B.A.T.M.A.N.

Aus Freifunk-Rheinbach Wiki
Wechseln zu: Navigation, Suche

B.A.T.M.A.N. (Abkürzung für Better Approach To Mobile Adhoc Networking) ist ein Routing-Protokoll für mobile Ad-hoc-Netze. Siehe WikiPedia. Im Freifunk wird unter anderem B.A.T.M.A.N. als Routing-Protokoll eingesetzt.

Abstrakt

In diesem Artikel wird beschrieben, wie B.A.T.M.A.N. zusammen mit fastd auf einem Rechner mit Debian eingerichtet wird und der Rechner direkt an das Netz des Freifunk Rheinland, Domäne Wupper, angebunden wird. Als Beispiel dient die Konfiguration der Freifunk Rheinbach Community.

Die Verbindung der Nodes (Router) zu den Servern im Internet erfolgt über einen verschlüsselten Tunnel. Bei Freifunk Rheinbach wird für die Tunnel fastd verwendet. Nodes, die in WLAN Reichweite zueinander stehen, verbinden sich untereinander über ein MESH-Netzwerk. Auch über Kabel (LAN oder WAN-Port) können sich Nodes vermaschen. Auf all diesen Verbindungen wird das Routing-Protokoll B.A.T.M.A.N. verwendet.

Hinweis

Ich verwende als Shell die bash. Standard ist bei Debian 8.7.1 dash. Die Befehle in den Scripten sind so einfach, dass sie in beiden Shells funktionieren sollten

Installation der Software

B.A.T.M.A.N. und fastd installieren

Die folgenden Befehle und Scripte wurden unter Debian 8.7.1 entwickelt und getestet.

Das folgende Script installiert auf einem Debian 8 die notwendige Software - einschließlich fastd. Je nach System kann es notwendig sein zusätzliche Pakete zu installieren. Das folgende Script wurde auf zwei relativ frischen, jungfräulichen Debian 8.7.1 getestet.

Achtung: Die Router verwenden noch B.A.T.M.A.N. 2016.2.

#!/bin/bash

# Installation B.A.T.M.A.N.
# Version festlegen

VBAT="2016.5"

# Wir brauchen ein paar Repos, die nicht im Default einhalten sind.

grep 'http://repo.universe-factory.net/debian/' /etc/apt/sources.list || echo  'deb http://repo.universe-factory.net/debian/ sid main' >> /etc/apt/sources.list

# Und den Schlüssel für das Paket. Aktuell: 16EF3F64CB201D9C

KEY=16EF3F64CB201D9C
gpg --keyserver pgpkeys.mit.edu --recv-key $KEY
gpg -a --export $KEY | apt-key add -

# Nun die Software, die wahrscheinlich fehlt, inklusive fastd

apt install apt-transport-https
apt update
apt install build-essential bridge-utils pkg-config libnl-3-dev libnl-genl-3-dev linux-headers-amd64 fastd

# Jetzt wird B.A.T.M.A.N. batctl aus den Quellen geladen und installiert

cd /usr/src/
wget http://downloads.open-mesh.org/batman/stable/sources/batctl/batctl-${VBAT}.tar.gz
tar xzf batctl-${VBAT}.tar.gz
cd batctl-${VBAT}
make
make install


# Jetzt wird B.A.T.M.A.N. batman-adv aus den Quellen geladen und installiert

cd /usr/src/
wget http://downloads.open-mesh.org/batman/stable/sources/batman-adv/batman-adv-${VBAT}.tar.gz
tar xzf batman-adv-${VBAT}.tar.gz
cd batman-adv-${VBAT}
make
make install

# Wir können batman-adv gleich starten

modprobe batman-adv

# ... und in die /etc/modules eintragen, damit es auch bei einem Neustart vorhanden ist

grep '^batman-adv' /etc/modules || echo -e '#B.A.T.M.A.N für Freifunk'\nbatman-adv' >> /etc/modules

# zum Schluss legen wir uns noch ein Verzeichnis für die Konfiguration der fastd-Tunnel an.

mkdir -p /etc/fastd/ffrhb/peers

Konfiguration

B.A.T.M.A.N. konfigurieren

Der Befehl modprobe batman-adv startes B.A.T.M.A.N. gleich nach der Installation. Durch Aufnahme von batman-adv in die Datei /etc/modules, wird B.A.T.M.A.N. beim Neustart des Rechner geladen. Beides wird bereits mit dem obigen Script erledigt, so dass wir fertig sind.

fastd konfigurieren

Die folgende Konfigurationsdatei fastd.conf muss in das Verzeichnis /etc/fastd/ffrhb/ kopiert werden.


Der secret key in der Datei dient nur als Beispiel und ist durch einen eigenen Schlüssel zu ersetzen. Ein eigener Schlüssel wir mit fastd --generate-key erzeugt.

Die MTU beträgt für Freifunk Rheinland zur Zeit 1364 Byte.

Das peer limit sollte auf 1 stehen, auch wenn 10 Server definiert sind. Mehrere Tunnel zur gleichen Zeit bieten zur Zeit keine Vorteile und belasten die Server.

Datei /etc/fastd/ffrhb/fastd.conf

# Log warnings and errors to stderr
log level warn;

# Log everything to syslog
log to syslog level warn;

# Set the interface name
interface "mesh-vpn";

# Support salsa2012+umac and null methods, prefer salsa2012+umac
method "salsa2012+umac";
method "null";

mode tap;

# Bind to a fixed port, IPv4 only
bind 0.0.0.0:53757;

# Please replace the key with your own key.

# Secret key generated by `fastd --generate-key`
secret "e0e07c1462748f4b0f36423c0ce5c4169e48354a07a3b908435f8ab128259c53";
# Secret: e0e07c1462748f4b0f36423c0ce5c4169e48354a07a3b908435f8ab128259c53
# Public: 72dc4c1aa15cfe4ae5d54caccd8efbd1af8848770843b26a58ed2fb8edb82d50

secure handshakes yes;

# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)
# (see MTU selection documentation)
# For Freifunk Rheinland is the MTU 1364

mtu 1364;

peer limit 1;

# Include peers from the directory 'peers'
include peers from "/etc/fastd/ffrhb/peers";

## IP v6 Adresse muss ggf. nach ip link set up dev bat0 gesetzt werden mit:
## ip addr add dev bat0 fda0:747e:ab29:2241:.../64 scope global

on up "
  /etc/fastd/ffrhb/on-up.sh $INTERFACE
";

Die Schnittstelle mesh-vpn muss B.A.T.M.A.N. als Interface hinzugefügt werden und benötigt eine IPv6 Adresss mit scope global. Dies geschieht mit folgenden Script, dass unter /etc/fastd/ffrhb/on-up.sh gespeichert wird. Die MTU der Netzwerkschnittstelle bat0 muss auf die MTU der Freifunk Community gesetzt werden. Für Rheinbach (Domäne Wupper ist es zur Zeit 1364).

Datei /etc/fastd/ffrhb/on-up.sh

Der Unterschied des folgenden Scriptes zu anderen Erklärungen / Beispielen im Internet ist, dass hier eine globale IPv6 Adresse für das Interface bat0 erzeugt wird und die MTU an die Bedürfnisse der FF-Rheinland angepasst wird. Deshalb erfolgt dies auch in einem eigenen Script und nicht in der fastd.conf. Das Script muss von fastd über on up aufgerufen werden.

#!/bin/bash

# Execute when fastd is up
# Autor: Thomas Arend
# (c) 2017 by Thomas Arend
# Date: 03.03.2017

INTERFACE=${1:-mesh-vpn}

# Start meshing on fastd tunnel
ip link set up dev $INTERFACE || echo Error: Interface $INTERFACE not set up

# Add tunnel interface to mesh
batctl if add $INTERFACE || echo Error: Interface $INTERFACE not added to batman

# Set mtu for bat0
# Change 1364 to your value in the site.conf for the FF firmware

ip link set up dev bat0 mtu 1364 || echo Error when setting MTU to 1364

#  Add ipv6 addr with scope global to bat0

NIP='fda0:747e:ab29:2241'
GIP=`ip addr show dev bat0 | grep 'inet6 fe80::.* scope link' | sed 's#.*inet6 fe80::##; s# .*$##'`

ip addr add ${NIP}:${GIP} dev bat0 scope global || echo Error: IPv6 ${NIP}:${GIP} not set

Alternative für das Bestimmen der IP-Adresse:

 IPv6=`grep 'fe80.*bat0$'/proc/net/if_inet6 | sed 's#fe80000000000000#fda0747eab292241#;s# .*##; s#\([0-9a-f]\{4,4\}\)#\1:#g; s#:$##'`

Schlüssel Dateien für die Peers

Jeder Peer besitzt wie unser Rechner ein Schlüsselpaar, anhand dessen er eindeutig identifiziert wird. Die öffentlichen Schlüssel der müssen Peers kommen in das Unterverzeichnis peers. Die Namen spielen dabei keine Rolle. Wir verwenden folgende Namenskonvention, um die Peer und öffentlichen Schlüssel zu erkennen: mesh_vpn_backbone_peer_wupper<n>. Diese Namen werden auch in der Firmware verwendet, <n> ist dabei die Nummer des Servers (0-9).

