Freifunk Gera-Greiz

Hallo Freifunker,

ich bin seit 2 Monaten im Thema Freifunk unterwegs und habe meinen ersten Node in Leipzig aufgebaut. Der läuft auch gut mit verlässlicher Gatewayanbindung, bis auf fehlende NTP-Nutzbarkeit und nicht administrierbarkeit aus dem Internet heraus. Im Geraer Umfeld habe ich nun nach viel einlesen, vor 2 Wochen vier Nodes https://www.freifunk-gera-greiz.de/meshviewer/#!/de/map/c4e984f9abef eingerichtet und freue mich das hier anfangs alles direkt lief nach dem Einrichten. Lob an die aktuelle Zeit auf den WDR3600ern und die Administrierbarkeit aus dem Internet über IPv6 sowie mehrere flexible Gateways! Nicht so gut ist der fehlende Kontakt per Mail, Chatmöglichkeit etc. - habe darüber zwar hier und da was gelesen, aber aktuell scheint es da nichts zu geben und ich probiere es daher jetzt mal über das Forum hier.

Am nächsten Tag nach der Einrichtung erhielt ich Nutzerrückmeldung das Whatsapp Bildchen erst nach 30 Sekunden geladen sind und Speedtests über das private WLAN ergaben 6,4/1,8 Mbit/s, aber über das Freifunk-WLAN oftmals 0,3 Mbit/s Up- und Down. Aktuell habe ich nicht mehr einen Node mit Verschlüsselung und 80% Speedlimit, der die weiteren 3 Nodes per LAN/WLAN-Mesh versorgt, sondern bin an der Fritzbox mit 8/2 Mbit/s Anschluss mit 3 Nodes direkt per Kabel angebunden die nun jeweils eine Gatewayverbindung ohne Verschlüsselung und ohne Speedlimit nutzen. Allerdings gibt es dabei auch weiterhin beschwerden, dass selbst Internetradio oftmals Aussetzer hat, ohne sonstige Last im WLAN bzw. auf dem Internetanschluss! Probiert habe ich zwischenzeitlich praktisch schon alles.

Alle WLAN-Kanäle sind frei (weit unter -90 dBm im Umfeld der Nutzer, Fritzbox-WLAN ist aus) und die 4 Nodes laufen aktuell auf 1-5-9-13 ohne 2,4 GHz Mech und ohne privat WLAN. Im 5 GHz ist nur auf Kanal 44 Mech auf dem Node vom Empfang und Garten aktiv. Was ich mit einem Computer am Freifunk-LAN zudem festgestellt habe, das IPv4-Dauerping auf gw1, gw2 und gw3 auch über Stunden sporadisch zu unterschiedlichen Zeiten zu den drei Gateways Aussetzer anzeigt. Die schlechte Anbindung ist aber nicht immer so mieß, denn teilweise sind auch über Freifunk-WLAN hohe Datenraten von bis zu 6,4/1,8 Mbit/s anliegend.

Ich frage mich nun was ich noch machen kann, weil alle Änderungen in den Einstellungen und Verkabelungen bringen keine Verbesserungen? Die Gatewayanbindung wird auch mit unter 100% angezeigt, wenn es Probleme mit der Performance gibt und wo das Geschrei am größten war, lag die TQ auf dem genutzten Gateway an dem Node bei 60%. Probleme liegen offensichtlich an der Gatewayanbindung, wobei ich keines der drei Gateways ausklammern kann.

Ich freue mich auf Feedback und Aussagen zu der vermeintlich oftmals schlechten TQ zu den Gateways. Laut Statistik gibt es da auch Probleme zu allen sonstigen Nodes, die mir dann mit beim betroffenen Gateway mit weit unter 100% angezeigt werden? Bin allerdings nicht vor Ort, kann mich aber per SSH aufschalten, wenn weitere Details oder zu probierende Setupumstellungen erforderlich sind.

