VPN Offloader

Aus Freifunk München
Wechseln zu: Navigation, Suche

Ein VPN-Offloader ist ein Gerät, das den Datenverkehr von einem Freifunk-Knoten (Router) zu einem Freifunk-Gateway durch einen VPN-Tunnel weiter leitet. Router und Offloader sind i.d.R. das gleiche Gerät.

Was ist ein VPN-Offloader?[Bearbeiten | Quelltext bearbeiten]

Die Freifunk-Knoten, die sich nicht per WLAN "sehen" und meshen können, verbinden sich über die Gateways mithilfe von VPN-Tunneln. Durch die gleichen VPN-Tunnel wird auch der Internettraffic der Nutzer geleitet.

Die Verschlüsselung des Datenverkehrs belastet die CPU des Geräts, das den Tunnel aufbaut. Da die meisten (günstigen) Freifunkrouter eher schwache CPUs besitzen, kann der Durchsatz verbessert werden, indem der VPN-Tunnel-Endpunkt auf ein eigenes, leistungsfähigeres Gerät verlagert wird.

Insbesondere bei größeren Installationen, bei denen ein Knoten Internet hat, die anderen aber nur via des Mesh-Netzwerkes ins Internet kommen, entsteht hier ein Flaschenhals, der sich durch einen dedizierten Offloader erweitern lässt.

Konzeptionelle Übersicht[Bearbeiten | Quelltext bearbeiten]

Kein VPN-Offloading[Bearbeiten | Quelltext bearbeiten]

Ohne VPN-Offloader muss der Freifunk-Knoten, der am Internetzugang hängt, den VPN-Tunnel aufbauen. Hier begrenzt neben dem Internetzugang an sich die CPU des Knotens den maximalen Durchsatz.
Konzeptionelle Übersicht ohne VPN-Offloader

Mit VPN-Offloading[Bearbeiten | Quelltext bearbeiten]

Statt dass der Freifunk-Knoten die VPN-Verbindung aufbaut, wird dies vom VPN-Offloader übernommen.

Der Offloader wird meist per Kabel an den/die Knoten angebunden.
Konzeptionelle Übersicht mit VPN-Offloader

Idealerweise findet das Meshing nicht über WLAN, sondern über kabelgebundenes Ethernet statt, damit die Luftschnittstelle nicht übermässig belastet wird. PowerLAN (Ethernet via Stromkabel) hat sich in der Vergangenheit ebenfalls als ungünstige Variante herausgestellt.

Technische Umsetzung[Bearbeiten | Quelltext bearbeiten]

Es gibt verschiedene Arten von Freifunk-Offloadern, die sich in Leistung und Wartbarkeit unterscheiden. Welcher passend ist, hängt von den Gegebenheiten vor Ort ab.

Offloader auf Router-Hardware[Bearbeiten | Quelltext bearbeiten]

Manche Freifunk-tauglichen Router haben mehr CPU-Leistung als andere, was nicht unbedingt proportional zu ihren Funkeigenschaften ist. Daher kann es sich lohnen, den Knoten mit der stärksten CPU mit dem Internet zu verbinden und sich diesen wiederum mit einem oder mehreren Knoten verbinden lassen, die das eigentliche Freifunk-WLAN bereitstellen. Besteht die Möglichkeit, über eine drahtgebundene Ethernetverbindung zu meshen, kann am Offloader-Knoten mit der starken CPU ggf. das WLAN sogar deaktiviert werden. Router mit relativ starker CPU sind beispielsweise der TL-WR1043ND v2 oder der TL-WDR3600 v1[1]. Zur Interpretation des gelinkten Benchmarks: Freifunk-München nutzt salsa2012+umac.

Vorteile:

  • sehr einfache Installation und Betrieb
  • automatische Updates auf aktuelle Freifunk-München Versionen und Konfigurationen

Nachteile:

  • nur begrenzte Leistung
  • Extra Hardware

Offloader auf Linux-System[Bearbeiten | Quelltext bearbeiten]

Die Dienste, die auf der Freifunk-Firmware das Offloading und Tunneling bereitstellen, können natürlich auch unter jedem anderen Linux installiert werden. Bei entsprechender Konfiguration wird das System dadurch zum Freifunk-Knoten und übernimmt das Offloading.

Vorteile:

  • Nutzung von vorhandener Hardware
  • nicht architekturgebunden wie das KVM-Image
  • sehr kleiner Footprint auf dem System

Nachteile:

  • es muss komplett von Hand konfiguriert werden
  • keine automatischen Updates auf aktuelle Freifunk-München-Versionen und -Konfigurationen

Der Artikel VPN Offloader auf Linux-System beschreibt, wie das konfiguriert werden kann

Offloader mit KVM-Freifunk-Image[Bearbeiten | Quelltext bearbeiten]

Die Freifunk-Firmware wird auch als KVM-Image bereitgestellt. Dieses eignet sich ebenfalls für den Betrieb eines Offloaders. Hierfür kann vorhandene x86-Hardware genutzt werden. Die Konfiguration des Offloaders selbst ist dann recht ähnlich zur Konfiguration eines "normalen" Knotens.

Vorteile:

  • Nutzung vorhandener Hardware
  • Konfiguration des Knotens wie bei bekannter Hardware
  • automatische Updates auf aktuelle Freifunk-München-Versionen und -Konfigurationen

Nachteile:

  • größerer Footprint als die direkte Installation der Dienste unter Linux
  • an x86-Hardware mit KVM-Unterstützung gebunden

Der Artikel Kvm-vpn-offloader-bauen beschreibt, wie ein KVM-Offloader gebaut werden kann.

Offloader mit Siemens Futro S550[Bearbeiten | Quelltext bearbeiten]

Die Futros sind x86-basierte Thinclients, die gebraucht derzeit für etwa 20 EUR erhältlich sind. Zusammen mit einer zweiten Netzwerkkarte und PCI-Risercard liegt man bei unter 30 EUR. Sie haben kein WLAN, eignen sich aber hervorragend als leistungsstarker Offloader in größeren Installationen.

Vorteile:[Bearbeiten | Quelltext bearbeiten]

  • etwas günstiger als leistungsfähige Fertigrouter (1043 etc)
  • Bis zu 80Mbit (1043 schafft nur ca. 20Mbit), trotzdem lüfterlos
  • Konfiguration des Knotens wie bei bekannter Hardware (Configmode)
  • Aktuelle stable Firmware ab 2016.0 kann nach Erstinstallation oder im Autoupdate genutzt werden
  • Autoupdate ok.

Nachteile:[Bearbeiten | Quelltext bearbeiten]

  • Kein WLAN, kann also nur als reiner Offloader laufen
  • Nur ein NIC vorhanden, zweiter NIC kann eingebaut werden (Low profile PCI mit Risercard)

Der Artikel Futro-vpn-offloader-bauen beschreibt, wie ein Offloader auf Futro-Basis gebaut werden kann.

FAQ:[Bearbeiten | Quelltext bearbeiten]

  • F: "batman_adv: bat0: The MTU of interface eth0 is too small (1500) to handle the transport of batman-adv packets. Packets going over this interface will be fragmented on layer2 which could impact the performance. Setting the MTU to 1532 would solve the problem." Ist das für uns irgendwie von Relevanz...?
  • A: Nein, laut fpletz bringt es nichts, die MTU zu ändern.