Hi zusammen,
Ich wollte meine Ideen und Pläne gerne mal vorstellen und
gemeinsam mit euren eine Roadmap erarbeiten. :)
Meine Pläne für das Netz und die Firmware:
1. Hoodselector fertigstellen: Aktuell fehlen noch ein paar
Zustände die in den kommenden Wochen angeschlossen sein sollten.
Das betrifft hauptsächlich den BATAMAN_GATEWAY mode. Z.B. das
verhalten beim zurück wechseln in die Eigene hood wenn sich ein
mesh Router an eine benachbarte hood gehängt hat. Siehe dazu:
https://github.com/freifunk-gluon/gluon/pull/997
2. Support für L2TP VPN.
Aus dem gluon upstream soll l2tp in unsere Firmware backported werden.
Das ist dank der neuen Patch Möglichkeit in unserer Firmware nun relativ
einfach realisierbar.
3. Router als Batman-adv Gateways
Die Idee hatte ich schon länger im Kopf bin aber bisher noch nicht wirklich
dazu gekommen in der Richtung was zu machen. Im Grunde ist die Idee das,
leistungsfähigere Router bsp. Archer C7 einen eigenen VPN zu exit Servern
aufbauen wie z.B. IPredator, HidemyAss, Tor, usw. Paralell zu den VPN soll
ein weiterer VPN fastd oder l2tp die virtuelle mesh Verbindung für das interne
Netz weiter zur Verfügung stellen.
Vorteile bei dieser Struktur:
* Es gibt deutlich mehr Exit Nodes.
* Es kommt dem Dezentralen Konzept ein Stück näher.
* Unser Server backbone wird entlastet (bessere lasten Verteilung).
* Evtl. Technische Lösung der VDS
Nachteile:
* IPv4 würde in dem Konstrukt wahrscheinlich Probleme machen.
Lösung könnte hier ddhcpd sein ein zurzeit experimenteller distributed dhcp
Server.
4. Prof of concept erstellen für generische Layer3 Routern zwischen hoods.
Hierzu habe ich mir noch keine näheren Gedanken gemacht. Aber der Titel
sollte schon aussagen worum es geht.
Das sind bisher nur Ideen und Vorstellungen woraus letztlich eine Roadmap
entstehen kann.
Ich würde mich über feadback und/oder andere Ideen Freuen :)
Schöne Grüße
Tarek
Moin Moin leute,
Ich habe heute eine neue Firmware gebaut. Basisdaten:
* Firmware-Version: 20170822
* Gluon-Version: v2016.2.x
* Commit ID: d722c2638a9f7a662ea46b74e997a3e460e70971
* Download: https://firmware.ffnw.de/20170822
Folgende Gluon spezifischen Änderungen gab es unter anderen:
* Backport sysupgrade error handling fixes
* prereq: backport changes to git detection to work with newer Git versions
* automake: import upstream fix for perl 5.26
Die upstream Änderungen findet ihr hier:
https://github.com/freifunk-gluon/gluon/compare/0d2b078...d722c2
Folgende Comunnity spezifischen Änderungen gab es:
package repo:
* Neues Paket "disable-11s" welches das versehentliche einschalten von IEEE802.11s
wieder rückgängig macht.
* Hoodselector bug: nicht abgefangener Null Index zugriff behoben danke an Lorenz
https://lists.ffnw.de//pipermail/dev/2017-August/002213.html
Die Änderungen an unseren eigenen Paketen können im Packages-Repository hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/packages/compare/20170629..…
siteconf repo:
* Autoupdater url für wechsel auf Gluon v2017.1.x angepasst.
Änderungen an der Siteconf können im Siteconf-Repo hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/siteconf/compare/20170629..…
Ich bitte euch die Änderungen zu prüfen und die Firmware im Anschluss zu
signieren. Die Dokumentation zum Signaturprozess findet ihr im Wiki unter:
https://mediawiki.ffnw.de/Firmware/Releaseprozess#Firmware_signieren
Schöne Grüße
Tarek
Moin Moin leute,
Ich habe heute eine neue Firmware gebaut. Basisdaten:
* Firmware-Version: 20171014
* Gluon-Version: v2017.1.x
* Commit ID: 3e2e72729f43aff4dcbc8da63336990875929cd7
* Download: https://firmware.ffnw.de/20171014
Folgende Gluon spezifischen Änderungen gab es unter anderen:
* Gluon basiert nun auf LEDE anstelle von OpenWRT welches stark veraltet war/ist.
