WLAN für Flüchtlinge: Erstaufnahmestelle Flughafen Hahn

14 posts / 0 new
Last post
#1 10. September 2015 - 12:38
Stefan
Stefan's picture

WLAN für Flüchtlinge: Erstaufnahmestelle Flughafen Hahn

1. Fassung, Stand 9.9.2015

Konzept

Voraussetzungen und Rahmenbedingungen

Die aktuelle Planung geht von einer Belegung mit 800 bis 1000 Menschen aus. Wir rechnen mit 500-750 dauerhaft eingeloggten Geräten und 150-300 bandbreitenrelevant aktiven Clients. Die Bewohner sind in doppelwandigen Zelten mit Unterboden untergebracht. Es gibt mehrere Sozialräume und ein zentrales „Aufenthalts­zelt“ auf einem ehemaligen Parkplatz. Die Gesamtfläche des Gelände umfasst ca. sechs Hektar  und ist leicht abschüssig, der  Boden ist asphaltiert. Das Gelände befindet sich südöstlich in der Nähe des Flughafens.
Die Zelte sind in zwei Reihen aufgestellt (ca. 45x90m). Eine Kabelbrücke ist jeweils hinter einer Zeltreihe verfügbar. In der Mitte des Wohnbereichs stehen zwei Laternenmasten als mögliche Befestigungspunkte. Eine zweite Fläche gleicher Größe direkt angrenzend wird teilgenutzt.
Die Anbindung erfolgt an einem Ver­teil­zen­trum auf dem Gelände. Über ein Outdoor-Lankabel kann dort eine Richt­funk­station aufgestellt werden, ebenso sind Stell­fläche und Strom­versorgung für einen kleinen Server gegeben. Der Netzzugang erfolgt über einen f00Mbit Port.

Leitlinien, Grundsätze

  • Sorgfalt in Hinblick auf Frequenznutzung wegen der Nähe zum Flughafen:
    Im Bereich von Funkstrecken wird zertifizierte Hard- und Software eingesetzt. Zur Client-Versorgung werden  sektorial begrenzte Strahler eingesetzt, die zu versorgende Fläche soll möglichst zielgenau ausgeleuchtet werden.
  • Lokal autarker Betrieb muss möglich sein. Zunächst steht die Anbindung ans Internet im Mittelpunkt, mittelfristig sind aber auch Site-Lokale Dienste denkbar. Basisdienste wie DHCP und DNS sollen vor Ort bereitstehen, gegebenenfalls muss ein Proxy-Dienst den Uplink entlasten.

Aufbau des WLAN

WLAN-Ausleuchtung EAS FHHahnGezielte Ausleuchtung: Die Client-Versorgung wird auf eine WLAN-Verbindung im 2.4GHz Netz beschränkt („NanoStation“), vier lokale APs.

Die Ausleuchtung der Clientzonen:

zwei Sektor-Relays mit 8° Ausleuchtung und 5GHz-Anbindung an das Backbone („NanoBeam“) versorgen jeweils vier APs mit wiederum ca. 60° im Fenbereich, min 100m Nahbereich.

Zum Abfangen von Spitzen und Ausleuchtungslücken werden Roaming-APs („UnifiAP“) als Reserve vorgehalten.

Hardware

  • Client-Ausleuchtung mit Sektorantennen, z.B. „NanoStation“ 2.4GHz oder TP-Link CPE2105/510, 60°
  • Backbone sternförmig „Nanobeam“ 5GHz, 8°
  • Roaming Relays „UnifiAP“ zu Verstärkung von Brennpunkten. Relay via Freifunk-Mesh.

Software

Die eingezeichneten Zonen bezeichnen die zentrale Wirkrichtung der Antennen, nicht deren absoluten Radius. Der Betrieb des Client-Netzes erfolgt ohne Verschlüsselung.

Der lokale Betrieb erfolgt mit der originalen Firmware des Herstellers. Eine Umsetzung der o.g. Topologie ist damit möglich. Die Hardware wurde so gewählt, dass auch ein alternativer Betrieb auf Freifunk-Firmware möglich ist.

Uplink

Der Zugang zum öffentlichen Netz erfolgt über einen f00MBit-Port am DSLAM des Providers im Technikraum vor Ort.

Controller

Der Controller übernimmt die Verschlüsselung und das Routing aller ausgehenden Verbindungen via VPN zu den Exit-Gateways. Wird das lokale Netz direkt an ein Freifunk-Gateway angebunden, erfolgt dies als unabhängiges Mesh. Alternativ ist auch eine direkte Anbindung an einen VPN-Anbieter denkbar bzw. ein dediziertes Gateway im Rechenzentrum ist schon in Vorbereitung.