Grüße Eis

Habe nun fastd.mesh_vpn_backbone_peer_peer2.enabled='0' auf den Nodes eingestellt, da das gw2 mit Systemlast im roten Bereich war und von den Dreien soweit ich sehen konnte am schlechtesten ist: https://www.freifunk-gera-greiz.de/meshviewer/#!/de/map/deadbeef0202

Kann nur hoffen das die Freifunk-Anbindung nun halbwegs brauchbar über gw1+gw3 läuft, trotz anhaltender Pingaussetzer auf 10.181.0.11 .12 und .13. Das Vertrauen der Nutzer dort ist allerdings mide gesagt getrübt. Diese nutzen nun das zwangsweise eingestellte private WLAN und ich bin der Böse, weils dauerhaft seit Einrichtung vor 11 Tagen unzuverlässig läuft. Mal gehts gut, oftmals den ganzen Tag beschissen, kann ja nur an dem liegen der es bereit gestellt und eingerichtet hat...

PS. Vielleicht kann man das Timeout beim Schreiben hier entfernen. Ist nicht schön, wenn nach dem Absenden der ganze Text weg ist, vor allem wenn man was ausfühliches schreiben möchte. Ja meine Laune ist gerade nicht so gut, aber vielleicht hilft es ja als konstruktives Feedback. ;)

Willkommen. Ich fange mit den kleineren Punkten an.

NTP:
Wir haben seit letztens auch einen internen NTP-Server (10.181.0.174, pool.ntp.services.ffgrz), der zumindest im Stadtgebiet auch ohne Internetanschluss verfügbar sein sollte.

Internet-Administrierbarkeit:
Normalerweise solltest du auf deine Knoten kommen, wenn du die IPv6 (2a03...) verwendest. Unter Umständen läuft das aber nicht, wenn du selbst nur an einem Anschluss mit IPv4 hängst.
Grundsätzlich sind die Dinger im laufenden Betrieb nicht per Web administrierbar. Der dann laufende Webserver zeigt nur eine Statusseite an. Nur im Configmode läuft die UCI-Oberfläche.
SSH sollte eigentlich immer gehen, viele vergessen aber bei der Erstkonfiguration, dass da ein Passwort (oder ein SSH-Schlüssel) hinterlegt werden sollte. Da es ohne Zugriff potenziell sicherer ist, halte ich den Schmerz für gering.
Wer da etwas einträgt, sollte wissen, was er tut.

Kontaktwege:
Das haben wir drüben ja schon beantwortet. Eventuell müssen wir das noch prominenter auf die Startseite heben.
Letztendlich ist es aber über "Kontakt" (meiner Ansicht nach) ziemlich leicht zu finden.

Gateways:
Wir fahren aktuell an der Leistungs-/Ausleitungsgrenze. Das merkt man teilweise deutlich. Die Gateways verhalten sich dabei, je nach Tageszeit/Mondphase/Hardware/Anbindung deutlich unterschiedlich.
Das ein "Bandbreitenverlust" zwischen dem direkten Ausleiten (an der Fritzbox) und dem Tunnel über die Gateways vorhanden sein muss, ist klar. So gravierend sollte der aber eigentlich nicht ausfallen.
Durch die Größe des Netzes kommt aber aktuell noch relativ viel Overhead/Broadcast hinzu, der da noch mehr abknabbert.

Die Lösung für den ersten Teil ist ein neues Gateway. Hier planen/schätzen wir gerade.
Der zweite Teil dürfte einen Netzumbau erfordern, der schwer umsetzbar und erst recht noch nicht geplant ist.
Falls alle Stricke reißen, könntest du die Daten lokal ausleiten, aber dann ist halt der Störungshafter-Teil wieder dahin. Die Konfiguration ist auch nicht unbedingt trivial. Bei deiner relativ autarken Ferienwohnungs-Insel könnte das aber gut funktionieren.
GW2 aus der Liste zu schmeißen, löst eventuell dein akutes Problem, aber der Witz ist gerade die Redundanz. Die verlierst du damit halt teilweise.

Ich vermute, dass es nicht an deiner Netzwerkseite liegt. Falls du Unterstützung bei Gatewaybetrieb/-wartung usw. hast, nehmen wir die gern an.
Die magere (gemessene) Bandbreite kann natürlich auch an den Nutzern liegen. Wenn da einer Youtube4K anwirft, kriegt der Rest ggf. nur noch Minecraft-Grafik. Ich glaube aber nicht, dass das dein Problem beschreibt.

So oder so. Danke für das äußerst konstruktive Feedback.

