GW-44-137.AMPR.ORG / GW-44-137.HAMNET.NL

Dit is de gateway voor de Nederlandse adressen in AMPRNet, het AMPR.ORG domain. Dit is een IP netwerk voor en door gelicenseerde radiozendamateurs, dwz met een door Agentschap Telecom geregistreerde radioroepnaam (callsign).

Voor meer informatie over AMPRNet, zie: Amateur Radio Digital Communications (www.ampr.org).

Als je als zendamateur een adres of subnet in het 44.137.0.0/16 netwerk wilt gebruiken, lees dan bovenstaande info door, en vraag een adres of subnet aan via mail zoals hier beschreven: hostsfile.

Aub alle aanvragen voor adressen via het daar vermelde e-mail adres indienen, dus voorlopig nog niet via portal.ampr.org die alleen bedoeld is voor het aanvragen van IPIP tunnels.
Negeer aub alles wat op portal.ampr.org genoemd staat over aanvragen van adressen want het klopt NIET.
Dat is een half-afgemaakt project waar al jaren geen voortgang meer in zit.

Heb je eenmaal een adres dan kun je dat gebruiken op het HAMNET wat in aanleg is. Meer informatie over HAMNET: http://www.hamnet.nl/

Radio

Uiteraard is het het mooiste om als zendamateur een radioverbinding naar HAMNET te maken. Waar we vroeger met packet radio altijd heel langzame verbindingen hadden, is dit tegenwoordig niet meer zo met WiFi link apparatuur. Daarmee is een toegang met meerdere megabit per seconde mogelijk, waardoor allerlei interessante toepassingen mogelijk worden, waaronder zelfs TV. Hiervoor wordt inmiddels her en der apparatuur neergezet of plannen daarvoor gemaakt. Op de hamnet site, de facebook groep, en de bekende repeaters PI2NOS en PI3UTR is hier veel over te vernemen.

Zelf gebruik ik een MikroTik LHG XL HP5 met 27dBi antenne voor een verbinding met IJsselstein, in combinatie met een MikroTik RB4011 router die zowel mijn internet verkeer als HAMNET verkeer routeert. Voor de eerste experimenten, of als je aparte computers op HAMNET wilt aansluiten die niet op je eigen lokale netwerk zitten, kun je de router weglaten en de computer rechtstreeks of via een switch op de WiFi link aansluiten.

Roaming

Er zijn nog wel eens amateurs die vragen of ze ook verbinding kunnen maken met een ander toegangspunt, bijvoorbeeld op vakantie, tijdens een contest, of voor een ander experiment. Dat is nu mogelijk met roaming op het Nederlandse HAMNET.

Tunnel

Heb je nog geen radioverbinding dan kun je voorlopig een internet tunnel aanmaken die je verkeer via je normale internet aansluiting doorstuurt naar deze gateway. Met zendamateurisme heeft het natuurlijk weinig te maken. Gebruik deze methode daarom alleen als overgangsmaatregel bijvoorbeeld als er nog geen toegangspunt in je omgeving is. Probeer samen met mede-amateurs een toegangspunt op te zetten of maak een radioverbinding naar een andere amateur die wel een HAMNET toegangspunt kan bereiken.

Het maken van een internet tunnel kan op dit moment op de volgende manieren:

  • OpenVPN
  • IPIP
  • IPsec
  • GRE
  • L2TP/IPsec
    •

    Echter op voorhand een waarschuwing: als je een internet aansluiting hebt bij een provider waar je verplicht bent hun bijgeleverde router te gebruiken waar je zelf (bijna) niks in kunt configureren, dan geven IPIP en IPsec vaak problemen. Als je geen grondige kennis van netwerken hebt dan wordt het nog lastiger. Met OpenVPN is het allemaal veel simpeler, maar met beperkingen. Met een aparte router "achter" je provider router kun je GRE en L2TP/IPsec gebruiken.

    OpenVPN
    Info hierover kun je in de hostsfile vinden. (vraag een certificaat aan bij het daar genoemde mail adres)

    Voordeel van deze methode is dat OpenVPN op een computer of handheld device gemakkelijk te installeren is, en dat het meestal meteen werkt zonder specialistische kennis met betrekking tot netwerken.

    Een beperking van een OpenVPN verbinding is dat je (per verbinding) maar 1 adres kunt routeren, en dat je via de OpenVPN verbinding alleen verkeer naar (en van) andere netwerk-44 (HAMNET) adressen kunt versturen.
    (dit zijn niet zozeer beperkingen van OpenVPN zelf, maar meer van de gekozen wijze van configuratie, die het voor de gebruiker gemakkelijk maakt)

    Bedenk dat je OpenVPN certificaat je een vast IP adres geeft en daardoor is het niet mogelijk om meerdere connecties tegelijk met hetzelfde certificaat te maken! Immers dan zou je hetzelfde adres op meerdere computers hebben! Dus let op dat je het certificaat maar op 1 computer gebruikt en niet per ongeluk de software meerdere keren start, want dan valt je verbinding dood tot je alle verbindingen verbreekt en er 1 opnieuw maakt. Als je de verbinding "niet netjes" afsluit dan moet je een paar minuten wachten voor je weer opnieuw verbinding maakt.

    Je kunt de benodigde software hier downloaden: https://openvpn.net/community-downloads/. Gebruik bij voorkeur versie 2.5 of hoger.

    Op Linux systemen (dus bijvoorbeeld ook op de Raspberry Pi) is er meestal al wel een kant en klaar pakket voorhanden wat je dan kunt installeren met bijvoorbeeld: 

    sudo apt-get install openvpn
    Je kunt het certificaat dan plaatsen in de directory /etc/openvpn waarbij je de extensie verandert van .ovpn naar .conf en dan wordt openvpn automatisch gestart bij opstarten.

    Let op: de OpenVPN implementatie op MikroTik routers is niet compatible met de configuratie die we gebruiken (ondersteunt alleen TCP).

    Let op: als je nog een OpenVPN file hebt die voor februari 2022 is afgegeven moet je even een nieuwe opvragen, want er is een nieuwe server.

    Let op: als je recente (na februari 2022) OpenVPN file het na een software upgrade ineens niet meer doet, open dan de .ovpn file in een editor (vi, notepad) en voeg onder de regel "key-direction 1" deze regel toe:

    tls-cert-profile insecure
    Het nu binnen een jaar alweer vervangen van alle certificaten om te voldoen aan de denkbeelden van de maintainers gaat me echt te ver! Vandaar deze optie (certificaten zijn 2048-bit RSA met SHA256 signature, maar dat is nu kennelijk alweer "too weak").

    IPIP
    Dit is de klassieke manier om systemen uit netwerk 44 onderling te verbinden via internet, en vindt zijn oorsprong in KA9Q NOS. Hiermee kun je ook subnetten routeren, en verkeer maken van en naar normale internet adressen. Echter het is wel altijd statische routering, je kunt hiermee niet een radio node in het netwerk van een fallback voorzien oid.

    Een IPIP tunnel is tegenwoordig het gemakkelijkst te realiseren op een Linux systeem of -router. Commerciele routers zoals Cisco, Juniper etc. zijn in de praktijk niet bruikbaar voor dit systeem, omdat ze het AMPR-RIP protocol niet ondersteunen. Voor MikroTik routers is er tegenwoordig wel een oplossing beschikbaar, zie http://www.yo2loj.ro/ onder Ham projects.

    Als je tussen het systeem waarop je IPIP wilt implementeren en het internet nog een router of modem/router hebt, controleer dan eerst of je daarin het IPIP protocol (dat is protocol 4, dus niet "poort" 4) kunt forwarden naar je systeem. Het kan zijn dat dit alleen mogelijk door al het onbekende verkeer te forwarden naar dat systeem ("DMZ host" instellen), en zelfs dan werkt het nog niet altijd goed.

    Wil je deelnemen aan het IPIP tunnel systeem, zorg dan dat je eerst per e-mail (dus NIET via portal.ampr.org!) een adres of subnet hebt aangevraagd en gekregen zoals bovenstaand omschreven, en registreer je daarna hier: AMPRNet Portal.
    Klik daar na inloggen op Networks, kies ons netwerk (44.137.0.0/16), op de volgende pagina weer op de link 44.137.0.0/16 en vul in het formulier de grootte van je subnet in (bijvoorbeeld /28), bij Description je call, en bij Notes geef je aan dat je je al aangevraagde subnet of adres wilt registreren (zet het adres er even bij). Vermeld ook of je wilt dat je subnet voor inkomende connecties vanaf internet adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is. Wacht nu tot dit is goedgekeurd en aan je account gekoppeld. Maak daarna een gateway aan en koppel het adres of subnet daar aan, en configureer je eigen systeem.

    Handleidingen voor het inrichten van je systeem voor deze IPIP tunnels (liefst met ampr-ripd erbij) kun je onder andere vinden op www.ampr.org. Kijk in de Wiki die je daar kunt vinden.

    De routes naar jouw systeem en naar de andere deelnemers in het IPIP net worden automatisch aangemaakt door ampr-ripd, maar je hebt zelf ook nog een route terug naar internet nodig. In de handleidingen vind je verwijzingen naar de centrale gateway bij UCSD voor dat doel (169.228.34.84), maar je moet de Nederlandse gateway 145.220.78.2 gebruiken als je een Nederlands adres hebt.
    Dit adres gebruik je dus als default gateway voor je tunnel voor uitgaand netwerk-44 verkeer.

    IPsec
    Heb je een commerciele router die VPN ondersteunt dan is het ook mogelijk om een IPsec tunnel te gebruiken. Hiermee heb je vergelijkbare mogelijkheden als met het IPIP tunnel systeem, alleen loopt wel al je verkeer via het gateway systeem (bij IPIP gaat het rechtstreeks naar de bestemming als die ook IPIP heeft). Voordeel is dat je het zonder apart Linux systeem werkend kunt maken, bijvoorbeeld op een Cisco router maar ook op bepaalde thuisrouters (ik heb het zelf getest op een Draytek 2860n+ en een MikroTik, maar op een Draytek werkt het alleen als je Draytek direct op internet zit dus NIET als die via een andere NAT router internet verbinding maakt!).

    Vereiste voor IPsec is dat je een vast adres op internet hebt, of dat je software een FQDN als identification kan meesturen in Phase1 (mode agressive). Om het aan te vragen stuur je een mail met

  • je internet IP adres (indien vast)
  • of je werkt met IPsec in een router die direct op internet zit of dat je de IPsec software op een systeem achter een NAT router draait
  • indien direct op internet, of je router het AH protocol (authenticated, not encrypted) ondersteunt
  • het 44-subnet wat je wilt routeren (wat je eerder aangevraagd hebt)
  • of je alleen naar HAMNET of naar heel internet wilt routeren (dwz of onze kant van de VPN voor 44.0.0.0/8 is of voor 0.0.0.0/0)
    • Vermeld in het laatste geval ook of je wilt dat je subnet, of een of meer adressen uit je subnet, voor inkomende connecties vanaf internet adressen buiten netwerk-44 (dus voor gewone internet gebruikers) bereikbaar is.

    Je krijgt dan een psk (pre-shared-key) die je in je router invult. Daarnaast vul je het adres van de gateway in (145.220.78.2) en je stelt de IPsec verbinding liefst in op AH tunnel (authenticated, not encrypted). Alleen als je router dit niet ondersteunt of als je IPsec vanaf een computer achter een NAT router gebruikt (NAT-T) kun je ESP tunnel instellen. Dit moet aan de gateway kant ook overeenkomstig ingesteld worden, vandaar de bovenstaande punten in de aanvraagmail.

    Als je naar heel internet wilt routeren moet je router uiteraard wel policy routing ondersteunen: verkeer vanaf je netwerk-44 subnet naar internet gaat via de VPN naar de gateway, verkeer vanaf je normale LAN adressen gaat naar je internet provider. Je moet dus routes kunnen instellen op grond van source adres, niet alleen op destination adres. Kan je router dat niet of weet je niet hoe dat moet, kies dan om alleen naar HAMNET te verbinden.

    GRE of L2TP/IPsec
    Behalve een IPsec tunnel is het nu ook mogelijk om een GRE of L2TP over IPsec transport verbinding te krijgen. Dit is met name bedoeld om access points "in het land" te koppelen aan de gateway door middel van een VPN, zodat je van start kunt met een access point zonder dat je al radio links met het HAMNET hebt. Die kun je later toevoegen.

    Bij deze mode is het nodig dat je een router hebt die BGP ondersteunt, want de routes die over de GRE of L2TP/IPsec tunnel lopen worden dmv BGP automatisch ingesteld. Daardoor kun je deze methode ook gebruiken om een fallback link toe te voegen aan een station wat in principe via radio gekoppeld is: als de radiolink het even niet doet wordt de tunnel gebruikt. Wil je dit doen overleg dan per mail.

    Hoewel het in principe standaard protocollen zijn die op iedere router hetzelfde zouden moeten werken, zijn er in de praktijk bij het door elkaar gebruik van verschillende merken problemen die lastig te debuggen zijn door heen-en-weer-mailen, zeker als je niet veel ervaring met deze materie hebt. Daarom kan ik alleen helpen bij gebruik van een router van MikroTik, een goede keuze is bijvoorbeeld de RB750Gr3 (hEX).

