© Fedor Kondratenko, 123RF.com

Ein Konferenz-WLAN für Tausende Benutzer zu servieren – das ist eine Aufgabe mit vielen Tücken. Die Veranstalter der Fosdem 2014 brachten das Kunststück fertig, dies auch gleich durchgehend mit IPv6 anzubieten. Leider fehlt es noch an freien Accesscontrollern, daher bleibt Open Source außen vor.

Nicht erst seit der massiven Ausbreitung von Smartphones ist ein funktionierendes WLAN für Konferenzbesucher eigentlich selbstverständlich. Umso überraschender, dass es schon die Veranstalter mittlerer oder großer Events wie Cebit oder Linuxtag immer wieder vor große Herausforderungen stellt, den Besuchern ein kostenloses und zuverlässiges Funknetzwerk anzubieten.

Probleme, Probleme

Das es kein Selbstläufer ist, weiß auch jeder Admin, der nicht mehr mit ein, zwei oder drei WLAN-Routern auskommt oder zahlreiche Clients in verschiedenen Netzen versorgen will. Die Probleme reichen von der Funktechnik übers Routing, Roaming, die ausreichende Abdeckung, böswillige Teilnehmer bis hin zur Hard- und Software.

Der Autor dieses Artikels konnte bei Großveranstaltungen wie der Debconf 2013 [1] und der Fosdem 2013 und 2014 ([2], [3]) Erfahrungen sammeln, die zwar zeigen, wie es gehen kann, aber auch offenbaren, woran es (noch) hakt, vor allem dann, wenn der OSS-affine Admin solche Infrastrukturen mit Open-Source-Tools und Linux auf die Beine stellen will.

Wifi-Funktechnik

Die IEEE-Norm 802.11 definiert die gängigen Wifi-Standards: 802.11b und 802.11g funken im lizenzfreien Frequenzbereich um 2,4 GHz, 802.11ac ausschließlich im ebenso lizenzfreien Frequenzbereich um 5 GHz, und 802.11n kann in beiden Bereichen funken. Vorteil der höheren Frequenzen ist die höhere Übertragungsgeschwindigkeit, Nachteile sind die kürzere Reichweite und die deutlich höheren Kosten für die Technik.

Auf der anderen Seite ergibt sich dadurch (heute noch) ein signifikanter Vorteil von 5 GHz: Die wenigsten Endgeräte nutzen dieses Spektrum bisher, der Frequenzbereich bleibt meist frei. Wer also öfter auf Konferenzen mit vielen Teilnehmern unterwegs ist, sollte die Extrakosten für einen neuen WLAN-Stick in Kauf nehmen – nicht selten hat er das bessere Netz.

Accesspoints am besten auf Kniehöhe anbringen

Für die Antennen gilt: Normale Rundantennen, auch Stabantennen genannt, strahlen horizontal im Winkel von 360 Grad, vertikal im Winkel von 10 bis 60 Grad ab. Damit erreichen in Knie- bis Kopfhöhe montierte Antennen alle normalen Aufenthaltsbereiche, haben aber, wenn sie in einer Ecke montiert sind, bis zu 75 Prozent Verlustleistung.

Ein weiteres Problem ist das so genannte Übersprechen: Decken mehrere Antennen gleicher Frequenz denselben Bereich ab, gibt es unerwünschte Interferenzen, die sich zwar durch sinnvolle Kanalabstände mildern lassen (bei 2,4 GHz zum Beispiel die Kanäle 1, 6, 11). Aber auch dieser Effekt ist begrenzt, wenn die Nutzerzahlen oder Bandbreiten-Anforderungen mehr als drei Accesspoints nahe beieinander verlangen. Bei höheren Dichten führt kein Weg entweder an gerichteten Antennen oder an Accesscontrollern (AC) vorbei, die zentral und zusammen mit den Accesspoints (AP) die Sendestärke der einzelnen Antennen regulieren.