Die LEDE basis von Gluon ist nun v17.01.3. Welches u.a. Stabilisierung-Verbesserungen,
security fixes und einige Updates enthält.
(Changelog findet sich hier ) v17.01 [0], v17.01.1 [1], v17.01.2 [2], v17.01.3 [3].
* Der Kernel wurde von 3.18.x auf v4.4.89 geupgraded.
* Das Gluon build system wurde vereinfacht und einige hacks die für OpenWRt notwendig
waren wurden entfernt.
* das opkg repo enthält jetzt auch Architektur spezifischen Pakete.
* Das deaktivieren von batman-adv auf einem Netzwerk Interface hat vorher teilweise
einen kernel crash verursacht. Z.B. während eines sysupgrade Prozesses. Diese Problem
ist nun behoben (#680).
* Eine race condition im Netzwerk setup scripts konnte zu unvollständigen Konfigurationen
führen (#905). Der fix behebt außerdem das Hängenbleiben von WLAN und VPN losen Geräten.
* Einige Änderungen im WLAN stack von LEDE haben die Stabilität vom ath9k Treiber
verbessert (#605).
* Ein neues Feature ist der DNS cache für clients (#1000). Dieses kann das Nutzer
Erlebnis verbessern (#1000). Siehe dazu auch [4].
* batman-adv wurde auf Version 2017.1 geupdated [5].
* GCC 4.8 oder neuer wird jetzt zum bauen benötigt.
* Support für tunneldigger mesh VPN
* Ein bug in einigen batman-adv versions zuvor kann zu einer großen Anzahl von
management traffic führen. Das batman-adv multicast optimization wurde
vorübergehend deaktiviert um das Problem zu umgehen.
Multicast optimizations wird wieder eingeschaltet sobald das management traffic
Problem behoben ist.
* batman-adv gw_mode ist nun Upgrade fest (#1196). Das kann nützlich sein
wenn man z.b. einen Gluon Router an einen Router mit DHCP hängt, muss der
gw_mode gesetzt sein um batman-adv als server laufen zu lassen.
* Es gibt jetzt die Möglichkeit die batman-adv Algorithmen (BATMAN IV or BATMAN V)
in der site.conf zu konfigurieren (#1185).
BATMAN V ist nach wie vor nicht gut getestet. Diese Option ermöglichst es BATMAN V
basierte test meshes aufzubauen.
* dnsmasq wurde auf v2.78 upgegraded um folgende bugs zu beheben: CVE-2017-13704,
CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, 2017-CVE-14495
und 2017-CVE-14496 die wichtigsten fixes die oben genannt worden, beheben
(remote code execution) in der DHCP Komponente von dnsmasq. Der DHCP ist nur im
ConfigMode aktiv. Ein Angreifer kann memory Korruption und mögliche remote code
execution erzwingen, indem er einen bösartig DNS Server anbietet und einen Gluon Router
austrinkst so das dieser den bösartig DNS Server nutzt.
* Einige security Issues wurden in Paketen behoben die in der regel nicht teil der
Stock-Firmware von Gluon sind. Mit involviert sind u.a tcpdump, curl und mbedtls
weiteres kann man hier einsehen [6]
* Das Filtern von multicast paketen zwischen dem mesh und local-node interface wurde
gefixed (#1230).
Dieses Problem hatte verursacht das gluon-radvd router advertisement an lokale clients
gesendet hatte wenn eine anfrage aus dem lokalen Netz kam.
* Es wird verhindert ein build tätigen wenn wir autoupdater mirror URLs nicht mit http://
starten (9ab93992d1fc).
* Fix MAC Adressen für den TP-Link TL-WR1043ND v4 wenn Gluon auf der neueren stock
Firmware installiert wird (#1223).
Die upstream Änderungen findet ihr hier:
https://github.com/freifunk-gluon/gluon/compare/d722c2...3e2e72
Folgende Comunnity spezifischen Änderungen gab es:
package repo:
* Das Paket "disable-11s" welches das versehentliche einschalten von IEEE802.11s
wieder rückgängig macht ist entfernt.
* Das Paket ffnw-config-mode-geo-location wurde aktualisiert, und nutzt jetzt minified js.
* Alle Pakete wurde von luci.model.uci auf simple-uci angepasst.
