GW-44-137.AMPR.ORG


Dit is de gateway voor de Nederlandse adressen in AMPRNet, het AMPR.ORG domain.

Voor meer informatie over AMPRNet, zie: Amateur Radio Digital Communications (www.ampr.org).

Als je als zendamateur een adres of subnet in het 44.137.0.0/16 netwerk wilt gebruiken, lees dan bovenstaande info door, en vraag een adres of subnet aan via mail zoals hier beschreven: hostsfile.

Aub alle aanvragen voor adressen via het daar vermelde e-mail adres indienen, dus voorlopig nog niet via portal.ampr.org die alleen bedoeld is voor het aanvragen van IPIP tunnels.
Negeer aub alles wat op portal.ampr.org genoemd staat over aanvragen van adressen want het klopt NIET.
Dat is een half-afgemaakt project waar al jaren geen voortgang meer in zit.

Heb je eenmaal een adres dan kun je dat gebruiken op het HAMNET wat in aanleg is. Meer informatie over HAMNET: http://www.hamnet.nl/

Radio

Uiteraard is het het mooiste om als zendamateur een radioverbinding naar HAMNET te maken. Waar we vroeger met packet radio altijd heel langzame verbindingen hadden, is dit tegenwoordig niet meer zo met WiFi link apparatuur. Daarmee is een toegang met meerdere megabit per seconde mogelijk, waardoor allerlei interessante toepassingen mogelijk worden, waaronder zelfs TV. Hiervoor wordt inmiddels her en der apparatuur neergezet of plannen daarvoor gemaakt. Op de hamnet site, de facebook groep, en de bekende repeaters PI2NOS en PI3UTR is hier veel over te vernemen.

Zelf gebruik ik een Ubiquiti Airgrid M5HP met 23dBi antenne voor een verbinding met IJsselstein, in combinatie met een MikroTik RB2011UiAS-2HnD-IN router die zowel mijn internet verkeer als HAMNET verkeer routeert. Deze spullen kosten samen ongeveer 200 euro. Voor de eerste experimenten, of als je aparte computers op HAMNET wilt aansluiten die niet op je eigen lokale netwerk zitten, kun je de router weglaten en de computer rechtstreeks of via een switch op de WiFi link aansluiten. Dan ben je voor minder dan 100 euro klaar. Er bestaan ook geschikte access points van MikroTik, deze hebben het voordeel dat er al een mooie router is ingebouwd. Het nieuwe model LHG5 heeft ook een vergelijkbare antennegain als de Ubiquiti en kan dus voor links met wat meer demping worden gebruikt (in vergelijking met de MikroTik SXT).

Roaming

Er zijn nog wel eens amateurs die vragen of ze ook verbinding kunnen maken met een ander toegangspunt, bijvoorbeeld op vakantie, tijdens een contest, of voor een ander experiment. Dat is nu mogelijk met roaming op het Nederlandse HAMNET.

Tunnel

Heb je nog geen radioverbinding dan kun je voorlopig een internet tunnel aanmaken die je verkeer via je normale internet aansluiting doorstuurt naar deze gateway. Met zendamateurisme heeft het natuurlijk weinig te maken. Gebruik deze methode daarom alleen als overgangsmaatregel bijvoorbeeld als er nog geen toegangspunt in je omgeving is. Probeer samen met mede-amateurs een toegangspunt op te zetten of maak een radioverbinding naar een andere amateur die wel een HAMNET toegangspunt kan bereiken.

Het maken van een internet tunnel kan op dit moment op 3 manieren:

  • OpenVPN
  • IPIP
  • IPsec
  • Echter op voorhand een waarschuwing: als je een internet aansluiting hebt bij een provider waar je verplicht bent hun bijgeleverde router te gebruiken waar je zelf (bijna) niks in kunt configureren, dan geven IPIP en IPsec vaak problemen. Als je geen grondige kennis van netwerken hebt dan wordt het nog lastiger. Met OpenVPN is het allemaal veel simpeler, maar met beperkingen.

    OpenVPN
    Info hierover kun je in de hostsfile vinden. (vraag een certificaat aan bij het daar genoemde mail adres)

    Voordeel van deze methode is dat OpenVPN op een computer of handheld device gemakkelijk te installeren is, en dat het meestal meteen werkt zonder specialistische kennis met betrekking tot netwerken.

    Een beperking van een OpenVPN verbinding is dat je (per verbinding) maar 1 adres kunt routeren, en dat je via de OpenVPN verbinding alleen verkeer naar (en van) andere netwerk-44 (HAMNET) adressen kunt versturen.
    (dit zijn niet zozeer beperkingen van OpenVPN zelf, maar meer van de gekozen wijze van configuratie, die het voor de gebruiker gemakkelijk maakt)

    Bedenk dat je OpenVPN certificaat je een vast IP adres geeft en daardoor is het niet mogelijk om meerdere connecties tegelijk met hetzelfde certificaat te maken! Immers dan zou je hetzelfde adres op meerdere computers hebben! Dus let op dat je het certificaat maar op 1 computer gebruikt en niet per ongeluk de software meerdere keren start, want dan valt je verbinding dood tot je alle verbindingen verbreekt en er 1 opnieuw maakt. Als je de verbinding "niet netjes" afsluit dan moet je een paar minuten wachten voor je weer opnieuw verbinding maakt.

    Let op: de OpenVPN implementatie op MikroTik routers is niet compatible met de configuratie die we gebruiken.

    Je kunt de benodigde software hier downloaden: OpenVPN.NET.
    Op Linux systemen (dus bijvoorbeeld ook op de Raspberry Pi) is er meestal al wel een kant en klaar pakket voorhanden wat je dan kunt installeren met bijvoorbeeld:

    sudo apt-get install openvpn
    
    Je kunt het certificaat dan plaatsen in de directory /etc/openvpn waarbij je de extensie verandert van .ovpn naar .conf en dan wordt openvpn automatisch gestart bij opstarten.

    Het is nu ook mogelijk om je certificaat te ontvangen als .onc file in plaats van als .ovpn file. Hiermee kun je het gebruiken op een Chromebook en wellicht andere Google apparaten.

    IPIP
    Voor wat meer geavanceerde toepassingen voor de gevorderde netwerk beheerder is een zgn. IPIP tunnel de aangewezen weg. Daarmee kun je ook subnetten routeren, en verkeer maken van en naar normale internet adressen. Dit is de klassieke manier om systemen uit netwerk 44 onderling te verbinden via internet, en vindt zijn oorsprong in KA9Q NOS.

    Een IPIP tunnel is tegenwoordig het gemakkelijkst te realiseren op een Linux systeem of -router. Commerciele routers zoals Cisco, Juniper etc. zijn in de praktijk niet bruikbaar voor dit systeem, omdat ze het AMPR-RIP protocol niet ondersteunen. Voor MikroTik routers is er tegenwoordig wel een oplossing beschikbaar.

    Als je tussen het systeem waarop je IPIP wilt implementeren en het internet nog een router of modem/router hebt, controleer dan eerst of je daarin het IPIP protocol (dat is protocol 4, dus niet "poort" 4) kunt forwarden naar je systeem. Het kan zijn dat dit alleen mogelijk door al het onbekende verkeer te forwarden naar dat systeem ("DMZ host" instellen), en zelfs dan werkt het nog niet altijd goed.

    Wil je deelnemen aan het IPIP tunnel systeem, zorg dan dat je eerst per e-mail (dus NIET via portal.ampr.org!) een adres of subnet hebt aangevraagd en gekregen zoals bovenstaand omschreven, en registreer je daarna hier: AMPRNet Portal.
    Klik daar na inloggen op Networks, kies ons netwerk (44.137.0.0/16), op de volgende pagina weer op de link 44.137.0.0/16 en vul in het formulier de grootte van je subnet in (bijvoorbeeld /28), bij Description je call, en bij Notes geef je aan dat je je al aangevraagde subnet of adres wilt registreren (zet het adres er even bij). Vermeld ook of je wilt dat je subnet voor inkomende connecties vanaf internet adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is. Wacht nu tot dit is goedgekeurd en aan je account gekoppeld. Maak daarna een gateway aan en koppel het adres of subnet daar aan, en configureer je eigen systeem.

    Handleidingen voor het inrichten van je systeem voor deze IPIP tunnels (liefst met ampr-ripd erbij) kun je onder andere vinden op www.ampr.org. Kijk in de Wiki die je daar kunt vinden.

    De routes naar jouw systeem en naar de andere deelnemers in het IPIP net worden automatisch aangemaakt door ampr-ripd, maar je hebt zelf ook nog een route terug naar internet nodig. In de handleidingen vind je verwijzingen naar de centrale gateway bij UCSD voor dat doel (169.228.34.84), maar je moet de Nederlandse gateway 213.222.29.194 gebruiken als je een Nederlands adres hebt.
    Dit adres gebruik je dus als default gateway voor je tunnel voor uitgaand netwerk-44 verkeer.

    IPsec
    Heb je een commerciele router die VPN ondersteunt dan is het ook mogelijk om een IPsec tunnel te gebruiken. Hiermee heb je vergelijkbare mogelijkheden als met het IPIP tunnel systeem, alleen loopt wel al je verkeer via het gateway systeem (bij IPIP gaat het rechtstreeks naar de bestemming als die ook IPIP heeft). Voordeel is dat je het zonder apart Linux systeem werkend kunt maken, bijvoorbeeld op een Cisco router maar ook op bepaalde thuisrouters (ik heb het zelf getest op een Draytek 2860n+ en een MikroTik).

    Vereiste voor IPsec is dat je een vast adres op internet hebt, of dat je software een hostname als identification kan meesturen in Phase1. Om het aan te vragen stuur je een mail met

  • je internet IP adres (indien vast)
  • of je werkt met IPsec in een router die direct op internet zit of dat je de IPsec software op een systeem achter een NAT router draait
  • indien direct op internet, of je router het AH protocol (authenticated, not encrypted) ondersteunt
  • het 44-subnet wat je wilt routeren (wat je eerder aangevraagd hebt)
  • of je alleen naar HAMNET of naar heel internet wilt routeren (dwz of onze kant van de VPN voor 44.0.0.0/8 is of voor 0.0.0.0/0)
  • Vermeld in het laatste geval ook of je wilt dat je subnet, of een of meer adressen uit je subnet, voor inkomende connecties vanaf internet adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is.

    Je krijgt dan een psk (pre-shared-key) die je in je router invult. Daarnaast vul je het adres van de gateway in (213.222.29.194) en je stelt de IPsec verbinding liefst in op AH tunnel (authenticated, not encrypted). Alleen als je router dit niet ondersteunt of als je IPsec vanaf een computer achter een NAT router gebruikt (NAT-T) kun je ESP tunnel instellen. Dit moet aan de gateway kant ook overeenkomstig ingesteld worden, vandaar de bovenstaande punten in de aanvraagmail.

    Als je naar heel internet wilt routeren moet je router uiteraard wel policy routing ondersteunen: verkeer vanaf je netwerk-44 subnet naar internet gaat via de VPN naar de gateway, verkeer vanaf je normale LAN adressen gaat naar je internet provider. Je moet dus routes kunnen instellen op grond van source adres, niet alleen op destination adres. Kan je router dat niet of weet je niet hoe dat moet, kies dan om alleen naar HAMNET te verbinden.

    GRE of L2TP
    Behalve een IPsec tunnel is het nu ook mogelijk om een GRE of L2TP over IPsec transport verbinding te krijgen. Dit is met name bedoeld om access points "in het land" te koppelen aan de gateway door middel van een VPN, zodat je van start kunt met een access point zonder dat je al radio links met het HAMNET hebt. Die kun je later toevoegen. Bij deze mode is het nodig dat je een router hebt die BGP ondersteunt, want de routes die over de GRE of L2TP tunnel lopen worden dmv BGP automatisch ingesteld. Dit werkt goed met een MikroTik of andere uitgebreide router. Ook GRE zonder IPsec is mogelijk (alleen als je een vast IP adres op internet hebt). Wil je dit doen overleg dan per mail.

    Routering

    Let wel op dat je moet kiezen tussen de beschikbare connectie methoden (dus nu een OpenVPN connectie, een IPIP of IPsec tunnel, of straks een HAMNET verbinding). Je kunt niet alles inschakelen en dan verwachten dat het allemaal gaat werken. Dus als je voor OpenVPN kiest dan geen IPIP tunnel aanmaken of deze inactief zetten, en als je naar IPIP gaat dan geen OpenVPN of IPsec meer gebruiken.

    Als je wilt checken via welke route je verbonden bent kijk dan hier.

    Instellingen

    Als je verbonden bent met het netwerk via tunnel of radio dan kun je de volgende instellingen gebruiken:
  • Subnetmask en gateway: afhankelijk van je netwerk, zie de hostsfile
  • DNS: 44.137.0.1 en 44.137.0.2
  • NTP: 44.137.0.1
  • Combinatie met NAT

    Nu er steeds meer mensen hun systeem verbinden met een of andere vorm van tunnel, en hier vaak dezelfde router of computer voor gebruiken als waarmee ze ook verbinding maken met internet, is er een nieuw actueel probleem: er worden uitgaande packets gestuurd met een afzender adres in een van de bekende RFC1918 netwerken, bijv 192.168.0.0/16.
    Dit komt omdat er geen stricte scheiding is tussen de systemen met een AMPRNet adres (44.137.x.x) en de systemen met een RFC1918 adres, zoals bijvoorbeeld het geval zou zijn als er een aparte router gebruikt wordt.
    Het is echter wel mogelijk om het goed werkend te krijgen, en wel op twee manieren:
  • Plaats een filter op de interface van je AMPRNet tunnel, zodanig dat er alleen verkeer verstuurd kan worden met een afzender adres in je eigen 44.137.x.x subnet. Daarmee voorkom je dat de verkeerde packets naar buiten gaan, de verbinding die je probeert te maken (bijvoorbeeld van een computer met een 192.168 adres naar een webserver in het AMPRNet) lukt dan niet.
  • Zorg ervoor dat verkeer van je 192.168 adressen dat naar AMPRNet probeert te gaan eerst geNAT wordt naar het adres van je router. Dit kan bijvoorbeeld in een MikroTik router (of Linux computer) door in de Firewall NAT tabel een extra Masquerade rule toe te voegen met als source adres 192.168.0.0/16 (of het netwerk wat je als LAN netwerk gebruikt) en als output interface je tunnel interface. Het 192.168 adres wordt dan vertaald naar het adres dat je router heeft in HAMNET, en alles werkt (net zoals het bij je normale internet verkeer gebeurt).
  • Besteed hier aub wel de nodige aandacht aan want er komt steeds meer van dit soort "verdwaald" verkeer in het netwerk.

    Rob - PE1CHL


    Last van verkeer vanuit 44.137.0.0/16?

    Krijg je veel verkeer of een portscan van allerlei adressen in de 44.137.0.0/16 range? Dat komt niet van ons. De systemen op dit netwerk maken weinig verkeer, maar het komt wel eens voor dat deze adressen door anderen dan de eigenaar misbruikt worden als gespoofed adres voor allerlei aanvallen. Daar is niets aan te doen, en zeker niet door ons. Als een adres geen reverse-DNS entry heeft dan is het zeker gespoofed.