@Jörg: Drehst du bitte den Timeout hoch? Das erwischt mich auch öfter.

Auch von mir erstmal ein Willkommen!

Als "Haupt-Admin" von gw 1 und gw3 fühle ich mich natürlich mit der durchaus berechtigten und konstruktiven Kritik angesprochen. Ein Problem, welches sich auch bei Dir noch ausgewirkt haben könnte, ist inzwischen behoben, nämlich die zu kleinen DHCP-Bereiche. Daneben gibts inzwischen wirklich, wie von Matthias bereits angespochen, Performance-Probleme. Gerade der SRH-Offloader mit seinen an die 400 Nutzern lastet das Gateway, mit welchem er gerade verbunden ist, nahezu komplett aus. Im Moment hängt er am gw1, dieses verkraftet das noch ganz gut. gw2 und gw3 sind damit aber überfordert. Hier müssen wir uns zeitnah überlegen, wie wir damit sowohl organisatorisch/finanziell, als auch technisch umgehen. Ich mach dazu mal einen extra Thread auf.

Allgemein tippe ich auch mal darauf, daß die Probleme nicht auf Deiner Seite liegen. Obwohl mich schlechte TQ-Werte beim VPN zum Gateway schon wundern. Wo siehst Du die? Kurz nach einem Knoten-Neustart sind sie naturgemäß schlecht, sollten dann aber geben 100% gehen. Ich empfehle, alle Anpassungen von Knoten-Parametern wieder rückgängig zu machen. Am Ende hilft das nicht wirklich.

Kurz meine persönliche Meinung zu den Kontaktmöglichkeiten. Ich bin ja sowieso eher ein Offline-Fan. Gerade bei technischen Problemen halte ich die Offline-Wege (Forum, Ticket-System) wesentlich geeigneter. Zum einen kann man da auch später mal noch was nachlesen (gerade als Neueinsteiger). Wesentlicher ist, daß ich Probleme erst dann lösen kann, wenn ich Zeit dazu habe. Bis dahin habe ich die per Chat geschriebenen Dinge meist wieder vergessen ;)

Timeout:
Ist nicht so einfach, sonst hätte ich das schon vor 3 Jahren geändert ;)   da spielen verschiedene Timeouts (Apache, Tomcat, Liferay) ineinander. Ich hab das jetzt mal von 30 auf 60 Minuten erhöht. Ob es funktioniert, weiß ich noch nicht. Empfehlung, wenn man was längeres schreiben will: Erstmal offline in einem Texteditor schreiben, dann ins Forum pasten und dort noch anpassen. Oder falls man doch rausgeflogen ist (roter Hinweis): einfach in einem anderen Browser-Fenster/-Tab nochmal neu anmelden. Dann funktioniert auch das abgelaufene Fenster bzw. der Tab wieder (außer man hat dort bereits vorher auf "publizieren" geklickt).

VG - Jörg

Danke für Eure Antworten und das Willkommen!

Wie gesagt über Geraer Firmware läuft NTP super und die administrierbarkeit per SSH übers Internet mit PuTTy und private Key ist auch kompfortabel - find ich super. Da arbeiten die Leipziger aber auch schon u.a. dran, dort geht NTP und SSH aus dem Internet nämlich (noch) nicht.

Schlimmer ist allerdings, wenn die Anbindung so überlastet ist, dass man meist nur das private WLAN nutzen kann, was ich eigentlich abschaffen wollte. Bin in Gera nicht vor Ort und kann das daher aktuell nicht einschätzen, soll aber ohne gw2 nun besser sein. In wie weit da die DHCP-Begrenzung Probleme machte, kann ich nicht beurteilen. Aktuell sieht ja die TQ von an die 100% relativ gut aus. Schaue da jetzt immer drauf, bin aktuell allerdings noch unschlüssig ob ich gw2 wieder erlauben kann. Aktuell nutzt auch ein Node gw2, obwohl der mit fastd.mesh_vpn_backbone_peer_peer2.enabled='0' durchgestartet wurde. Möchte das ja aus den allseits bekannten Gründen auch gerne mit Standard laufen lassen.