Solange sich keiner der Netzteilnehmer bewegt, bleibt die ganze Sache simpel, Client und Accesspoint langweilen sich und übertragen brav ihre Daten. Doch das ist bei einer Konferenz sicher nicht der Fall: Hier bewegen sich viele der Benutzer, für sie ist nicht nur die Übertragungsstärke anzupassen.

Der Admin muss auch für einen sauberen Hand-over des Clients zwischen den Accesspoints Sorge tragen. Dieses Roaming ist die mit Abstand wichtigste Funktion in großen WLAN-Szenarien. Benutzer wollen sich frei bewegen und erwarten zu Recht, dass ihre Verbindungen nicht abreißen oder auch nur temporär ins Stocken geraten. Gelingt dies, sind sie zufrieden, andernfalls gib es sehr schnell lautstarke Beschwerden.

Im einfachsten Fall verbindet sich der Client mit einem anderen Accesspoint, sobald er den alten nicht mehr gut genug empfängt. Das kann allerdings dazu führen, dass der Switch im Hintergrund die MAC-Adresse des Clients zunächst noch beim alten Accesspoint vermutet und daher den Traffic in die falsche Richtung schickt.

Abhängig vom Switch-Modell und anderen Faktoren kann das MAC-Learning mehrere Sekunden dauern, in denen der Endbenutzer de facto offline bleibt. Schlimmer noch: Sitzt ein Client genau zwischen zwei oder mehr Accesspoints, dann kann es zu Flapping – kontinuierlichen Neuverbindungen – kommen. Auch hier helfen Accesscontroller.

Backend-Verkabelung

Nicht immer lassen sich alle Accesspoints direkt mit Kabeln versorgen, wenn etwa die Entfernungen zu groß werden oder es nicht erlaubt ist, Kabel zu verlegen. Höherwertige Accesspoints bieten deswegen an, die Verbindung mit dem Netzwerk über – meist gerichtete – 5-GHz-Antennen aufzubauen, wobei dann den Clients nur die 2,4-GHz-Frequenzen zur Verfügung stehen. Wer große Strecken überbrücken muss, kommt ab ein paar Hundert Metern kaum ums teure Glasfaserkabel herum.

Um gute Ergebnisse und hohe Geschwindigkeiten zu erzielen, sollten alle Accesspoints direkt per Layer 2, also Ethernet, verbunden sein. Ist dies nicht möglich, kommen Details wie die Fragmentgröße ins Spiel – im LAN üblicherweise 1500 Byte. Ihr sollte der Admin besonderes Augenmerk schenken, vor allem wenn er DSL- oder anderen Verbindungsarten benutzt, die andere Werte verwenden. Entweder begrenzt er dann künstlich die Paketgröße von TCP/IP-Verbindungen mit MSS Clamping oder er nutzt IP-Gateways, die Fragmentation unterstützen. Dann kann der Endbenutzer Pakete mit einer MTU von 1500 verschicken und empfangen. Doch Achtung: Im Hintergrund entsteht Overhead, der die Performance beeinträchtigt.

Accesscontroller bringen erweiterte Funktionen

Die an sich extrem komplexe Funktechnik versteckt sich fast komplett hinter der Hardware. Die meisten Accesspoints verfügen über nur mäßige Intelligenz, weshalb es fast obligatorisch wird, einen Accesscontroller zu verwenden, will man ein richtig großes WLAN aufbauen. Außer dem Funken übernimmt der AC alle Funktionen: Konfigurationen spielt der Admin nicht mehr auf jedem Accesspoint einzeln ein, sondern zentral auf dem Accesscontroller, das Gleiche gilt für Firmware-Upgrades und das Hardware-Monitoring.

ACs lassen sich clustern, sie speichern Listen von Accesspoints inklusive Positionsangaben, bieten Planungstools für die Frequenzwahl und verteilen Kanäle automatisch um. Accesspoints, die aktive Messungen unterstützen, melden beispielsweise Überschneidungen der Netze an ihren Accesscontroller, der sodann für eine bessere Verteilung sorgt. Er passt dann kontinuierlich und dynamisch die Funkstärken der einzelnen Antennen an, um eine optimale Ausleuchtung aller Bereiche zu erreichen. Falls zum Beispiel ein Accesspoint ausfällt, lässt er angrenzende Nachbarn automatisch stärker senden.