Der Controller versorgt das lokale Netz via DHCP mit IP-Adressen, hierzu wird ein geeigneter Bereich gewählt, der eine Anbindung an die Freifunk-Infrastruktur ebenso wie einen autarken Betrieb ermöglicht. Bei ungenügender Uplink-Bandbreite kann der Controller Proxy-Dienste übernehmen, dies ist zunächst aber nicht vorgesehen.

Richtlinien und Betrieb

Mit der Anbindung des lokalen Netzes an die Freifunk-Infrastruktur gelten für den Betrieb, Infrastruktur und Clients die allgemeinen Richtlinien des Freifunks. Die gesamte Installation steht unter der administrativen Kontrolle der beteiligten Freifunk-Communities, dies umfasst insbesondere die Verantwortung für die Einhaltung von Datenschutz-Grundsätzen.

 

 

10. September 2015 - 14:49
Manuel
Manuel's picture

Bestellt sind folgende Produkte, Ankunft Montag (14.09.) oder Dienstag (15.09.):

  • 2x Nanobeam M5 19dBi, <20° Richtfunkantenne, V&H, 5 GHz
  • 4x Nanostation LocoM2, ~60° Sektorantenne, 2,4 GHz
  • 3x UnifiAP, Omni-Antenne, 2,4 GHz
  • + Kabel & Stecker

Alternativ zu NanoBeam habe ich noch 2x NSM5 (60° Sektorantenne), die eventuell auch für den Uplink geeignet wären.

Standortwahl der LocoM2-Geräte muss - denke ich - vor Ort getestet werden, in der Grafik wird von 120° und 180° ausgegangen, was nicht zutrifft.

Für den Server würde ich stark dazu tendieren, einen XEN aufzusetzen, auf dem eine Gluon-VM läuft, die über LAN die Zugangspunkte mit dem Mesh verbindet. Somit schaffen wir kein vom Freifunk unabhängiges Netz und können auf den zusätzlichen Aufwand der Installation & Wartung von DHCP, Firewall, DNS etc. verzichten.

Wenn ich das nicht falsch in Erinnerung habe wäre das auch der - im Prinzip - technisch identische Ansatz, wie Freifunk Mainz das Rockfield versorgt hat.

Die Variante, auf den LocoM2 Gluon laufen zu lassen, fände ich ebenfalls nicht verkehrt.

12. September 2015 - 11:13
Stefan
Stefan's picture

Der Uplink "steht" (organisatorisch). Wir bekommen einen SDSL-Anschluß mit 100Mbit im Downstream und 50Mbit im Upstream Gerade sind wir damit beschäftigt. den lokalen Controller aufzusetzen, wir folgen dabei eine mehrgleisige Strategie:

  • direkte Anbindung an einen VPN-Anieter
  • Anbindung an ein dediziertes Freifunk Gateway
  • Anbindung an die "normalen" FFMWU-Gateways
20. September 2015 - 11:50
Stefan
Stefan's picture

Letztlich haben wir uns für eine direkte Anbindung an einen VPN-Anbieter entschieden. Nach anfänglichen Problemen mit der gewählten Firewall in einer Virtualisierungsumgebung, läuft der uplink jetzt stabil über eine "händisch" konfigurierte Ubuntu-VM. Da wir auf eineige Features der ursprünglich geplanten Firewall-Appliance nicht verzichten wollen, werden wir die erneut "Bare Metal" implementieren; das könne wir soweit vorbereiten, daß wir nurnoch die Festplatte vor Ort tauschen müssen. Das wird vermutlich am Montage geschehen.

Aufgrund der bestehenden Ausleuchtung verteilen sich die NutzerInnen nicht gleichmäßig auf die Access-Points. Deshalb werden wir die auch nochmal "umhängen" müssen.

Hier mal eine Grafik des Traffics seit der Umstellung auf das Ubuntu-GW:

 

24. September 2015 - 12:09
Stefan
Stefan's picture

Nachdem wir am Mittwoch nochmals vor Ort waren, haben wir einige Optimierungen vorgenommen. Zunächst haben wir die APs fest auf nicht überlappende Kanäle eingestellt; 1,5,9,13. Da es trotzdem weiterhin regelmäßig Verbindungsabbrüche gabe, haben wir die Frequenzweite von 40 auf 20 MHz vekleinert et voila: läuft!.
DIe pfSense-VM ist inzwischen wegen des NAT-Bugs komplett ausser Betrieb; DHCP und DNS-Forwarder übernimmt jetzt unsere Ubuntu-VM.

