mkroa Skript für icVPN

[spookey]

im irc-Channel ging gerade der Hinweis auf das mkroa-Skript fürs icVPN ein.

https://github.com/freifunk/icvpn-scripts/blob/master/mkroa

Dies soll das versehentliche Announcen von falschen Routen eindämmen.

Dieses Ticket dient somit als Erinnerung, sich dieses näher anzuschauen, ob und wie wir das integrieren wollen/können - falls dazu ein Backend-Script dazu geschrieben werden soll, bin ich gerne dabei behilflich.

[ka-ba]

Oh! Ja, super Hinweis! Danke, hätte ich z.B. wohl verpasst. Von vielen Fällen falscher Routen hätte ich noch nicht gehört. Aber wenn's die Funktion schon gibt, warum nicht einsetzen? Ich wäre dafür, dass wir uns das mal ansehen. Mir sagt dieses "ROA"-Konzept im Detail noch nichts, aber da kann ich noch was lernen. Ich kann mich ja mal etwas einlesen, nur noch nicht an diesem WE. Setze mich mal als assignee - das soll aber natürlich niemanden ausbremsen, der da auch Interesse hätte!

[ka-ba]

Das mkroa erzeugt einfach einen config-Schnippsel für bird. Dieser Schnippsel wird dann in die config eingebunden (oder erst einmal halt nicht). Somit wäre es unschädlich, diese Schnippsel zu erzeugen; danach kann vorsichtig mit der Einbindung experimentiert, und letztere kann bei Problemen schnell wieder deaktiviert werden. Mir erscheint's sinnvoll, den mkroa-Aufruf in das bestehenden update-bird-script zu integrieren. Er passt dort thematisch rein und dieses Vorgehen würde eine zusätzlich Metadatenkopie und einen zusätzlichen git-cycle einsparen. Wenn's recht ist, würde ich durch copy-paste-anpassen mal einen zusätzlichen Aufruf dort reinbasteln und einen pull request anstoßen, um das 4-Augen-Prinzip zu erzwingen. ;)

[ka-ba]

Es werden nur ROAs für die FF-Netze erzeugt (klar, mehr Daten liegen in den Metadaten ja nicht vor). Wir sollten noch mal kritisch schauen, ob dadurch die Anbindung an das DN42 abgehängt würde! Die Effekte sind mit noch nicht ganz durchsichtig. Falls das passieren sollte, ist's aber sicherlich durch ein paar statische ROAs heilbar...

[ka-ba]

Dank an Kokel für eine Bereinigung meines cruden hacks in update_bird_conf_gw.py .

Hab grad noch mal das Flag "-m" (default_max_prefixlen) bestückt, damit wir auch Subnetze annehmen. Das muss noch auf die Gates und noch mal beobachtet werden.

NB: Das Problem habe wir auch anders herum: wir announce-n per BGP auch nur ein Subnetz (/18). Alle anderen Communities, die mkroa einsetzen und ohne "-m" einsetzen, werden aktuell unsere Netze ablehnen.

[ka-ba]

Das letztere Problem (unsere /18-Netze bei anderen communities) wurde prompt durch tcatm gefixt. -> https://github.com/freifunk/icvpn-scripts/issues/29

[ka-ba]

Offenbar lange erledigt (sorry, close erst jetzt). Soweit ich mich erinnere, Hauptarbeit mal wieder durch kokel.