Bez. Kontaktmöglichkeiten ist ja als Ticketsystem Okay, bei Problemen. Als Unwissender kann man allerdings nicht erkennen was hinter dem E-Mail-Kontakt ist, da denkt wohl keiner ohne Freifunkerfahrung an ein Ticketsystem. Das könnte man an der Stelle daher als Info gerne noch ergänzen. Für erstes beschnuppern hingegen finde ich etwas Chatähnliches als angenehmeren Einstieg, um überhaupt ins Gespräch mit dem Thema zu kommen und sich bis zur eigentlichen Umsetzung mit Freifunk weiter anzufreunden bzw. sich an die eigenen Umstände voranzutasten bis man keine so großen Hemmungen mehr vor dem Unbekanntem hat, dann endlich auch aktiv zu werden. Bei späteren kleine Nachfragen würde ich auch lieber etwas locker in einen chat schreiben oder sprechen oder philisophieren oder die Meinung anderer oder den Sinn von eigenen Ideen hinterfragen wollen.

Ah sehe gerade Grüße vom Timeout - schade das es nicht mitbekommt, dass man doch aktuell schreibt. In Rosa fällt die Warung wenigstens halbwegs auf. Ich glaube vor dem Timeout anfangs mal eine blaue Leiste gesehen zu haben, aber die fällt dann überhaupt nicht auf, da wie oben rechts die blaue Ecke gefärbt und da konnte man glaube auch nicht auf verlängern tippen oder erneut einloggen.

Okay also Gera hat ziemlich mit der Leistungsgrenze zu kämpfen, macht es dann viel aus ob man verschlüsselt oder unverschlüsselt die VPN-Verbindung nutzt und wären drei unverschlüsselte VPN-Nodeanbindungen von der Belastung und dem Overhead nur etwas oder ein vielfaches schlechter wie 3 Nodes über eine VPN laufen zu lassen?

Leipzig hat ne eigene Community. Es macht Sinn und ist gewünscht sich der eigenen Community anzuschließen. 

Die Firmware ist in Leipzig soweit ich weiß einerseits gluon-basiert, aber man kann auch ne Meshkit-basierte Lösung nutzen. 
Und da Freifunk nicht Hotspot ist, sondern zudem die Community fokussiert, auf Treffen setzt um den Zusammenhalt zu fördern, Ideen zu generieren, umzusetzen und miteinander weiterentwickeln, macht ein Anschluss an die lokale Community total Sinn. Unter Leipzig.freifunk.net findest du Anschluss. Ein guter Anlaufpunkt ist dieses Jahr auch sicher wieder der Congress, wo auch einige Leipziger vor Ort sind. 

Habe einen Node in Leipzig mit Leipziger Firmware wo ich mich auch über Jabber austausche. Unabhängig davon noch vier von mir administrierte Nodes im Geraer Umfeld, wo ich wegen schlecht gelaunter Nutzer hier Hilfe über das Geraer Forum erhoffe. Ich vermute daher ist es Okay das ich momentan in zwei Communitys aktiv bin, kann da daher auch aus der jeweils anderen Erfahrung profitieren und sehe die jeweiligen Probleme bzw. das es teils auch noch besser geht. ;)

Da fällt mir noch ein... Ist es möglich das wenn ein Node eine schlechte Gatewayanbindung hat, der Nutzer da drauf per LAN-Mesh über einen anderen Node mit in dem Moment besserer Gatewayanbindung automatisch weiterverbunden wird. Oder ist das designtechnisch nicht machbar, dass User flexibel über das VPN anderer Nodes und deren dort gerade bessere Gatewayanbindung generell Daten senden und empfangen können ggf. sogar parallel (Lastenverteilung) über alle zur verfügung stehdenden Nodeanbindungen? So das ich ein (oder viele/alle) schwächelndes Gateway durch ein gewisses Setup und redundante Anbindung nicht mehr so fürchten muss.

Wir wollen mal nichts dagegen haben, dass du in zwei Communities aktiv bist... Üblicherweise ziehen wir da andere Saiten auf. :-)
Letztendlich ist jeder Zusätzliche, der über den Tellerrand schaut eine Verbesserung zu jetzt.

