Neuer Tunnel: L2TP statt FastD

Bisher setzen wir im Niersufer als VPN-Tunnel-Protokoll den „Fast and Secure Tunnelling Daemon“ kurz „fastd“ ein. Dieser sorgt nicht nur auf den Routern selber für soviel Last, dass die kleineren Modelle nur wenige MBit/s Bandbreite liefern können, auch auf unseren Supernodes bereitet uns „fastd“ einige Bauchschmerzen.

Der Grund dafür ist, dass „fastd“ unter Linux im Userspace läuft, sämtliche sonstige Netzwerkkommunikation (mit der Netzwerkkarte, mit dem B.A.T.M.A.N.-Protokoll für Freifunk) aber im Kernerl stattfindet. So muss für jedes Datenpaket der Kontext zwischen Kernel- und Userspace gewechselt werden, was hohe CPU-Last erzeugt. Die Supernodes schaffen auf Grund ihrer potenten Hardware zwar trotzdem ein paarhundert MBit/s, sind aber was die CPU-Last angeht ziemlich am Rande dessen, was noch vertretbar ist.

Als Alternative könnte man nun weitere Supernodes in Betrieb nehmen, um die Last in der Breite zu verteilen oder den Supernode-VMs mehr CPU-Leistung zuteilen, damit diese nicht mehr ausgelastet sind. Irgendwann muss man sich dann aber auch fragen, ob es Sinn macht, die Designprobleme mit „fastd“ durch immer mehr Leistung – und dadurch auch durch immer mehr Energie – zu kompensieren. Wir haben für uns nun entschieden, dass es keinen Sinn mehr macht.
Daher werden wir in Zukunft das „Layer 2 Tunneling Protocol“ kurz „L2TP“ als Tunnelprotokoll und Tunneldigger als Dienst einsetzen – wie das bereits einige andere Freifunk Domänen heute schon tun.

Um mal ein paar Zahlen zum Vergleichen zu nennen: ein kleiner TP-WR841N/ND schafft mit „fastd“ knapp 10 MBit/s Bandbreite, mit „L2TP“ schafft er ohne Probleme 50 Mbit/s und mehr.

Verschweigen wollen wir allerdings auch nicht, dass „L2TP“ im Gegensatz zu „fastd“ keine Verschlüsselung der Daten mehr bietet. Die Daten werden „nur“ im Tunnelprotokoll eingekapselt und dann an unsere Supernodes geschickt. Rechtlich hat das allerdings keine Relevanz.

Wir arbeiten aktuell an den Firmware-Images mit „L2TP“-Unterstüzung und zeitgleich werden die Supernodes fit für „L2TP“ und Tunneldigger gemacht. Die ersten Images sollten bald zum Testen bereitstehen.

Anfangs werden wir „L2TP“ und „fastd“ parallel betreiben, mittefristig wird aber komplett auf „L2TP“ umgestellt werden. Für „L2TP“ müssen ggf. in eurer Firewall neue/andere Ports freigeschaltet werden:
4215 (Netz Niersufer)
4216 (Netz Mönchengladbach)4217 (Netz Moers)

5 Antworten auf “Neuer Tunnel: L2TP statt FastD

  1. Jo

    Wie ist das mit nicht Freifunk Routern, werden die auch für L2TP freigeschalten?
    Ich habe zurzeit von meinem ISP drei Modems zuhause welche von Haus ausL2TP können und da ich das Freifunknetz über diese Router ausende (über ein VLan) würde ich gerne wieder ein Kastern weg stellen können wenn ich für VPN nicht mehr den 841N bräuchte.
    LG Jo

    1. Dominique Autor

      Um an Freifunk teilnehmen zu können, sind weiterhin „Freifunk-Router“, also Router die von der Freifunk-Firmware unterstützt werden, erforderlich. Dein Freifunk-Router ist ja nicht nur für den Aufbau der VPN/L2TP-Verbindung zuständig, sondern kümmert sich auch um den Rest, der Freifunk ausmacht.

      Das Netz verwaltet sich dank des B.A.T.M.A.N.-Protokoll weitestgehend selber, es ist die Basis des Freifunk-Mesh, sowohl bei den Uplinks, als auch „in der Luft“ beim Meshen untereinander. Ohne dieses, ist eine Teilhabe an Freifunk nicht möglich, auch wenn ein Router L2TP als VPN-Tunnel unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *