Protokoll Opennet Montagstreffen (23.09.2024)
Themen:
-
Geflüchtetenunterkunft Marienehe (neben Fiete-Reder-Halle)
-
Henning Emailaccount
-
stable Firmware veröffentlichen?
-
neuer Server Hetzner
-
Wireguard
-
Heizung
Geflüchtetenunterkunft Marienehe (neben Fiete-Reder-Halle)
-
Wer war eigentlich Riete Reder? ehemal. erfolgreicher Handballspieler aus Rostock
-
Internetanbindung: Das Gebäude HWBR (auf der gegenüberliegenden Bahn-Seite) wird vom Land betrieben. Kennen wir jemanden von der "Landes-IT"?
-
Zusätzliche (langfristige) Option: Vom Eros-Center aus sollte es eine Sichtverbindung in Richtung Haus-des-Bauens geben. Gleichzeit sollte eine Sichtverbindung zur Fiete-Reder-Halle bestehen. Die Container beim Eros-Center werden auch vom Malteser betreut.
-
Eventuell kann man als Verteiler erstmal einen ER-X nutzen und später durch performates Gerät ersetzen.
** Alternativ: https://www.itsco.de/thin-client-lenovo-thinkcentre-m625q-amd-7th-gen-e2-9000e-2x-1-5ghz.html -
Gedanke zur WLAN Installation:
** 2,4GHz sollte auch ausgestrahlt werden, weil es Handys gibt (z.B. Samsung A12 ), welches nur 2,4GHz kann. Somit reicht ein Ausstrahlen von 5GHz allein nicht.
** Idee: Alles nur von einem zentralen Standpunkt auszustrahlen weil es auch "genug" Reflexion geben sollte. Somit braucht man ggf. nur 3x 5Ghz (südost,süd,südwest) + 1x 2,4GHz (Rundstrahler)(oder 2x 2,4GHz Nanostation) Geräte am zentralen Standort. Die ursprüngliche Idee, alle Geräte auf einem Kanal zu haben, wurde kontrovers diskutiert weil somit mind. 4 Geräte auf dem gleichen Kanal senden und gleichzeitig durch das Weiterleiten an den nächsten AP, die Pakete noch doppelte Airtime benötigen. -
Es gibt auch zusätzliche Freiwillige (Tobias, Henning) zum Aufbau der Installation. Es gilt einen Installationstermin zu finden, bei dem alle Zeit haben.
Henning Emailaccount
Henning würde gern einen Opennet Emailaccount haben. Bisher haben wir es noch nicht geschafft diesen zu erstellen. Martin kümmert sich um die Angelegenheit. Martin versucht auch die Emailmigration mitzugestalten.
Stable Firmware
Es wird noch ein letztes Mal nach Feedback gefragt. Danach wird die stable 0.6.0 veröffentlicht.
Neuer Hetzner Server
Der UGW Server megumi läuft aktuell noch auf einer alten Hetzner Virtualisierungsplattform. Server auf der neuen Plattform sind günstiger und unterstützen aktuelle Kernel. Mathias bringt sich dankenswerterweise ein.
Wireguard
Wir würden gerne Wireguard unterstützen. Derzeit nutzen wir nur OpenVPN. Wireguard ist aber performanter.
Was müssten wir in unserer Infrastruktur/Firmware ändern, um Wireguard zu integrieren?
Firmware:
-
Wireguard Modul integrieren (siehe Firmware Fork von Tobias)
-
Wir benötigen eine fixe IP Vergabe, welche es aktuell bereits in der OpenVPN Konfiguration auch gibt (siehe https://github.com/opennet-initiative/ansible/blob/main/roles/gateway-server/templates/openvpn/opennet_users-connect_script.py). Diese basiert derzeit auf dem CN der Client-Zertifikats. Die IP Adresse steht vorher schon fest. Der Client konfiguriert sein IP selbstständig. Der Server benötigt einen Eintrag für jeden Peer, z.B. folgenden:
[PeerA]
PublicKey = <contents-of-client-publickey>
AllowedIPs = 10.0.0.2/32
Server:
-
Es gibt bereits eine ansible Rolle für die Installation, siehe https://github.com/opennet-initiative/ansible/tree/main/roles/wireguard-server
-
Wie wird Client hinzugefügt? Bisher gibt es folgenden Ablauf:
** Client generiert ein eigenes Zertifikat auf seinem AP. Der Certificate Signing Request wird an eine Mailingliste geschickt (oder per Web hochgeladen).
** Die Anfrage wird landet in unserer CA-Verwaltung (https://github.com/opennet-initiative/ca).
** Jemand bestätigt den Signing Request über die CA-Verwaltung.
** Die CA-Verwaltung schickt eine Email mit dem signierten Zertifikat an den Endnutzer.
** Eine extra Konfiguration auf den UGW Servern (OpenVPN) ist nicht nötig. -
Wir könnte dies mit Wireguard aussehen?
** Client generiert eigenen private + public Key.
** Der public Key wird an die WG-Verwaltung (analog CA-Verwaltung) geschickt (per Mailingliste oder Web hochladen).
** Bestätigungsprozess: Nun gibt es zwei Wege: a) Ohne preshared Key: Die WG-Verwaltung merkt sich den public Key für den User/AP; b) wir nutzen preshared Keys für eine bessere Sicherheit und generieren diesen preshared Key und senden diese dem Client zurück.
** Die UGW Server müssen nun Kenntnis über den neuen Peer erlangen! Es gibt Wireguard Config Sync Skripte mit rsync. Somit müsste mit diesem Verfahren die WG-Verwaltung die Configs auf die UGW Server pushen.
Heizung
Uns ist im Vereinsraum aufgefallen, dass die Heizung unerwarteterweise anfing den Raum zu heizen, obwohl draußen 20°C waren. Bei näherer Untersuchung des Thermostats stellte sich heraus, dass die Batterien leer waren und anscheinend das Schließen des Thermostats nicht mehr möglich war. Somit haben wir die Batterien getauscht und alles funktionierte wieder.