Node-Gateway-Anbindung:
Letztendlich solltest du das nicht manuell regeln. Das ist das, was Jörg mit seiner Aussage "alle Anpassungen von Knoten-Parametern rückgängig machen" meinen dürfte.
B.A.T.M.A.N. sollte das regeln und automatisch das Gateway mit der besten TQ auswählen. Hier gibt es ein Steuerungsproblem, wenn alle gleich gut (also 100% TQ) sind. Da die Auslastung der Gateways bzw. deren tatsächlich (aktuell verfügbare Bandbreite) in die Berechnung nicht eingeht, ist die gewählte Option nicht zwingend das tatsächliche Optimum.
Die nächste BATMAN-Version soll da Änderungen bringen, aber die Versprechung ist IMHO so zu werten wie nutzbare Kernfusion: "Geht bald."

In deiner Wolke sollten sich alle Nodes nach und nach auf ein Gateway einpendeln. Mit einem Offloader, also der Auslagerung der VPN-Last auf ein zentrales Gerät, kannst du die Router noch etwas entlasten, aber bei deinen 5 Nutzern sollte das auch kein Problem sein.
Eine Lastverteilung ist, soweit ich weiß, überhaupt noch nicht auf dem Plan. Wir haben da auch keine russische Lösung in petto.

Am 17.11.2018 von 8:07 Uhr bis 14:32 Uhr mal über das Freifunk-LAN => WDR3600 => Fritzbox => gw1 Anbindung mit 100% - 100% TQ gab es folgende Ergebnisse auf die IP-Adressen:

Ping-Statistik für fdb5:78b:64cc::11: Pakete: Gesendet = 23064, Empfangen = 23050, Verloren = 14  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 37ms, Maximum =  178ms, Mittelwert = 41ms
Ping-Statistik für 10.181.0.11:       Pakete: Gesendet = 23060, Empfangen = 23045, Verloren = 15  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 37ms, Maximum =  361ms, Mittelwert = 41ms

Ping-Statistik für fdb5:78b:64cc::12: Pakete: Gesendet = 22818, Empfangen = 22724, Verloren = 94  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 43ms, Maximum = 1101ms, Mittelwert = 47ms
Ping-Statistik für 10.181.0.12:       Pakete: Gesendet = 22795, Empfangen = 22709, Verloren = 86  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 43ms, Maximum =  356ms, Mittelwert = 47ms

Ping-Statistik für fdb5:78b:64cc::13: Pakete: Gesendet = 23059, Empfangen = 23042, Verloren = 17  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 51ms, Maximum =  242ms, Mittelwert = 55ms
Ping-Statistik für 10.181.0.13:       Pakete: Gesendet = 23016, Empfangen = 22988, Verloren = 28  (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 51ms, Maximum = 1333ms, Mittelwert = 56ms

Allerings habe ich festgestellt, das wenn ich mit voller Bandbreite währenddessen Downloade, alle 6 Fenster deutlich öfters Pingaussetzer bringen. ca. 20%. Wird hier ja Hauptsächlich an meiner Verbindung über Freifunk liegen. Auf Heise.de mal eben nur kurz getestet: IPv4 sind 43% Verlust und IPv6 0,5% Verlust. Über privat LAN an der Fritz.box 7490 hingegen absolut konstante 32-34ms ohne Aussetzer, mal als Vergleich.

Es wäre schön, eine Nachricht/Post nicht 10x in 10 min zu aktualisieren, dass gibt ne Menge Spam bei den Mitlesern... Änderungen sollten möglichst erkennbar sein.

Ah das war mir nicht klar, das auch Änderungen jeweils Mails erzeugen. Weiß auch nicht ob das so sinnvoll ist, das es für kleine Änderungen auch Mails gibt, anstatt nur wenn ein neuer Post erfolgt?! Bei merklichen Neuerungen schreibt man/ich ja einen neuen Post und ändern tut man in aller Regel nur Kleinigkeiten wie Rechtschreibung und Darstellung. Aber nehme mich dem an, jetzt wo ich es ja weiß und werde meinen Perfektionismus-Teufel auf der Schulter nur noch im Vorschau-Modus raus lassen bzw. nur wenn ich über einen anderen Rechner noch direkt etwas ergänzen will und dafür zwischenspeichern muss.

Keine Panik. Die bittere Erfahrung mussten wir alle machen. :-)

Ich habe jetzt zum Test an einigen Routern von mir zum Test GW2 disable.