* Die Default hood bssid wurde von 02:CA:FF:EE:BA:BF auf 02:00:0A:12:E0:00 korrigiert.
* Das Paket hoodselectorctl wurde entfernt.
* Das Paket nodewatcher2 wurde entfernt.
* Das hoodselector upgrade script nutzt nun BSSIDs zur Identifikation der hood, welche
eindeutig ist, Anstelle des hoodnames.
* Der hoodselector prüft im Radiolest Mode ob mesh on lan/wan an ist.
* Der hoodselector nutzt nun kein scan dump mehr welchen Airtime gespart hatte.
diese funktion ist in LEDE nicht mehr vorhanden.
Die Änderungen an unseren eigenen Paketen können im Packages-Repository hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/packages/compare/20170822..…
siteconf repo:
* Ein paar patches die den umgeng mit IEEE802.11s in openWRT ermöglichen wurden entfernt.
* Das Modul netmon wurde entfernt.
* fastd kann nun auch die crypt Methode 'null' was bedeutet das ein unverschlüsselter Tunnel
aufgebaut werden kann. Dies kann über den configMode eingestellt werden.
* autoupdater good signatures level ist auf 5 gestiegen.
* Die update Priorität wurde von 0 auf 2 erhöht. D.h. es dauert mindestens 2 tage bis
alle Geräte das Update erhalten.
Änderungen an der Siteconf können im Siteconf-Repo hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/siteconf/compare/20170822..…
* Wichtiger Hinweis *
Es gibt ein Problem in allen Gluon Versionen vor 2016.2.6 welche die x86 Systeme betrifft.
Diese verlieren ihre Konfiguration wenn diese auf Gluon 2017.1.x updaten. Ältere Firmware
Versionen sollten vorher auf 20170822 [7] upgraden, bevor diese 20171014 installieren.
Ein anderes potentielles Problem betrifft die meisten Virtuellen Maschinen. Die Gluon 2017.1.x
images sind größer als die 2016.2.x images. Dies betrifft die x86 Architektur. Wenn deine
Festplatte auf 2016.2.x images basiert, muss diese auf 273MB order größer vergrößert werden.
Dies solltes du vor den update auf 20171005 machen! Der Befehl für qemu wäre z.b. folgender:
qemu-img resize $IMAGE 273MB
Ich bitte euch die Änderungen zu prüfen und die Firmware im Anschluss zu
signieren. Die Dokumentation zum Signaturprozess findet ihr im Wiki unter:
http://wiki.nordwest.freifunk.net/Firmware/Releaseprozess#Firmware_signieren
Schöne Grüße aus Frankreich
Tarek
[0] https://lede-project.org/releases/17.01/changelog-17.01.0-final
[1] https://lede-project.org/releases/17.01/changelog-17.01.1
[2] https://lede-project.org/releases/17.01/changelog-17.01.2
[3] https://lede-project.org/releases/17.01/changelog-17.01.3
[4] https://gluon.readthedocs.io/en/v2017.1.x/features/dns-cache.html
[5] https://www.open-mesh.org/news/78
[6] https://git.lede-project.org/?p=source.git;a=shortlog;h=refs/heads/lede-17.…
[7] https://firmware.ffnw.de/20170822/
Hi,
ich möchte gerne mal eure Meinung zum Thema partielle Updates hören. Der
Kerngedanke dahinter ist, ein fertiges Firmwareupdate zunächst nur in einer
einzigen Hood auszurollen. Läuft dieses Update ohne Verluste, wird das Update
in weiteren Hoods nachgezogen bis alle Hoods geupdated sind.
Das muss gar nicht unser Standardprozess werden. Aber ich möchte das mal als
Möglichkeit für besonders kritische Updates wie bspw. das 802.11s-Update
vorschlagen.
Was meint ihr? Vllt. hat sogar jemand Ideen zur Realisierung.
Viele Grüße
Clemens
Hallo zusammen,
auf dem letzten Treffen kam nochmals die Frage nach einer Offline-SSID
auf. Tarek möchte so eine grundlegende Entscheidung auf der ML diskutieren.
Ich denke wir sollten eine Offline-SSID einführen. Diese muss nicht
direkt vom Online-Status des Routers herrühren, sondern könnte auch
durch ein fehlendes (Batman-)Gateway ausgelöst werden.
Grund: Ohne Gateway Anbindung hat man nicht den erwarteten Zustand.
