Virtuelle private Netzwerke (VPNs) dienen gundsätzlich dazu lokal verfügbare Netze miteinander zu verbinden, ohne dass die Netzwerke zueinander kompatibel sein oder gar direkter Funkkontakt bestehen muss. Freifunknetze sind dezentral in lokalen Communties organisiert und verwenden teilweise unterschiedliche und nicht kompatible Software (z.B. Batman vs. OLSR). Damit diese lokalen Netze aber auch untereinander kommunizieren können, wurde das InterCity-VPN (ICVPN) ins Leben gerufen. Wie bei der Bahn steht InterCity auch hier für die Verbindung von Städten.

Die ersten Freifunk-ICVPN-Aktivitäten lassen sich in den Archiven auf Anfang 2007 datieren. Es wurde schon einige Jahre frei gefunkt und in einigen Städten gab es bereits innerstädtische VPNs, um Freifunkwolken, die sich nicht direkt sehen (über Funk miteinander kommunizieren) konnten über das Internet miteinander zu verbinden. Zunehmend kam der Wunsch auf, die einzelnen Stadtnetze miteinander zu verbinden, damit Freifunkteilnehmer aus verschiedenen Städten direkt miteinander kommunizieren können oder Dienste aus anderen Städten zu nutzen, ohne aufwändige Konfigurationen an der heimischen Firewall vornehmen zu müssen. Mangels eigener Überlandleitungen und auf Grund der Tatsache, dass Funkstrecken über hunderte Kilometer nicht realisierbar sind, entschied man sich für eine Lösung, die vorhandene Internetleitungen mittels VPN-Technologie nutzt.

Das Intercity-VPN war geboren.

Ähnlich dem echten Internet ist das InterCity-VPN ein Zusammenschluss aus autonomen Systemen (in unserem Fall Freifunkcommunities), die sich an einem (virtuellen) Knoten treffen, sich gegenseitig die von ihnen verwalteten Netze ankündigen und über diese Verbindung Daten austauschen. Das InterCity-VPN kann man auch ein “Internet aus Freifunkcommunities” nennen. Jede Freifunkcommunity bleibt dabei frei in der Gestaltung ihres eigenen Netzwerks. Bisher nehmen am InterCity-VPN circa 20 Communities teil. Über diesen Zusammenschluss kann zur Zeit zum Beispiel auf folgende Dienste im Freifunk Netzwerk städteübergreifend zugegriffen werden: Webcams in Franken, gemeinsame Dateiablagen. Mumble (ein offenes Audiokonferenz-System) oder verschiedene Webradios in Augsburg, Hamburg und Weimar.

Was bedeutet das Intercity-VPN technisch? (Achtung, jetzt wird es wirklich technisch)

Um am Intercity-VPN teilzunehmen benötigt eine Freifunkcommunity einen Server, der sich mit anderen Servern im ICVPN per VPN verbindet. Es wird empfohlen, sich mit mindestens zwei (besser drei) Servern zu verbinden, um eine möglichst redundante Vernetzung zwischen den Communities zu erreichen. Um die Ausfallsicherheit weiter zu erhöhen, können mehrere ICVPN-Server pro Community (alle mit der selben AS-Nummer) betrieben werden. Als VPN-Software kommt das Programm tinc im Switch-Modus zum Einsatz. Dadurch entsteht praktisch ein virtueller Switch, über den sich alle Server im Netzwerk direkt erreichen können, unabhängig davon, ob sie eine direkte VPN-Verbindung haben. Im Intercity-VPN werden eigene Transportnetze verwendet: 10.207.0.0/24 (IPv4) und fec0::a:cf:0:0/96 (IPv6).
Diese sind nicht identisch mit den verwendeten IP-Netzen in den jeweiligen Meshnetzwerken. Die Vergabe der IP-Adressen erfolgt im Wiki. Die VPN-Konfiguration (tinc.conf und öffentliche Schlüssel) pflegen wir in einem Github-Resository.

Wie funktionieren die autonomen Systeme?

Die eigentliche Vernetzung der Communities erfolgt über BGP (Border Gateway Protocol), das auch im “großen” Internet zum Einsatz kommt, um die unabhängigen Netze – Autonome Systeme (AS)- miteinander zu verbinden. Jedes Netz benötigt eine AS-Nummer, die Vergabe ist über eine Tabelle im Wiki geregelt. Mit einem BGP-Daemon (z.B. Quagga oder birdc) wird der Austausch über die eigentlich verbundenen Netze organisiert. Der Dienst selbst kündigt unter der eigenen AS-Nummer die freigebenen Netze an und konfiguriert, über welchen anderen BGP-Dienst andere AS-Nummern erreicht werden können. Die Vergabe der AS-Nummern erfolgt ebenfalls im Wiki.

Wie funktioniert die Vernetzung über die Grenzen einer Freifunk-Community hinaus?

Die Router im Meshnetzwerk benötigen nun auch noch eine Information, welche Netzwerke verfügbar sind, um sich zu Routern in anderen Städten verbinden zu können. Einerseits benötigen sie eine Route zum Intercity-VPN-Server, auf der anderen Seite muss der Intercity-VPN-Server seine erreichbaren Routen im Meshnetzwerk bekannt geben.

Eine Beispiellösung aus Weimar ist: Alle Router, die Internetzugang haben, bauen eine VPN-Verbindung zum Server auf. Dieser dient gleichzeitig als Exit-VPN-Server für den Internetverkehr und verhält sich wie ein OLSR-Knoten im Netz. Für OLSR gibt es zusätzlich ein Quagga-Plugin, das die gültigen BGP-Routen automatisch im Netz ankündigt und verteilt. Alternativ können die Routen manuell eingestellt werden. Endgeräte im Netz können so auf Netze und Dienste außerhalb der Community zugreifen.

Wie ist der aktuelle Status des InterCity-VPN?

Aus einigen Communities (z.B. Berlin, Augsburg, io.nixnodes.net) gibt es Übersichtsbilder und Werkzeuge, den aktuellen Status des Intercity-VPN auszulesen. Freifunker aus Dresden betreiben eine Website, die die optionalen Infoseiten von Intercity-VPN-Knoten auswertet und eine schöne Übersicht über die tatsächlich verbundenen Communities gibt.

In Zukunft sollen noch mehr Communities über das InterCity VPN miteinander verbunden und weitere Dienste entwickelt werden. Damit wird es dann unter anderem möglich, auf diese Dienste im jeweiligen lokalen Freifunknetz auch aus Freifunknetzen in anderen Städten die am ICVPN teilnehmen zuzugreifen. Das InterCity VPN erhöht die Zahl der Nutzungsmöglichkeiten und die Attraktivität nur netzinterner verfügbarer Dienste massiv. So kommen wir der Vision nach einer freien, dezentralen Infrastruktur im Besitz der Gemeinschaft einen großen Schritt näher.

Weitere Informationen findet ihr im Freifunk-Wiki. Wenn ihr weitere Fragen oder neue Ideen für Dienste im Freifunk Netzwerk habt, kontaktiert uns.