2024) schaut und diese mit der Versionsnummer der bisherigen Mehrheit der Knoten vergleicht (v2019.1.3-1-stable), stellt man den Bedarf einer Aktualisierung fest.
Auch wenn man auf die technischen Hintergründe schaut, läuft die v2019er Firmware sogar noch mit einem OpenWrt von 2018, einer BATMAN-Version von 2014.
Deswegen ist eine Aktualisierung auf aktuelle Firmware notwendig.
Dies zieht jedoch große Änderungen aufgrund des großen Versionssprungs mit sich, für die wir lange keine Zeit hatten.
Doch nun ist es soweit! Wie der ein oder andere sicher schon bemerkt hat, ziehen wir seit Anfang letzter Woche (08.01.2024) regelmäßig Knoten in das neue System um.
Der aktuelle Stand kann auf unserem Dashboard verfolgt werden:
Wenn es mal ruckelt im Freifunk oder Probleme gibt, seid bitte nachsichtig und meldet uns das an technik@freifunk-aachen.de – euer Feedback ist wichtig um Freifunk zu verbessern!
Wie wir bereits vor über einem Jahr angekündigt haben, werden einige alte Geräte dabei von unserer neuesten Firmware nicht mehr weiter unterstützt:
Technische Details
Wie gesagt gibt es ein paar technische große Änderungen unter der Motorhaube, die auf die Verwendung von Freifunk jedoch keinen Einfluss haben.
Dazu zählen:
- Umstieg von batman-adv COMPAT_VERSION 14 auf COMPAT_VERSION 15
- Umstieg des WLAN-P2P-Mesh-Protokolls von IBSS (Ad-hoc) auf 802.11s
- Umstieg unserer VPN-Technologie von FastD auf Wireguard
- Umstieg von OpenWrt-18 auf OpenWrt-22 (einen Ausblick auf OpenWrt-23 bieten wir ebenfalls an)
- Konfiguration neuer Supernodes über Ansible
Damit alte Knoten trotzdem zunächst noch mitmachen können (was aktuell rund 450 unserer 1600 Knoten entspricht), haben wir ihnen ein letztes Update auf v2021er Firmware gegeben.
Wenn ihr Betreiber eines solchen Geräts seid, tauscht dieses bitte zeitnah aus!
Empfehlungen zu Ersatz findet ihr hier
Was bedeutet das jetzt?
Insgesamt ändert sich für Endnutzer nicht viel. Es kann während der Migration mal zu kurzen Aussetzern kommen, die wir allerdings möglichst versuchen, in die Nächte zu schieben.
Falls es etwas länger dauert oder weiter besteht, meldet das gerne an technik@freifunk-aachen.de
Nachfolgend noch ein paar Frequently Asked Questions (FAQ):
Meine öffentliche IPv6-Adresse hat sich geändert / Mein Knoten zeigt zwei IPv6 Adressen an
Die neuen Domains nutzen IPv6 Adressen der Form2a03:2260:3006:120:9e3d:cfff:feea:cdca
6 Oktet-Meshprefix, 1 Ziffer Supernode (1), 2 Ziffern Domain-ID (20), 8 Oktets MAC-Adresse des Knotens
Je nachdem mit welchem Supernode man verbunden ist, ändert sich aktuell also die IPv6-Adresse – wenn beide Supernodes laufen, ist der Knoten über zwei IPv6-Adressen erreichbar..
IPv4 geht derzeit nicht mehr über Freifunk-Rheinland
Aktuell routen wir IPv4 direkt raus aus unserem treuen Rechenzentrum und tunneln diesen nicht weiter zum Freifunk Rheinland.
Die Verbindung zu unseren Freifunk-Servern ist allerdings immer verschlüsselt.
Freifunk kann so weiterhin ohne Sorge der Knotenbetreiber genutzt werden.
Wie lange werden alte 4/32er mit der v2021er Firmware unterstützt?
Sie werden bereits jetzt nicht mehr unterstützt, es gibt allerdings aktuell keine Planung, den Geräten den VPN Zugang zu verwehren.
Sollten Änderungen notwendig werden, die zu weiteren Breaking-Changes führen oder Sicherheitslücken beheben, werden wir diese Geräte jedoch nicht weiter aktualisieren.
Bitte installiere keine zusätzlichen Altgeräte und greife auf unsere Empfehlungen zurück.
Welche ausgehenden Portfreigaben sind notwendig für einen Freifunk-Knoten?
Eingehende Portfreigaben sind für den Freifunk-Betrieb nicht notwendig.
Wenn ihr auch allgemein ausgehenden Traffic blockiert, müsst ihr die Portfreigaben nun ändern.
Diese sind nun:
- 123 UDP für NTP
- 53 TCP/UDP für DNS
- 80/443 für Key-Registrierung und opkg
- 51811-51820 für WireGuard
Sollten zukünftig neue Segmente hinzugefügt werden, müssen entsprechend neue Ports für WireGuard freigeschaltet werden.
Die meisten Installationen laufen, soweit wir das sehen können, ohne Netzwerk-Einschränkungen.
Seit der Migration funktioniert etwas nicht
Bitte melde dich bei uns unter technik@freifunk-aachen.de
Der Knotennamen DNS funktioniert nicht zuverlässig
Das Feature, dass ein Knoten unter $knotenname.nodes.ffac.rocks erreichbar ist (hier beschrieben), hat teilweise Aussetzer, die wir nach der Migration beheben werden.
Schlusswort
Wir freuen uns unheimlich, dass diese Migration, die wir gemeinsam nun über ein Jahr vorbereitet haben, Realität wird.
Somit ist die Aachener Freifunk-Community technisch auf aktuellem Stand und vorne bei der Entwicklung dabei.
Wenn auch ihr unterstützen möchtet, könnt ihr euch hier darüber informieren.
Vielen Dank für eure Mithilfe und Unterstützung bei der Verbreitung und Umsetzung der Idee von freiem Internet für alle!