Beispiel für Wupper 0.

key "e52daa654abcf5c20c5b7a74b5145f70a7491435c6ef334ae352e4f19c00e8f5";
remote "0.wupper.ffrl.de" port 53757;

Starten und Aktivieren

Nun muss nur noch fastd gestartet werden mit:

service fastd start

Um fastd mit jedem Neustart automatisch zu starten, muss der folgende Befehl ausgeführt werden:

systemctl enable fastd

Test der Konfiguration

Ob alles richtig läuft, zeigen ifconfig, systemctl status fastd und batctl if bzw. batctl tg

root@medion:~# ifconfig bat0
bat0      Link encap:Ethernet  Hardware Adresse 32:e7:53:24:17:5f  
          inet6-Adresse: fda0:747e:ab29:2241:30e7:53ff:fe24:175f/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::30e7:53ff:fe24:175f/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1364  Metrik:1
          RX packets:61804 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:24 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:3708888 (3.5 MiB)  TX bytes:3529 (3.4 KiB)

mesh-vpn  Link encap:Ethernet  Hardware Adresse aa:53:8d:76:e2:fa  
          inet6-Adresse: fe80::a853:8dff:fe76:e2fa/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1364  Metrik:1
          RX packets:66901 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23753 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:500 
          RX bytes:9241074 (8.8 MiB)  TX bytes:5150504 (4.9 MiB)

root@medion:~# systemctl -l status fastd
● fastd.service - LSB: Fast and Secure Tunneling Daemon
   Loaded: loaded (/etc/init.d/fastd)
   Active: active (running) since Fr 2017-03-03 16:54:08 CET; 26min ago
  Process: 2686 ExecStop=/etc/init.d/fastd stop (code=exited, status=0/SUCCESS)
  Process: 2697 ExecStart=/etc/init.d/fastd start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/fastd.service
           └─2710 /usr/bin/fastd --syslog-level info --config /etc/fastd/ffrhb/fastd.conf

Mär 03 16:54:08 medion fastd[2697]: Starting Fast and Secure Tunneling Daemon...  Autostarting fastd 'ffrhb':.
Mär 03 16:54:08 medion systemd[1]: Started LSB: Fast and Secure Tunneling Daemon.

root@x2:/etc/fastd/ffrhb/peers# batctl if
mesh-vpn: active

root@medion:~# batctl tl
[B.A.T.M.A.N. adv 2016.5, MainIF/MAC: mesh-vpn/aa:53:8d:76:e2:fa (bat0/32:e7:53:24:17:5f BATMAN_IV), TTVN: 3]
Client             VID Flags    Last seen (CRC       )
33:33:ff:24:17:5f   -1 [.P....]   0.000   (0x2453b430)
33:33:00:00:00:fb   -1 [.P....]   0.000   (0x2453b430)
01:00:5e:00:00:01   -1 [.P....]   0.000   (0x2453b430)
32:e7:53:24:17:5f   -1 [.P....]   0.000   (0x2453b430)
33:33:00:00:00:01   -1 [.P....]   0.000   (0x2453b430)

Hinweise und Warnungen

Fastd baut den Tunnel über eine beliebige Netzwerkverbindung auf. D.h. der Rechner kann in einem WLAN - privat oder öffentlich - betrieben werden. Dies kann auch ein Freifunk-Netz sein.

Ist der Rechner in einem Freifunk-Netz, dann baut er einen fastd-Tunnel im fastd-Tunnel des Nodes auf, der die Verbindung zum Internet herstellt. Dies ist nicht sinnvoll und kann Effekte haben, die ich derzeit nicht überblicke und die nicht wünschenswert sind. Ein Effekt wird das Splitten von großen IP-Paketen sein.

Ergebnis und Siegerehrung

Über unseren fastd-Tunnel können wir auf die Nodes und die Clients des Freifunknetzes über IPv6 zugreifen.