# Out of Band (OoB)
Tom
Freifunk Hessen Meetup 2023.2 - Fulda Edition
---
## Das Problem - der Auslöser
- per 5G angebundene Unterkunft
- planbare Probleme:
- es gibt ein Update/Configänderung für den Router
- nicht planbare Probleme:
- der Mobilfunkrouter (und anfangs auch das Mobilfunknetz) machen gelgentlich Probleme
- Neustarts helfen meistens
- jedes mal hin müssen wird schnell blöd
---
## Der Traum
- den Großteil der nicht planbaren (und planbaren) Probleme aus der Ferne lösen
- ggf. gar kein eigenes Problem (Strom aus,
gestelltes Internet kaputt, ...)
- und falls es doch einen Besuch braucht gleich wissen woran es mangelt
=> gleich das richtige Material mitnehmen
---
## Die Suche nach einem Gerät
Mindestanforderungen:
- OpenWrt Support
- LTE
- USB für Seriell Adapter (Verbindung zum Switch vor Ort)
---
## Ergebnis: **GL.iNET GL-XE300**
2x 100 Mbit/s Ethernet Ports
1x USB-A
1x MicroSD Slot
1x Akku
1x Quectel EC25-E (oder EP06-E) Modem
1x Stromversorgung per USB-C
---
## Die Verbindung 1 - WireGuard
- WireGuard Tunnel mit KeepAlive auf dem OoB Gerät
- Skript das alle 3 Minuten prüft ob alles gut ist:
https://github.com/joweisberg/openwrt-scripts/blob/main/healthcheck-wwan.sh
Der Erinnerung nach waren das etwa 150 MB im Monat.
---
## Verbindung 1 - normale SIMs
Viele Optionen, zwei Beispiele:
### Netzclub
SIM mit kostenlosen 200 MB im Monat, nur eine pro Person
### Congstar
1GB für 2€ pro 4 Wochen
---
## Verbindung 2 - IoT SIM
1nce: 500 MB für 10 Jahre für 10€
(zzgl. MwSt + Versand)
Vorteil: geringere Kosten
Nachteil: nur für Geschäftskunden (z.B. als Verein)
---
---
## Verbindung 2 - Wie?
- 500 MB reichen nicht für Keepalive basierte Nutzung
- Clients bekommen eine von der SIM abhängige RFC1918 IPv4
- OpenVPN Config Download im Portal
- es zählt nur der Nutztraffic im Tunnel
---
## Verbindung 2 - Nutzung
- es ist nur eine Verbindung möglich
- es empfiehlt sich ein ssh Jumphost
---
## Verbindung 2 - NixOS
```nix
{ pkgs, ... }:
{
nixpkgs.overlays = [
(self: super: {
openvpn = super.openvpn.override (oldAttrs: {
pkcs11Support = true;
pkcs11helper = pkgs.pkcs11helper;
});
})
];
services.openvpn.servers."1nce" = {
config = ''# config goes here'';
autoStart = true;
};
}
```
---
## Verbindung 2 - XE300 Anschluss
USB: Verbindung per Serial zum Switch
WAN: Verbindung zum regulären Uplink
LAN: ins lokale management Netz
---
## Verbindung 2 - XE300 Config
OpenWrt imagebuilder ist sehr praktisch
Bauen von Images
mit gewünschten Paketen und Dateien
`/etc/uci-defaults/*`
Ausführung beim ersten boot
---
https://git.darmstadt.ccc.de/ffda/oob-imagebuilder
- Deaktivierung der IPv4 Default Route am WAN Port
- Deaktivierung vom (leeren) root Passwort
- authorized_keys (ssh)
- wwan kommt in eigene Firewall Zone
- keine Nutzung von Clients im mgmt Netz möglich
- daran denken ssh zu erlauben
- Deaktivierung von NTP um Daten zu sparen
- Zeit per [quectel-timesync](https://github.com/freifunk-darmstadt/quectel-timesync)
---
## Verbindung 2 - Langzeittests
Teilweise noch Probleme das die Verbindung nicht mehr möglich war.
Einige uqmi Patches von blocktrron, eine finale Beurteilung steht noch aus.
---
## Kosten-Nutzen
- nicht kostenlos, einmalige Kosten für die Hardware gibt es zwangsläufig
- SSH geht auch per 2G (ggf. nach veralteten 3G Modems suchen)#
- mit IoT SIM bleibt es aber im Prinzip bei einmaligen Kosten
- spart massiv eigene Zeit im Fehlerfall
- erhöht die Verfügbarkeit
- in Relation zu den restlichen Kosten oft nicht erheblich