Hochpreisige Modelle haben aber noch mehr Tricks in petto: Mit Hilfe von MAC-Adressenlisten kann der AC auch unerwünschte “Rogue APs” feststellen und den Admin alarmieren, wenn ein Angreifer im WLAN derlei Man-in-the-Middle-Angriffe versucht. Durch Triangulierung grenzen sie den physikalischen Standort von Clients ein und erfassen Bewegungen, was Gegenmaßnahmen deutlich einfacher macht. Zusätzlich können sie allen Clients, die sich mit dem Rogue Accesspoint verbinden, automatisch Deauthenticate- und Disassociate-Nachrichten schicken, was die Clients dazu zwingt, sich neu zu verbinden.

Im Idealfall erfassen die Accesspoints die relativen Positionen der Nutzer und teilen sie dem Accesscontroller mit. Dieser kann dann genau im richtigen Moment die Accesspoints anweisen die Verbindung mit dem Client ab- respektive aufzubauen. Manche Accesspoints cachen Daten kurzfristig und senden sie direkt nach dem erfolgten Hand-over an den Client; damit wird Datenverlust minimiert oder gar ausgeschlossen.

Damit nicht genug, auch die Switches, die das Netzwerk aufspannen, wollen informiert sein, das sich die MAC-Adresse jetzt auf einem anderen Port befindet. Derlei erledigt in der Regel ein Gratuitous-ARP-Paket.

Nicht ohne

Leider ist es heute unmöglich, all diese Funktionen auch nur mit Accesspoints hinzubekommen, also ohne Controller. Roaming funktioniert zwar, ein schneller Hand-over oder gar Caching von Paketen findet aber nicht statt, Anwender werden immer mindestens kleine Aussetzer bemerken.

Weil freie Accesspoints samt Controlleranbindung nicht existieren, ist der Admin auf proprietäre Lösungen angewiesen. Hersteller, die in Forschung und Entwicklung sowie in eigene Hardware investieren, um Accesspoints mit entsprechenden Fähigkeiten auszustatten, setzen auf proprietäre, aber komplette Lösungs-Stacks.

Entwickler freier Software hingegen, die Accesscontroller programmieren wollen, haben in der Regel keinen Zugriff auf entsprechende Hardware. Vielleicht finden sich auch hier irgendwann die immer günstiger und leistungsfähiger werdenden Chipsätze in offeneren Geräten wider, mit denen Open-Source-Entwickler spielen können, ähnlich der Open-WRT-Linksys-Erfolgsstory (siehe Artikel in der Hardware-Rubrik dieser Ausgabe).

Eine andere Dimension: Das Fosdem-Netz an der ULB

Bis dahin bleiben nur die proprietären Geräte, selbst bei der größten Open-Source-Konferenz Europas, der Fosdem, die mit Nutzerzahlen zwischen 5000 und 12 000 Besuchern besondere Anforderungen stellt. Dort sind die Voraussetzungen gut, das Netz der Université libre de Bruxelles (ULB), wurde in den vergangenen Jahren kontinuierlich ausgebaut. Die meisten Langstrecken hat man auf Single-Mode-Glasfaser aufgerüstet, an fast allen wichtigen Punkten sind Accessports oder zumindest LAN-Dosen vorhanden und auch die Switches sind sinnvoll verteilt und erreichbar.

Die Universität spannt ihr normales Wifi-Netz mit Hilfe von Accesspoints und Controllern von Cisco auf. Sponsoring macht es möglich, die besonders stark frequentierten Bereiche, insbesondere den größten Hörsaal Janson (Abbildung  1), mit zusätzlichen Accesspoints auszustatten. Dabei handelt es sich jedes Jahr um die neuesten Hochleistungsmodelle; Cisco verwendet die Leistungsdaten auch intern zur Forschung und Entwicklung, da es wenige Gelegenheiten außerhalb der Labors gibt, die Technik unter solch extremen Bedingungen zu testen.

