Freifunkverbund aus Herzogtum Lauenburg und Stormarn
Moin, Moin
Im Linux Kernel wurden mehrere Sicherheitslücken im WLAN-Teil gefunden. Diese können verwendet werden um Freifunk Knoten anzugreifen. Mehr Details dazu findest du hier.
Betroffen sind nur Knoten welche mit 2022.1.0.x laufen, ältere Firmware Versionen wie 2021.x.x sind nicht verwundbar.
Abgesehen vom schließen der Sicherheitslücken gibt es auch wieder ein paar Geräte die (wieder) neu unterstützt werden.
Es ist wieder so weit, es gibt eine neue Firmware.
Dieses Update basiert auf dem neuen Gluon Release v2022.1.
Die vermutlich größte Veränderung ist die neue OpenWrt Version 22.03 auf der Gluon aufbaut und die Veränderungen, welche in diese mitbringt.
Leider werden nicht alle Geräte dieses Update erhalten, mehr dazu weiter unten.
Die neue Gluon Version nutzt Linux Kernel 5.15, dies ist ein Upgrade von 4.14, sowie wireless-backports 5.15.
Alle Änderungen findest du im Gluon Changelog.
Erfreulicher weise werden gleich zwei neue VPN Optionen unterstützt. Die VPN Verbindung wird zwischen einem Router und einem der Gateways aufgebaut, über diese VPN Verbindung wird der Knoten mit dem Freifunk Netzwerk sowie dem Internet verbunden.
Wir benutzen fastd für die VPN Verbindung in Freifunk Südholstein. In diesem Release erhält fastd eine neue Fähigkeit erhalten. Wenn du auf deinem Router in den erweiterten Einstellungen auf Hohe VPN Performance umstellst, wird mit dieser Version L2TP eingesetzt. Diese Methode verschlüsselt den VPN Verkehr zwischen Router und Gateway nicht! Im Detail hab ich das alles schon mal in einem anderen Beitrag erklärt.
Das ist aber noch nicht alles, zusätzlich wird nun Wireguard unterstützt. Allerdings eignet sich die aktuelle Implementierung für uns nicht. Aktuell ist es nötig den öffentlichen Schlüssel bei den Gateway-Betreibern zu registrieren. Dies ist zu viel Aufwand für uns und würde auch viel Aufwand für die Knotenbetreiber bedeuten.
Aber trotzdem eine äußerst erfreuliche Entwicklung.
Dieser Release unterstützt dank der Arbeit der Gluon Entwickler einige Geräte. Die vollständige Liste findest du Unten, aufgeteilt nach Architektur und Hersteller.
Leider werden Auch einige Geräte nicht länger von Gluon unterstützt, das liegt an der Hardware dieser Geräte.
Das Hauptproblem ist der geringe Speicher, welcher bei diesen Geräten nicht ausreichend ist.
Diese Geräte werden keine weiteren (großen) Updates mehr erhalten.
Dennoch können sie Teil unseres Freifunk Netzwerks bleiben. Klar ist, es wird der Punkt kommen an dem diese Router nicht weiter betreiben werden können. Wann dieser Punkt gekommen ist kann ich nicht genau sagen, jeder Freifunk Fan der solch ein Gerät besitzt sollte sich aber nach alternativen umschauen.
Photo by Thomas Jensen on Unsplash
Es gibt wieder ein neues Firmware Update für alle Router.
Es handelt sich dabei um ein kleines Update, welches ein paar Fehler behebt sowie die Konfiguration etwas anpasst.
Photo by Michael Dziedzic on Unsplash
Moin liebe Freifunka,
nach dem letzten Sicherheitsupdate gibt es noch mal ein Update mit einem kleinen Bugfix für den Joy-IT JT-OR750i welches Updates verhindert.
Moin liebe Freifunka,
leider gibt es eine Sicherheitslücke in dem Autoupdater von gluon, dies ermöglicht es einem Angreifer über den Autoupdater eine neue Firmware zu installieren, wenn er in der Lage ist die Firmware URL zu übernehmen bzw den Router umzuleiten.
Die Firmware 2021.1.2.0 schließt diese Lücke.
Photo by Markus Spiske on Unsplash
Moin es gibt wieder eine neue Firmware.
Neu unterstützt wird jetzt der Joy-IT JT-OR750i mit etwa 40€ ein gutes Einsteiger Gerät, welches mit einer einfachen Firmware ausgeliefert wird, OpenWRT oder die Freifunk Firmware kann einfach geflasht werden.
Sonst gibt es keine Änderungen, nur ein paar Fehlerbhebungen, welche die Firmware hoffentlich etwas stabiler machen.
Moin liebe Freifunka,
ich habe eine neues Firmware Update für alle Freifunk Knoten freigeschaltet.
Diese Firmware unterstützt nur Updates von Geräten die bereits mindestens mit 2018.2 laufen. Solltest du noch einen Freifunk Router haben, der mit einer älteren Firmware läuft kannst du eine ältere Firmware aus unserem Archiv beziehen.
https://archiv.firmware.freifunk-suedholstein.de/
Dies gilt auch, wenn du aus einer anderen Community mit alter Firmware migrieren möchtest. Melde dich auch gerne über unsere Kontaktmöglichkeiten.
Es wurden Optimierungen für Multicasts aktiviert, dies sollte einen positiven Effekt auf unser Netzwerk als ganzes haben.
Die Status-Seite der Knoten enthält jetzt mehr technische Details. Die Status-Seite ist in unserer Community technisch bedingt, nur innerhalb des Freifunk-Netzwerks erreichbar.
Und viele interne Verbesserungen.
Die Firmware findest du unter https://install.freifunk-suedholstein.de
Plasma Cloud
TP-Link
AVM
Netgear
Xiaomi
Joy-IT
Photo by Thomas Jensen on Unsplash
Moin liebe Freifunka,
es ist mal wieder Zeit, um ein paar kleine Updates aus dem Maschinenraum zu geben.
Photo by Omar Flores on Unsplash
Mit etwas Aufwand konnten wir auf dem vergangenen Freifunk Treffen dafür sorgen, dass der Großteil der Knoten mit einer Firmware aus 2018 auf die aktuelle Version aktualisiert wird. Diese Knoten wollten nicht aktualisieren, da sie 2 valide Signaturen voraussetzen. Wir hatten diese Voraussetzung etwa 2017 eingeführt, seit dem hat sich jedoch einiges verändert und daher setzen wir heute nur noch auf eine valide Signatur, welche im Regelfall von mir erstellt wird.
Falls dir Signaturen in diesem Kontext nichts sagen, hier eine kurze Erklärung.
Eine Signatur kannst du dir im Grunde als eine digitale Unterschrift vorstellen, der Knoten lädt sich ein Manifest von unserem Server herunter, in diesem Manifest ist für jeden Router hinterlegt welche Datei er herunterladen muss, um ein Update zu machen. Daneben steht eine Prüfsumme der Update-Datei, diese Prüfsumme stellt sicher, dass die Datei nicht unbemerkt verändert werden kann. Das Manifest wird von mir signiert, daher weiß der Router, dass er dem Manifest vertrauen kann. Die Überprüfung der Signatur erfolgt durch mathematische Verfahren.
Mit noch etwas mehr Aufwand (bauen einer extra Firmware) konnten wir auch den letzten Knoten, welcher eine Version aus 2016 verwendet aktualisieren. Damit ist sichergestellt, dass diese Knoten auch weiterhin ein Teil unseres Freifunknetzes bleiben.
Gluon 2021.1 wurde am 10. Juni veröffentlicht, die Firmware wurde auch bereits von mir gebaut und im testing Kanal bereitgestellt. Seit dem sind jedoch ein noch ein paar Fehlerbehebungen im Gluon Repository eingeflossen, daher habe ich beschlossen mit der Veröffentlichung im stable Kanal noch etwas zu warten.
Das Gateway Brunsbach ist zu Netcup umgezogen, damit haben wir jetzt insgesamt 3 Gateways bei Netcup und 4 bei Hetzner. Der Umzug lief dank Ansible in etwa 10 min ab, nachdem der Server von Netcup mit einem aktuellen Debian bereitgestellt wurde.
Wir haben erfolgreich das neuste Gluon Update an die meisten Knoten ausgerollt.
In diesem Update sind Bugfixes und Sicherheitsupdates enthalten.
An dieser Stelle weise ich auch noch einmal darauf hin, dass jeder Knotenbetreiber Verantwortung für seine Freifunk-Knoten trägt. Dazu gehört auch, gelegentlich zu prüfen ob der Knoten noch auf dem aktuellen Firmware Stand ist. In der Regel werden die Updates automatisch von mir ausgerollt, es gibt aber Fälle in denen kein Update möglich ist.
Wie du in den Statistiken erkennen kannst, gibt es ein paar Knoten die noch mit einer Firmware aus 2018 laufen und sogar einen der mit einer aus 2016, läuft. Jeder der für eine so lange Zeit Updates verpasst setzt sich einem erhöhten Risiko aus, dass völlig unnötig ist. Ein Knoten kann relativ einfach manuell aktualisiert werden. Es gibt genügend Möglichkeiten um dafür Hilfe zu bekommen.