    Gebruik je een ander merk router dan moet je het zelf werkend kunnen maken. Een Draytek router heeft tegenwoordig ook BGP maar ik krijg het niet werkend. Het lijkt er op dat Draytek BGP verbindingen via een L2TP/IPsec VPN niet ondersteunt.

    Heb je een MikroTik router en is je configuratie op onze router aangemaakt dan kun je hier je call invullen en een kant-en-klare configuratie opvragen die je zo in je router kunt plakken:

    Routering

    Let wel op dat je moet kiezen tussen de beschikbare connectie methoden (dus nu een OpenVPN connectie, een IPIP of IPsec tunnel, of straks een HAMNET verbinding). Je kunt niet alles inschakelen en dan verwachten dat het allemaal gaat werken. Dus als je voor OpenVPN kiest dan geen IPIP tunnel aanmaken of deze inactief zetten, en als je naar IPIP gaat dan geen OpenVPN of IPsec meer gebruiken.

    Als je wilt checken via welke route je verbonden bent kijk dan hier (alleen vanaf HAMNET).

    Instellingen

    Als je verbonden bent met het netwerk via tunnel of radio dan kun je de volgende instellingen gebruiken:
  • Subnetmask en gateway: afhankelijk van je netwerk, zie de hostsfile
  • DNS: 44.137.0.1 en 44.137.0.2
  • NTP: 44.137.0.1

    • Combinatie met NAT

    Nu er steeds meer mensen hun systeem verbinden met een of andere vorm van tunnel, en hier vaak dezelfde router of computer voor gebruiken als waarmee ze ook verbinding maken met internet, is er een nieuw actueel probleem: er worden uitgaande packets gestuurd met een afzender adres in een van de bekende RFC1918 netwerken, bijv 192.168.0.0/16.
    Dit komt omdat er geen stricte scheiding is tussen de systemen met een AMPRNet adres (44.137.x.x) en de systemen met een RFC1918 adres, zoals bijvoorbeeld het geval zou zijn als er een aparte router gebruikt wordt.

    Het is echter wel mogelijk om het goed werkend te krijgen, en wel op twee manieren:

  • Plaats een filter op de interface van je AMPRNet tunnel, zodanig dat er alleen verkeer verstuurd kan worden met een afzender adres in je eigen 44.137.x.x subnet. Daarmee voorkom je dat de verkeerde packets naar buiten gaan, de verbinding die je probeert te maken (bijvoorbeeld van een computer met een 192.168 adres naar een webserver in het AMPRNet) lukt dan niet.
  • Zorg ervoor dat verkeer van je 192.168 adressen dat naar AMPRNet probeert te gaan eerst geNAT wordt naar het adres van je router. Dit kan bijvoorbeeld in een MikroTik router (of Linux computer) door in de Firewall NAT tabel een extra Masquerade rule toe te voegen met als source adres 192.168.0.0/16 (of het netwerk wat je als LAN netwerk gebruikt) en als output interface je tunnel interface. Het 192.168 adres wordt dan vertaald naar het adres dat je router heeft in HAMNET, en alles werkt (net zoals het bij je normale internet verkeer gebeurt).
    • Besteed hier aub wel de nodige aandacht aan want er komt steeds meer van dit soort "verdwaald" verkeer in het netwerk.

    Probeer om je HAMNET systemen gewoon een AMPRnet (44.137.x.x) adres te geven en niet via NAT te laten werken. We hebben adressen genoeg en NAT maakt het lastiger om het allemaal goed werkend te krijgen, zeker als je ook services aanbiedt. Op Internet is NAT een noodzakelijk kwaad, maar op HAMNET kunnen we zonder.

    Snelheid

    Om de snelheid te meten die je op he HAMNET verbinding haalt kun je gebruik maken van onze speedtest server door met je browser naar deze URL te gaan: http://speedtest.pi9noz.ampr.org.

    Rob - PE1CHL

    Last van verkeer vanuit 44.137.0.0/16?

    Krijg je veel verkeer of een portscan van allerlei adressen in de 44.137.0.0/16 range? Dat komt niet van ons. De systemen op dit netwerk maken weinig verkeer, maar het komt wel eens voor dat deze adressen door anderen dan de eigenaar misbruikt worden als gespoofed adres voor allerlei aanvallen. Daar is niets aan te doen, en zeker niet door ons. Als een adres geen reverse-DNS entry heeft dan is het zeker gespoofed. Alle geldige adressen binnen dit netwerk hebben een reverse-DNS entry!