Abbildung 1: Im Hörsaal Janson der Brüsseler Universität fanden die viel besuchten Fosdem-Keynotes statt. Hunderte Laptops waren hier keine Seltenheit.

Die ULB ihrerseits erlaubt jedes Jahr den Anschluss der geliehenen Accesspoints an ihre Controller. Dadurch bieten alle beteiligten Geräte automatisch alle ESSIDs an, für die Konferenz selbst etwa »Fosdem« , »Fosdem-dualstack« und »Fosdem-v6« . Im Hintergrund wird jede ESSID auf einem eigenen VLAN terminiert, was automatisch ein Überspringen zwischen den Netzen verhindert und es zugleich erlaubt, für jede ESSID eigene Subnetze, Default-Gateways, DHCP und NAT anzubieten.

Das Problem IP-Space

Da jeder Besucher mit einer öffentlichen IP-Adressen versorgt sein will, IPv4-Adressen aber bekanntermaßen knapp werden, kann kein Sponsor mehr den benötigten IP-Space zur Verfügung stellen. Die Organisatoren beantragten deswegen bei der RIPE NCC für die Fosdem eine eigene permanente AS-Nummer und drei /48-IPv6-Subnetze. Permanent zugewiesene IPv4-Subnetze gibt es bereits seit September 2012 nicht mehr. Es ist aber immer noch möglich, für kurze Zeit IPv4-Subnetze zu beantragen, in 2013 und 2014 jeweils ein /18. Diese müssen nach Ablauf des konkreten Vergabegrunds sofort zurückgegeben werden, im Fall der Fosdem nach zwei Wochen.

Das Routing selbst (über eine vom Provider Colt [4] bereitgestellte Leitung mit eigener AS-Nummer) wurde von einer ebenfalls gesponserten Cisco ASR 1001 [5] übernommen, die auch noch gleichzeitig DHCP und NAT64 anbieten konnte. Die ASR 1001 wurde zusammen mit zwei virtuellen Hosts, die Services wie DNS übernahmen, den Transcodier-Laptops für das Videoteam in der kombinierten Heizung-Putzlager-Abflussanlage direkt neben dem Fosdem-NOC untergebracht (Abbildungen 2 und 3). Eine gewisse Resistenz gegen interessante Düfte entwickelt sich da jedes Jahr aufs Neue.

Abbildung 2: Glasfaser, Switches und Cisco-Hardware halfen den Fosdem-Organisatoren beim WLAN-Setup.

Abbildung 3: Die Laptops zur Videokodierung wandeln die Vortragsvideos in fürs Web geeignete Formate um.

Weltweit die erste Konferenz mit IPv6 per Default

Eine Besonderheit war das Netzwerk der Fosdem 2014 insofern, weil dies weltweit die erste öffentliche Konferenzinfrastruktur war, die per Default nur IPv6 angeboten hat. Das war eine bewusste Entscheidung der Organisatoren, die der verbreiteten Wahrnehmung, IPv6-Umstellungen erlebten derzeit einen Stillstand, etwas entgegensetzen wollten.

Zwar gab es auf IETF- und RIPE-Meetings schon derlei Testnetze, die Nutzer sind dort aber tendenziell sehr Netzwerk-affin und eignen sich daher eher schlecht als Querschnitt durch die Computerwelt oder gar die Gesellschaft. Auf der Fosdem ist dies anders. Die meisten Besucher entwickeln oder nutzen freie Software, einige schnuppern aber auch nur mal in das Thema hinein. Von der eigentlich so einsichtigen Idee bis zur konkreten Umsetzung brauchte es jedoch mehrere Monate an Vorbereitung mit langen Diskussionen, technischer Verifikation und der Erstellung von Fehlerszenarien samt zugehörigen Notfallplänen.