Befindet man sich beispielsweise in Oldenburg und verbindet sich mit
unserem Netz, erwartet man eine IPv4 und eine Publicv6 aus dem
Oldenburger Bereich zugewiesen zu bekommen und mit jedem anderen im
Freifunk Nordwest Netz und auch mit dem gesamten Internet Daten tauschen
zu können.
Für Nutzer, die auch die ganz grundlegenden lokalen Features nutzen,
sollte es kein Problem sein sowohl Offline- als auch Online-SSID zu
speichern / sich damit zu verbinden.
Wenn wir das nicht tun provozieren wir an reinen Mesh-Routern ohne
Anbindung ein Offline-legen der User. Die Geräte verbinden sich mit
Freifunk, schalten mobile Daten ab und sind offline.
Außerdem kann es auch beim Ausbau unterstützen: Mein Blick in der
Oldenburger Innenstadt geht gerade dahin, wo ich einen Uplink her
bekomme, obwohl ein weiterer Routerstandort auch ohne cool ist. Ich
werde aber keine Router aufbauen, die von vornherein offline sind und
Nutzer beeinträchtigen. Mit Offline-SSID kein Problem und die Geräte
würden sich auf die normale SSID konfigurieren, sobald ein Uplink-Router
in der Nähe ist.
--
Viele Grüße,
Simon
Hi zusammen,
Die Portierungen zu gluon v2017.1.x sind nun weitestgehend abgeschlossen.
Es müssen nur noch ein paar Schönheits Änderungen erledigt werden, dann
ist soweit alles abgeschlossen.
vg
Tarek
Hallo Leute
dass man bei LEDE jetzt im config-modus wählen kann zwischen vpn mit und ohne crypto ist schön, aber leider wirkungslos. ich habe den default "hohe Geschwindigkeit" beibehalten, meine /etc/config/fastd beinhaltet folgendes:
config fastd 'mesh_vpn'
list method 'null'
list method 'null+salsa2012+umac'
list method 'salsa2012+umac'
und im logread steht: daemon.info fastd[4121]: new session with <mesh_vpn_backbone_peer__10000> established using method `salsa2012+umac'.
mir fallen spontan zwei mögliche Lösungen ein:
1. die anderen optionen 'null+salsa2012+umac' und 'salsa2012+umac' müssen ganz rausfliegen, wenn per config-modus "hohe Geschwingkeit gewählt wird"
2. vielleicht müssen Gateway-seitig die Optionen auch so sortiert werden, dass dort 'null' zuoberst steht. Aber das wäre nur ein Schuss ins Blaue. Kennt sich jemand aus?
LG Lorenz
Moin Moin leute,
Ich habe heute eine neue Firmware gebaut. Basisdaten:
* Firmware-Version: 20171010
* Gluon-Version: v2017.1.x
* Commit ID: 3e2e72729f43aff4dcbc8da63336990875929cd7
* Download: https://firmware.ffnw.de/20171010
Folgende Gluon spezifischen Änderungen gab es unter anderen:
* Gluon basiert nun auf LEDE anstelle von OpenWRT welches stark veraltet war/ist.
Die LEDE basis von Gluon ist nun v17.01.3. Welches u.a. Stabilisierung-Verbesserungen,
security fixes und einige Updates enthält.
(Changelog findet sich hier ) v17.01 [0], v17.01.1 [1], v17.01.2 [2], v17.01.3 [3].
* Der Kernel wurde von 3.18.x auf v4.4.89 geupgraded.
* Das Gluon build system wurde vereinfacht und einige hacks die für OpenWRt notwendig
waren wurden entfernt.
* das opkg repo enthält jetzt auch Architektur spezifischen Pakete.
* Das deaktivieren von batman-adv auf einem Netzwerk Interface hat vorher teilweise
einen kernel crash verursacht. Z.B. während eines sysupgrade Prozesses. Diese Problem
ist nun behoben (#680).
* Eine race condition im Netzwerk setup scripts konnte zu unvollständigen Konfigurationen
führen (#905). Der fix behebt außerdem das Hängenbleiben von WLAN und VPN losen Geräten.
* Einige Änderungen im WLAN stack von LEDE haben die Stabilität vom ath9k Treiber
verbessert (#605).
* Ein neues Feature ist der DNS cache für clients (#1000). Dieses kann das Nutzer
Erlebnis verbessern (#1000). Siehe dazu auch [4].
