Futro s550 vpn offloader
Futro S550 VPN-Offloader - "Freifunk Offloader"
Dieser Artikel beschreibt die Funktionsweise und das Setup eines Fujitsu Futro S550 Thin Clients als VPN-Offloader im Freifunk-Rhein-Neckar Netz. Ein solcher Offloader wird nötig, sobald man an die Leistungsgrenzen der Plaste Router kommt. Dies Grenze liegt dabei je nach Modell zwischen 20Mbit/s und 35Mbit/s. Erheblich ist auch noch die Paketzahl. Wenn du dir nicht sicher bist, ob du einen Offloader wirklich brauchst, frag und am besten im [[1]].
Wozu einen Offloader?
Wie oben schon beschrieben, kann es Setups geben, bei denen Uplink Bandbreiten von mehr als 35Mbit/s benötigt werden. Ein Beispiel dafür sind Veranstaltungen oder Geflüchtetenunterkünfte. Hier kommen wir selbst mit den großen und teuren Plaste Routern nicht mehr weiter. Deren Leistung ist einfach zu schwach. Aus diesem Grund braucht es dann einen VPN-Offloder. Bei einem Offloader handelt es sich um einen Rechner mit mehr Leistung, der fähig ist, mehr VPN Pakete zu verarbeiten als ein normaler Knoten. Dies Bedeutet, dass das Packen und Entpacken von VPN Paketen von den Freifunk Knoten auf den Offloader verlegt wird. Die Daten werden dann zwischen dem Knoten und dem Offloader via Kabel Mesh übertragen. Dies führt zu einer Entlastung der Knoten die dadurch mehr Nutzer bedienen können.
Hardware
- Größe: 52 x 191 x 250 mm
- Speicher: 1GB CF Karte
- RAM: 1GB DDR2
- CPU: AMD Sempron™ 2100+ (1GHz)
- Netzwerk: Integriertes 10/100/1000 Mbit/s Ethernet Interface
- Leistungsaufnahme: 0.8W (Standby) - 13W (Leerlauf) - 21W (Maximal)
Die übrigen Details findet ihr im Datenblatt: Futro s550.pdf
Bezug
Der Futro S550 wird im Internet von einigen Händlern gebraucht verkauft. Dort kostet er aktuell im Schnitt ca. 20€. Allerdings muss zusätzlich zum S550 ein USB to Ethernet Adapter mitbestellt werden, da der S550 nur über ein Netzwerk Interface verfügt. Dazu empfehlen wir das Model: [EU-4208]. Dieser Kostet etwa 12€ so das wir auf Gesamtkosten von etwa 32€ kommen.
BIOS Konfigurieren
Bevor wir anfangen müssen zwei Einstellungen im BIOS des S550 geändert werden, um einen reibungslosen Betrieb zu ermöglichen. Der S550 hat zwar auch einen Display Anschluss, das BIOS lässt sich aber auch nur mit Tastatur so konfigurieren.
Damit ihr ins BIOS kommt drückt nach dem Anschalten so lange immer wieder F2 bis er piept.
Halt on Errors deaktivieren / start ohne Tastatur
Wenn ihr jetzt im BIOS seid, drückt ihr folgendes:
* 3 x runter * enter * enter * hoch * enter * esc
Starten sobald Strom da
Damit der S550 auch wieder startet, wenn der Strom mal weg war, müsst ihr im BIOS "in case of power failure" auf "always on" stellen. Das geht so:
* 3 x rechts * 3 x runter * enter * hoch * enter * esc
Änderungen speichern
* F10 * enter
Flashen
<WRAP center round info 60%> Ohne CF-Karten Lesegerät kann man auch folgende Anleitung benutzen: https://github.com/oszilloskop/Gluon2Futro bzw. den Futro einfach mit einem gewöhnlichen Linux-USB-Stick booten. </WRAP>
Neben dem geringen Stromverbrauch hat der S550 noch einen weiteren Vorteil, denn auf ihm läuft direkt unsere Gluon Firmware. Somit kommt man in den direkten Genuss einer einfachen Einrichtung und automatischer Updates.
Um die Firmware auf dem Gerät zu installieren, muss zuerst die enthaltene CF Karte entnommen werden. Dazu muss die Oberseite des S550 in Richtung der Frontblende geschoben werden, um das Gerät zu öffnen. Anschließend kann die CF Karte (vorne/mittig) entnommen werden.
Jetzt könnt ihr von unserer [Seite] das x86-generic Image herunterladen. Dieses werden wir im nächsten Schritt auf die CF Karte spielen.
<WRAP center important> Achtung! Für das weitere Vorgehen solltet ihr wissen was ihr tut. Der falsche Umgang mit dem Tool dd kann zu Datenverlust führen! </WRAP>
Jetzt muss die CF Karte mit dem Rechner verbunden werden. Anschließend muss das Archiv entpackt werden, so das unter Linux mit dem Befehl //dd// das Image auf die CF Karte übertragen werden kann.