Obwohl der IPv6-Standard bald zwanzig Jahre auf dem Buckel hat und in Bälde Ipv4 ersetzen soll, stellt er Netze, Admins und Software immer noch regelmäßig vor Probleme. Trotzdem, so lautete der Anspruch, sollte IPv6 mindestens so gut funktionieren wie IPv4. Aber natürlich muss sich jedes Netzwerk heutzutage auch noch mit dem IPv4-Internet verbinden können; ansonsten wäre es leider noch relativ nutzlos. Andererseits sind IPv4 und IPv6 aus Effizienzgründen mit Absicht so entworfen, dass Hosts, die nur IPv4 sprechen können, sich nicht mit Maschinen verbinden können, die nur IPv6 sprechen und umgekehrt.

Lügen mit DNS 64 und NAT 64

Die Lösung ist so einfach wie genial: Der Router lügt beide Seiten der Verbindung einfach an. Vorsicht: DNSSEC ist genau dazu gedacht, diese Art der Manipulation zu verhindern, weswegen es nicht mit DNS 64 funktioniert. Dessen Schwindelei ist sogar mehrstufig: Zuerst definiert der Admin ein /96-Subnetz, in das er den gesamten IPv4-Adressraum mappt. Dann stellt er den DNS-Resolver so ein, dass jede DNS-Anfrage, deren Antwort einen A-Record, aber keinen AAAA-Record enthält, umgeschrieben wird.

Dabei werden alle IPv4-Adressen aus den A-Records in das /96-Netz gemappt und dann als einzelne AAAA-Records der Antwort beigefügt. Ein Router schreibt jede Anfrage an eine Adresse aus diesem Mapping um und ersetzt die IPv6-Adresse durch die echte IPv4-Adresse.

Auf dem Rückweg werden die Pakete dann wieder von IPv4 auf IPv6 umgeschrieben. Ein Host kann so auch mit nur einer IPv6-Adresse auf das normale Legacy-Internet mit IPv4 zugreifen. Die volle Konfiguration für ein solches Setup, wird – etwa für Bind9 – auf Linux Magazin Online Plus [6] beschrieben.

2015 schon ohne IPv4?

Aber selbst ein voll funktionsfähiges IPv6-only-Netzwerk anzubieten reicht bisweilen nicht. Obwohl das IPv6-only Netzwerk der Fosdem durchgängig stabil lief und es im parallel betriebenen Dual-Stack-Netzwerk mehrfach Probleme mit einem zu kleinen DHCP-Pool gab, nutzten zum Ende der Fosdem 2014 insgesamt 2750 Endgeräte das Dual-Stack-und nur mehr knapp 600 das IPv6-only-Netzwerk.

Das war sicherlich zum Teil durch funktionale Einschränkungen bedingt. Zum Beispiel gab es laut User-Feedback massenhaft Probleme auf Maschinen mit aktuellem Ubuntu, so berichteten Anwender am Ubuntu-Stand, dazu kamen aber auch Bugs in Server-Systemen und -Software, die Entwickler teils vor Ort beheben konnten, etwa durch den Network-Manager-Entwickler Pavel Simerda – der vom Veranstalter an einem Besucher-Laptop mit dem Problem konfrontiert wurde und sich sofort ans Patchen machte.

Als Fazit des Versuchs lässt sich sagen, dass der Backbone des Internets und fast alle Serversoftware heute durchgängig in der Lage sind, IPv6 sauber zu handhaben. Probleme gibt es vor allem noch bei Clientsoftware und Endkundenanschlüssen. Zumindest beim ersten Problem wird die Fosdem weiterhin versuchen zu helfen, indem sie nächstes Jahr auf der Haupt-ESSID wieder nur IPv6 anbietet und vielleicht sogar für den Samstag IPv4 auch im Dual-Stack-Netz nicht anbietet. Dann fehlen nur noch Open-Source-Accesscontroller.