März Und aus der Erde schauet nur Alleine noch Schneeglöckchen; So kalt, so kalt ist noch die Flur, Es friert im weißen Röckchen. Theodor Storm
In der FFSH-Bolgserie fasse ich Entwicklungen in Freifunk Südholstein in einem Beitrag zusammen um sie mit euch zu teilen, sie erscheinen in unregelmäßigen Abständen.
Photo by Ekaterina Novitskaya on Unsplash
Freifunk Südholstein wächst seit Anfang 2019 stetig, wir ihr sehen könnt schwankt die Anzahl der Knoten stark, aber im großen und ganzen wachsen wir immer weiter. Das freut mich sehr 🙂 Offenbar haben sich unsere hohe Aktivität und die Vorteile von FFSH herumgesprochen.
Doch was ist dieser gewaltige anstiegt im März? Nun der Anlass ist genau genommen etwas schade, seit einiger Zeit ist die Freifunk Pinneberg Community nicht mehr besonders aktiv. Und scheinbar gibt es mittlerweile ernsthafte Probleme um die gerammte Infrastruktur auf einen neueren Softwarestand zu hieven.
Einem Nutzer wurde es jetzt zu viel und beschloss einen Umzug der Knoten in das FFSH Netzwerk, die meisten Knoten konnten dabei Problemlos migriert werden. Das Engagement von „lui_kast“ ist es zu verdanken, dass diese Knoten nun einen Neustart bekommen haben, mit aktueller Software und einer Chance auch in Zukunft noch zu funktionieren. Dabei blieb ihm auch das klettern auf Kirchentürme nicht erspart.
Alle paar Monate ändert sich etwas in unserer Infrastruktur, um euch einen kleinen Einblick zu geben habe ich mal in unser Inventar geschaut und eine kleine Übersicht erstellt.
Die größten Veränderungen sind dabei das Freitrix Server und das neue Gateway Brunsbach, welches komplett mit Ansible aufgesetzt wurde, Eigentümer dieses Gateways bin ich selbst, es befindet sich nach den ersten Testläufen nun im Dauertest und wird auch genutzt um Änderungen am Ansible Script zu testen. Ich halte es aber für stabil genug um in unserem Netz zu arbeiten.
Der Freitrix Server ist nun in der Hand der FFSH Admins und wurde komplett neu aufgesetzt. Ziel der Migration war der Zugriff für mehrere Admins so wie eine höhere Verfügbarkeit. Abgelaufene Zertifikate sind nun hoffentlich ein Problem der Vergangenheit.
Falls ihr Fragen zur Infrastruktur habt tretet gerne einem unserer virtuellen Treffen bei.
Der aktuelle Flaschenhals bezüglich Datenübertragung in FFSH ist fastd, eine schlanke VPN Software welche auf den typischen Freifunk Knoten nicht besonders gut performant ist, mehr dazu kannst du in einem älteren Beitrag „VPN und Freifunk“ nachlesen.
Wireguard scheint auf dem aktuellen Stand mit Abstand die beste Lösung zu sein, leider ist Wireguard nicht im aktuellen Gluon verfügbar, es gibt jedoch Communities die mit viel Energie und Zeit bereits auf Gluon Basis mit Wiregaurd arbeiten, Freifunk München und Hannover haben sich dabei besonders engagiert, ich bin zuversichtlich, dass Gluon in naher Zukunft Wireguard unterstützen wird.
Ich habe in Zwischenzeit auch etwas probiert, getestet und viel geflucht aber war am Ende erfolgreich und konnte eine Firmware mit Wireguard bauen, aktuell habe ich einen TP-Link 1043v3 mit dieser Firmware laufen. Einschränkend muss ich allerdings sagen, dass dieser Knoten in Ermangelung eines Gateways aktuell nur über einen Knoten, der noch fastd verwendet, ins Freifunk-Netz kommt.
Dieser erste Schritt hilft mir aber schon mal einzuschätzen wie Aufwendig es sein wird, eine Wireguard Firmware zu bauen, kurz gesagt, es wird sehr einfach.
In eigener Sache: Ich würde mich sehr über eine Verstärkung bei der Firmware freuen, egal ob du nun schon Erfahrung hast oder nicht. Voraussetzung ist dass du etwas programmieren kannst und Linux deine Heimat ist.
Etwas Diversität täte unserer Community auch gut, aktuell besteht das Admin Team ausschließlich aus Männern.
Also wenn du dich für Firmware interessierst dann schreibe mir doch einfach mal eine E-Mail benjamin@freifunk-suedholstein.de ich beiße nicht, versprochen.
