Gelöst: Störung 2016-02-29 18:30 bis 21:10 UTC+1
Heute Abend kam es zwischen 18:30 und 21:10 zu umfassenden Störungen im gesamten Freifunk-Netz. Der Auslöser für diese Probleme ist beseitigt, alles sollte wieder wie gewohnt gut funktionieren.
Auslöser war die Umrüstung von einer Anmeldungsbasierten-Lösung auf Freifunk bei einer Anbieterin von Ferienwohnungen. Dabei wurde der vorhandene Router als Switch umgenutzt und Teile der Konfiguration deaktiviert. Leider wurde dabei die Anmelde-Funktion vergessen, die also auf dem mit dem Freifunk-Netz verbundenen „Switch“ noch aktiviert war.
Deren Arbeitsweise sorgte dann dafür, dass jegliche IPv4-Adressen so umgebogen wurden, dass sie auf dem Anmelde-Router hätten ankommen sollen. Hätte der Router eine IPv4-Adresse aus dem Freifunk-Netz konfiguriert gehabt, hätten dadurch gestörte HTTP-Anfragen womöglich ein Anmeldeportal gesehen. So lief einfach alles nur ins Leere.
Nachdem uns aus den Ferienwohnungen berichtet wurde, „das neue WLAN“ funktioniere nicht richtig, nahmen wir umgehend eine Analyse vor und mussten dabei feststellen, dass auch über die Freifunk-Knoten im [hsmr] keine zuverlässige Kommunikation möglich war und es zwischendrin immer mal wieder vollständig „hing“. Zunächst hatten wir also eine Störung der Gateway-infrastruktur vermutet. Einige Augenblicke später war jedoch klar, dass diese problemlos funktioniert. Noch ein paar Analyse-Schritte später sah plötzlich alles nach einem Angriff aus: Irgendwer will hier den gesamten Traffic aus dem Freifunk-Netz in Marburg abgreifen. Ein Blick in die oui.txt (da stehen Hersteller zu MAC-Adressen drin) verriet, dass es sich vorgeblich um ein Gerät von „Routerboard“ handelt, das die Adressen zu sich hinbiegt.
Zufällig war eine*r der Freifunk-Gateway-Admins mit dabei, als am Abend die besagte Umstellung auf Freifunk stattfand. Dort steht ein solches Gerät. Aus dem Angriff wurde also ein ganz dämlicher Konfigurations-Fehler, der entsprechende VPN-Tunnel im ersten Schritt deaktiviert, das Problem gelöst und der Tunnel wieder aktiviert…
Leider ist Freifunk an diversen Stellen aufgrund seiner flachen Hierarchien und in vielen Fällen – wie auch in Marburg – aufgrund seiner Topologie für solche Probleme anfällig. Sie lassen sich in der Regel nur durch manuelles Eingreifen „lösen“ und schlecht verhindern. Wir werden jedoch in der Zukunft für besagtes Verhalten einen Überwachungsmechanismus implementieren, der einen direkten Draht zu unserem Schläg äh Gateway-Admin-Team erhält.
So Long, and Thanks for All the Fish…