Es liess sich unmittelbar eine Verbesserug von Latenz und Durchsatz vor Ort feststellen, unser VPN-Uplink wird jetzt voll ausgelastet. Nächstes Projekt wäre jetzt ein Multipath-Routing über mehrere VPN-Anbieter, hierfür sind aber noch ein paar Test notwendig.

Das Ummontieren der APs war leider nicht möglich, weil der vorhandene Gabelstapler zu klein war. Ein DRK-Mitarbeiter hat Kontakt zur Feuerwehr; wir hoffen, daß die nächste Woche Zeit finden mal eine von ihren kleinen Leitern da anzustellen, damit wir die APs noch wetterfester anbringen können.

 

In der Grafik gut zu sehen: Das umstellen der Frequenzen auf das 20MHz Spektrum am Mittwoch gegen 16:00 Uhr, seit dem haben wir einen durchschnittlichen Traffic von 15MBit. Diese Bandbreite ist durch unseren VPN-Anbieter bedingt, wir arbeiten dran...

30. November 2015 - 14:09
Stefan
Stefan's picture

Gerade hatte ich einen Anruf von Andreas (DRK vor Ort): Mitte Dezmeber wird ein Gebäude in der Nähe der Zeltunterkunft mit ca 300 Menschen in Betrieb genommen, ausserdem bauen die da gerade Holzunterkünfte. Die bestehenden Zelte sollen eigentlich dieses Jahr noch weg, Termine sind aber nicht wirklich "fest".

Andreas fragt an, ob wir unsere Installation "umbauen"/"erweitern" können, im Gebäude wäre wohl ein Galsfaser-Anschluss von AirIT und angeblich gibt es Sichtverbindung zum Zeltgelände, so dass wir einfach umbauen könnten und nurnoch die Hardware für die Innenausleuchtung bräuchten.

 

Ich habe ihn gebeten, schonmal die Finanzierungsfrage zu klären und ihm zugesagt, mich im Lauf der Woche nochmal zu melden.

1. December 2015 - 21:21 (Reply to #6)
Stefan
Stefan's picture

Erneuter Anruf von Andreas: DRK hatte selbst schon Kontakt mit Herrn Zeimentz von der EA, der hat die Kostenübernahme für einen Ausbau zugesagt; ein Angebot/Kontaktaufnahme mit ihm müsste schnellstmöglich passieren, wegen Haushaltsschluss 2015.

Eine Begehung zwecks Planung/Hardwarebedarf ermitteln wäre zeitnah notwendig. Telefonnummer von Andreas ist via mail raus, Kontaktdaten von Zeimentz hat Manuel.

21. January 2016 - 16:12
ruben
ruben's picture

Sonntag den 24.01. ist abbau am alten standort und die erste begehung des neuen standorts geplant.

4. February 2016 - 13:42
ruben
ruben's picture

Ich habe angerufen, Samstag 14h geht es los. Andreas ist vor Ort, es ist wohl noch nicht alles rechtliche und finanzielle geklärt, wir werdens sehen wenn wir da sind.

5. February 2016 - 11:15
realprogrammer
realprogrammer's picture

Abfahrt 14:00 Uhr am JUZ?

5. February 2016 - 11:31
ruben
ruben's picture

klingt gut, wer fährt denn? brauchen wir zwei Autos mit der Leiter?

5. February 2016 - 13:48
realprogrammer
realprogrammer's picture

Ich könnte wenn Platz gebraucht wird. Manuel muss auf jeden Fall fahren, da ich die Rücksitzbank nicht umklappen kann und somit die Leiter nicht reinpasst. Wir wollten ja eh das Gerüst nutzen, oder?

6. February 2016 - 16:31
ruben
ruben's picture

Wir waren am Hahn, abgebaut ist jetzt alles.

In der neuen Unterkunft soll nur das Gemeinschaftszelt vernetzt werden, der AirIT-Anschluss ist im Gebäude direkt neben an.

Der Aufbau sollte mit dem vorhandenen Material möglich sein, es muss nur geklärt werden wer sich um einen Anschluss kümmert. Falls das bis Montag geklärt ist, wollen wir direkt am Montag aufbauen.

7. February 2016 - 10:37
ruben
ruben's picture

laut wetterbericht soll es morgen sturm geben..95kmh am hahn, schlechte aufbaubedingungen würde ich sagen.