* batman-adv wurde auf Version 2017.1 geupdated [5].
* GCC 4.8 oder neuer wird jetzt zum bauen benötigt.
* Support für tunneldigger mesh VPN
* Ein bug in einigen batman-adv versions zuvor kann zu einer großen Anzahl von
management traffic führen. Das batman-adv multicast optimization wurde
vorübergehend deaktiviert um das Problem zu umgehen.
Multicast optimizations wird wieder eingeschaltet sobald das management traffic
Problem behoben ist.
* batman-adv gw_mode ist nun Upgrade fest (#1196). Das kann nützlich sein
wenn man z.b. einen Gluon Router an einen Router mit DHCP hängt, muss der
gw_mode gesetzt sein um batman-adv als server laufen zu lassen.
* Es gibt jetzt die Möglichkeit die batman-adv Algorithmen (BATMAN IV or BATMAN V)
in der site.conf zu konfigurieren (#1185).
BATMAN V ist nach wie vor nicht gut getestet. Diese Option ermöglichst es BATMAN V
basierte test meshes aufzubauen.
* dnsmasq wurde auf v2.78 upgegraded um folgende bugs zu beheben: CVE-2017-13704,
CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, 2017-CVE-14495
und 2017-CVE-14496 die wichtigsten fixes die oben genannt worden, beheben
(remote code execution) in der DHCP Komponente von dnsmasq. Der DHCP ist nur im
ConfigMode aktiv. Ein Angreifer kann memory Korruption und mögliche remote code
execution erzwingen, indem er einen bösartig DNS Server anbietet und einen Gluon Router
austrinkst so das dieser den bösartig DNS Server nutzt.
* Einige security Issues wurden in Paketen behoben die in der regel nicht teil der
Stock-Firmware von Gluon sind. Mit involviert sind u.a tcpdump, curl und mbedtls
weiteres kann man hier einsehen [6]
* Das Filtern von multicast paketen zwischen dem mesh und local-node interface wurde
gefixed (#1230).
Dieses Problem hatte verursacht das gluon-radvd router advertisement an lokale clients
gesendet hatte wenn eine anfrage aus dem lokalen Netz kam.
* Es wird verhindert ein build tätigen wenn wir autoupdater mirror URLs nicht mit http://
starten (9ab93992d1fc).
* Fix MAC Adressen für den TP-Link TL-WR1043ND v4 wenn Gluon auf der neueren stock
Firmware installiert wird (#1223).
Die upstream Änderungen findet ihr hier:
https://github.com/freifunk-gluon/gluon/compare/d722c2...3e2e72
Folgende Comunnity spezifischen Änderungen gab es:
package repo:
* Das Paket "11s-switch" ist hinzugekommen. Diese sorgt dafür, das die Router von
IBSS (AD-HOC) auf 11s mesh wechseln. Der wechsel findet am 24.10.2017 statt.
* Das Paket "disable-11s" welches das versehentliche einschalten von IEEE802.11s
wieder rückgängig macht ist entfernt.
* Das Paket ffnw-config-mode-geo-location wurde aktualisiert, und nutzt jetzt minified js.
* Alle Pakete wurde von luci.model.uci auf simple-uci angepasst.
* Die Default hood bssid wurde von 02:CA:FF:EE:BA:BF auf 02:00:0A:12:E0:00 korrigiert.
* Das Paket hoodselectorctl wurde entfernt.
* Das Paket nodewatcher2 wurde entfernt.
* Das hoodselector upgrade script nutzt nun BSSIDs zur Identifikation der hood, welche
eindeutig ist, Anstelle des hoodnames.
* Der hoodselector prüft im Radiolest Mode prüfe ob mesh on lan/wan an ist.
* Der hoodselector nutzt nun kein scan dump mehr welchen Airtime gespart hatte.
diese funktion ist in LEDE nicht mehr vorhanden.
Die Änderungen an unseren eigenen Paketen können im Packages-Repository hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/packages/compare/20170822..…
siteconf repo:
* Ein paar patches die den umgeng mit IEEE802.11s in openWRT ermöglichen wurden entfernt.
* Das Modul netmon wurde entfernt.
* fastd kann nun auch die crypt Methode 'null' was bedeutet das ein unverschlüsselter Tunnel
aufgebaut werden kann. Dies kann über den configMode eingestellt werden.