Dazu solltet ihr, besser zwei mal, prüfen wie das Device heißt unter dem die CF Karte im System bekannt ist. Gehen wir mal davon aus das die CF Karte im Dateisystem unter "/dev/sdb/" zu finden ist. (Evl. gibts auch noch sdb1-sdbN, das kann aber ignoriert werden, da wir die Partitionen überschreiben müssen.) Jetzt kann das Image übertragen werden:
- dd if=~/gluon-ffrn-0.5.1-20151216-x86-generic.img of=/dev/sdb
Anschließend die CF Karte wieder auf dem S550 einstecken und das Gehäuse verschließen.
Konfigurieren
<WRAP center important> Bitte **unbedingt** diesen Abschnitt komplett lesen bevor du weiter machst! </WRAP> S550 back.jpg?direct&200 Jetzt kann es mit der Konfiguration weitergehen. Wichtig ist, das du den USB2Ethernet Adapter einsteckst, **bevor** du den Offloader nach dem Flashen das erste mal startest. Ansonsten wird das Gerät nicht richtig Konfiguriert. Nachdem du also den USB2Ethernet Adapter eingesteckt und den S550 gestartet hast, verbindest du dich per Kabel mit dem internen Ethernet Interface des S550. Dort erhältst du dann eine IP per DHCP und erreichst, wie üblich, den Config Mode unter http://192.168.1.1.
Hier geht es jetzt an die Konfiguration:
Rolle
Als erstes gehst du im Config Mode jetzt in den Expert Mode und wählst dort unter Rolle den Typ "Offloader".
Remote Zugang aktivieren
Da du beim Futro S550 keine Möglichkeit hast, per Tastendruck in den Config Mode zu kommen, musst du auf jeden Fall ein Passwort oder noch besser einen SSH Key hinterlegen. Damit kannst du dann später über die SSH Konsole den Config Mode aktivieren. Das ginge dann so:
uci set "gluon-setup-mode.@setup_mode[0].enabled=1"
uci commit
reboot
Mesh on LAN aktivieren
Da du in den meisten Fällen hinter dem S550 weitere Freifunk Knoten verwenden willst, musst du hier im Expert Mode noch Mesh on LAN aktivieren. Dazu setzt du einfach unter Netzwerk den entsprechenden Haken. Für die dahinter installierten Freifunk (WLAN) Knoten muss bei diesen an der gleichen Stelle im Config Mode das Häkchen für Mesh on WAN gesetzt werden. Dann können sich diese via Kabel mit dem Offloader verbinden. Der Betrieb eines Freifunk Knotens hinter dem Offloader bei nicht aktiviertem Mesh on LAN/WAN ist nicht zu empfehlen. Da gehen Dinge kaputt.
<WRAP center important> Sollte auf dem Offloader "Mesh on LAN" nicht zu finden sein, dann wurde das zweite Netzwerkinterface nicht korrekt erkannt bzw. war beim ersten Booten nicht angeschlossen. Lösung: Neu flashen. </WRAP>
Feinschliff
Jetzt musst du noch einen Namen für den Offloder hinterlegen und die Koordinaten für diesen setzen. Solltest du davon ausgehen, dass der Offloader wirklich ausgelastet wird, setze bitte ein Download/Upload limit von 80Mbit/s. Ansonsten kann es sein das wir den Knoten kurzfristig blocken müssen wenn die Last auf einem Gateway zu hoch wird. **Damit dann auch alles Funktioniert, musst du den Uplink mit dem USB to Ethernet Interface verbinden. Am internen LAN Port fällt dann das Mesh Netz raus.**
Wichtige Anmerkungen
Mit einem solchen Offloader sind in unserem Netz bis zu 88,9Mbit/s gemessen worden. Das sind 88,9% der Leistung die ein Gateway maximal erbringen kann. Daher stelle dir bitte immer die Fragen, ob du wirklich die Kapazität eines Offloders brauchst und ob es ein vernünftiger Zweck ist, für den du diese Kapazität nutzt. Denn schließlich müssen wir auch dafür sorgen, das unser Backbone nicht überlastet wird und das kosten im Zweifel einiges an Geld. Wenn du ganz nett bist, informierst du uns darüber, dass du einen Offloader installiert hast und zu welchem Zweck.
Wurde der Offloader wie oben beschrieben konfiguriert, dann wird über das Interface batman-adv gesprochen. Ein Endgerät kann somit nicht direkt angeschlossen werden. Es braucht nochmals ein anderes Gerät das batman-adv spricht dahinter um das Mesh wieder zu entkapseln. Willst du direkt Clients anschließen, aktiviere einfach **nicht** das Häkchen bei Mesh-on-LAN. Dann dürfen allerdings keine anderen Freifunk Knoten dahinter angeschlossen werden.
Wenn der Offloader Mesh-on-LAN macht, dann sollte bei allen angeschlossenen Freifunk Mesh-Knoten die Einstellung "Internet Verbindung nuetzen - Mesh VPN" und DHCP (v4/v6) für WAN deaktiviert werden. Denn sollte jemals auf dem Offloader tempoär Mesh-on-LAN deaktiviert werden, dann verbinden sich die Freifunk Knoten direkt mit den Gateways und schalten erst nach einem Reboot zurück auf Mesh-on-WAN. Die Optionen "Mesh only" und "Mesh on LAN" reichen alleine nicht aus, um das zu verhindern.