* autoupdater good signatures level ist auf 5 gestiegen.
* Geräte mit ATH10K sind in dieser version raus geflogen.
Folgende Geräte erhalten das update nicht: MR1750 v1, v2; OM5P-AC v1, v2; Archer C5 v1;
Archer C7 v2; UniFi AP AC Lite und UniFi AP AC Pro.
* Die update Priorität wurde von 0 auf 2 erhöht. D.h. es dauert mindestens 2 tage bis
alle Geräte das Update erhalten.
Änderungen an der Siteconf können im Siteconf-Repo hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/siteconf/compare/20170822..…
* Wichtiger Hinweis *
Es gibt ein Problem in allen Gluon Versionen vor 2016.2.6 welche die x86 Systeme betrifft.
Diese verlieren ihre Konfiguration wenn diese auf Gluon 2017.1.x updaten. Ältere Firmware
Versionen sollten vorher auf 20170822 [7] upgraden, bevor diese 20171005 installieren.
Ein anderes potentielles Problem betrifft die meisten Virtuellen Maschinen. Die Gluon 2017.1.x
images sind größer als die 2016.2.x images. Dies betrifft die x86 Architektur. Wenn deine
Festplatte auf 2016.2.x images basiert, muss diese auf 273MB order größer vergrößert werden.
Dies solltes du vor den update auf 20171005 machen! Der Befehl für qemu wäre z.b. folgender:
qemu-img resize $IMAGE 273MB
Eine Firmware für die Geräte: MR1750 v1, v2; OM5P-AC v1, v2; Archer C5 v1; Archer C7 v2;
UniFi AP AC Lite und UniFi AP AC Pro wird es am 24.10.2017 geben. Grund dafür ist das es nicht
möglich ist, 11s und IBSS in einer Firmware zu bauen. Ein update dieser Geräte muss daher
manuell erfolgen, wenn es sich um einen mesh only gerät handelt.
Ich bitte euch die Änderungen zu prüfen und die Firmware im Anschluss zu
signieren. Die Dokumentation zum Signaturprozess findet ihr im Wiki unter:
http://wiki.nordwest.freifunk.net/Firmware/Releaseprozess#Firmware_signieren
Schöne Grüße aus Spanien
Tarek
[0] https://lede-project.org/releases/17.01/changelog-17.01.0-final
[1] https://lede-project.org/releases/17.01/changelog-17.01.1
[2] https://lede-project.org/releases/17.01/changelog-17.01.2
[3] https://lede-project.org/releases/17.01/changelog-17.01.3
[4] https://gluon.readthedocs.io/en/v2017.1.x/features/dns-cache.html
[5] https://www.open-mesh.org/news/78
[6] https://git.lede-project.org/?p=source.git;a=shortlog;h=refs/heads/lede-17.…
[7] https://firmware.ffnw.de/20170822/
Moin Moin leute,
Ich habe heute eine neue Firmware gebaut. Basisdaten:
* Firmware-Version: 20171005
* Gluon-Version: v2017.1.x
* Commit ID: 3e2e72729f43aff4dcbc8da63336990875929cd7
* Download: https://firmware.ffnw.de/20171005
Folgende Gluon spezifischen Änderungen gab es unter anderen:
* Gluon basiert nun auf LEDE anstelle von OpenWRT welches stark veraltet war/ist.
Die LEDE basis von Gluon ist nun v17.01.3. Welches u.a. Stalinisierung-Verbesserungen,
security fixes und einige Updates enthält.
(Changelog findet sich hier ) v17.01 [0], v17.01.1 [1], v17.01.2 [2], v17.01.3 [3].
* Der Kernel wurde von 3.18.x auf v4.4.89 geupgraded.
* Das Gluon build system wurde vereinfacht und einige hacks die für OpenWRt notwendig
waren wurden entfernt.
* das opkg repo enthält jetzt auch Architektur spezifischen Pakete.
* Das deaktivieren von batman-adv auf einem Netzwerk Interface hat vorher teilweise
einen kernel crash verursacht. Z.B. während eines sysupgrade Prozesses. Diese Problem
ist nun behoben (#680).
* Eine race condition im Netzwerk setup scripts konnte zu unvollständigen Konfigurationen
führen (#905). Der fix behebt außerdem das Hängenbleiben von WLAN und VPN losen Geräten.
* Einige Änderungen im WLAN stack von LEDE haben die Stabilität vom ath9k Treiber
verbessert (#605).
* Ein neues Feature ist der DNS cache für clients (#1000). Dieses kann das Nutzer
Erlebnis verbessern (#1000). Siehe dazu auch [4].
* batman-adv wurde auf Version 2017.1 geupdated [5].
* GCC 4.8 oder neuer wird jetzt zum bauen benötigt.
* Support für tunneldigger mesh VPN
* Ein bug in einigen batman-adv versions zuvor kann zu einer großen Anzahl von
management traffic führen. Das batman-adv multicast optimization wurde
vorübergehend deaktiviert um das Problem zu umgehen.
Multicast optimizations wird wieder eingeschaltet sobald das management traffic
Problem behoben ist.
* batman-adv gw_mode ist nun Upgrade fest (#1196). Das kann nützlich sein
wenn man z.b. einen Gluon Router an einen Router mit DHCP hängt, muss der
gw_mode gesetzt sein um batman-adv als server laufen zu lassen.
* Es gibt jetzt die Möglichkeit die batman-adv Algorithmen (BATMAN IV or BATMAN V)
in der site.conf zu konfigurieren (#1185).
BATMAN V ist nach wie vor nicht gut getestet. Diese Option ermöglichst es BATMAN V
basierte test meshes aufzubauen.
* dnsmasq wurde auf v2.78 upgegraded um folgende bugs zu beheben: CVE-2017-13704,
CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, 2017-CVE-14495
und 2017-CVE-14496 die wichtigsten fixes die oben genannt worden, beheben
(remote code execution) in der DHCP Komponente von dnsmasq. Der DHCP ist nur im
ConfigMode aktiv. Ein Angreifer kann memory Korruption und mögliche remote code
execution erzwingen, indem er einen bösartig DNS Server anbietet und einen Gluon Router
austrinkst so das dieser den bösartig DNS Server nutzt.
* Einige security Issues wurden in Paketen behoben die in der regel nicht teil der
Stock-Firmware von Gluon sind. Mit involviert sind u.a tcpdump, curl und mbedtls
weiteres kann man hier einsehen [6]
* Das Filtern von multicast paketen zwischen dem mesh und local-node interface wurde
gefixed (#1230).
Dieses Problem hatte verursacht das gluon-radvd router advertisement an lokale clients
gesendet hatte wenn eine anfrage aus dem lokalen Netz kam.
* Es wird verhindert ein build tätigen wenn wir autoupdater mirror URLs nicht mit http://
starten (9ab93992d1fc).
* Fix MAC Adressen für den TP-Link TL-WR1043ND v4 wenn Gluon auf der neueren stock
Firmware installiert wird (#1223).
Die upstream Änderungen findet ihr hier:
https://github.com/freifunk-gluon/gluon/compare/d722c2...3e2e72
Folgende Comunnity spezifischen Änderungen gab es:
package repo:
* Das Paket "11s-switch" ist hinzugekommen. Diese sorgt dafür, das die Router von
IBSS (AD-HOC) auf 11s mesh wechseln. Der wechsel findet am 22.10.2017 statt.
* Das Paket "disable-11s" welches das versehentliche einschalten von IEEE802.11s
wieder rückgängig macht ist entfernt.
* Das Paket ffnw-config-mode-geo-location wurde aktualisiert, und nutzt jetzt minified js.
* Alle Pakete wurde von luci.model.uci auf simple-uci angepasst.
* Die Default hood bssid wurde von 02:CA:FF:EE:BA:BF auf 02:00:0A:12:E0:00 korrigiert.
* Das Paket hoodselectorctl wurde entfernt.
* Das Paket nodewatcher2 wurde entfernt.
* Das hoodselector upgrade script nutzt nun BSSIDs zur Identifikation der hood, welche
eindeutig ist, Anstelle des hoodnames.
* Der hoodselector prüft im Radiolest Mode prüfe ob mesh on lan/wan an ist.
* Der hoodselector nutzt nun kein scan dump mehr welchen Airtime gespart hatte.
diese funktion ist in LEDE nicht mehr vorhanden.
Die Änderungen an unseren eigenen Paketen können im Packages-Repository hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/packages/compare/20170822..…
siteconf repo:
* Ein paar patches die den umgeng mit IEEE802.11s in openWRT ermöglichen wurden entfernt.
* Das Modul netmon wurde entfernt.
* fastd kann nun auch die crypt Methode 'null' was bedeutet das ein unverschlüsselter Tunnel
aufgebaut werden kann. Dies kann über den configMode eingestellt werden.
* autoupdater good signatures level ist auf 5 gestiegen.
* Geräte mit ATH10K sind in dieser version raus geflogen.
Folgende Geräte erhalten das update nicht: MR1750 v1, v2; OM5P-AC v1, v2; Archer C5 v1;
Archer C7 v2; UniFi AP AC Lite und UniFi AP AC Pro.
* Die update Priorität wurde von 0 auf 2 erhöht. D.h. es dauert mindestens 2 tage bis
alle Geräte das Update erhalten.
Änderungen an der Siteconf können im Siteconf-Repo hier eingesehen werden:
https://git.nordwest.freifunk.net/ffnw-firmware/siteconf/compare/20170822..…
* Wichtiger Hinweis *
Es gibt ein Problem in allen Gluon Versionen vor 2016.2.6 welche die x86 Systeme betrifft.
Diese verlieren ihre Konfiguration wenn diese auf Gluon 2017.1.x updaten. Ältere Firmware
Versionen sollten vorher auf 20170822 [7] upgraden, bevor diese 20171005 installieren.
Ein anderes potentielles Problem betrifft die meisten Virtuellen Maschinen. Die Gluon 2017.1.x
images sind größer als die 2016.2.x images. Dies betrifft die x86 Architektur. Wenn deine
Festplatte auf 2016.2.x images basiert, muss diese auf 273MB order größer vergrößert werden.
Dies solltes du vor den update auf 20171005 machen! Der Befehl für qemu wäre z.b. folgender:
qemu-img resize $IMAGE 273MB
Eine Firmware für die Geräte: MR1750 v1, v2; OM5P-AC v1, v2; Archer C5 v1; Archer C7 v2;
UniFi AP AC Lite und UniFi AP AC Pro wird es am 22.10.2017 geben. Grund dafür ist das es nicht
möglich ist, 11s und IBSS in einer Firmware zu bauen. Ein update dieser Geräte muss daher
manuell erfolgen, wenn es sich um einen mesh only gerät handelt.
Ich bitte euch die Änderungen zu prüfen und die Firmware im Anschluss zu
signieren. Die Dokumentation zum Signaturprozess findet ihr im Wiki unter:
http://wiki.nordwest.freifunk.net/Firmware/Releaseprozess#Firmware_signieren
Schöne Grüße aus Spanien
Tarek
[0] https://lede-project.org/releases/17.01/changelog-17.01.0-final
[1] https://lede-project.org/releases/17.01/changelog-17.01.1
[2] https://lede-project.org/releases/17.01/changelog-17.01.2
[3] https://lede-project.org/releases/17.01/changelog-17.01.3
[4] https://gluon.readthedocs.io/en/v2017.1.x/features/dns-cache.html
[5] https://www.open-mesh.org/news/78
[6] https://git.lede-project.org/?p=source.git;a=shortlog;h=refs/heads/lede-17.…
[7] https://firmware.ffnw.de/20170822/
Hi zusammen,
ich habe einen Merge request den ich nicht testen
kann da mir dazu die nötige Hardware fehlt :(
Es geht um Folgenden:
https://git.ffnw.de/ffnw-firmware/packages/merge_requests/65
Das test Setup dazu müsste folgender maßen aussehen.
Einen VPN Router in hood X.
Einen mesh Router der in hood Y ist aber sich zur hood X verbunden
hat weil es keinen VPN Router aus hood Y findet.
Wenn das soweit steht sollte folgende Ausgabe kommen.
root@v2017testing:~# hoodselector
No VPN connection found
Batman gateways found
Position found.
Geo hood and bssid hood are not equal, do wifi scan...
Set hood "X"
Hood set by batmanHasGateway mode, GW source is wifi
Das heißt der mesh Router hat festgestellt das es eigentlich gar nicht
seine hood ist schaut einfach mal nach ob einer aus seiner hood in der
nähe ist. In dem o.g. Fall ist kein Router aus hood Y da.
Nachdem du diese Ausgabe gesehen hast Stöpsels du den anderen VPN Router
aus hood Y ein.
Danach sollte der mesh Router automatisch zurück wechseln.
Freiwillige vor ;P
vg
Tarek
