RIPE NCC Ticket #20130709 aus dem September 2014
VPN Zugang zu den AS21158 193.109.132.0/23 IP-Adressen
Als ich am 30. Juni 2003 die msd, die outgesourcte EDV-Abteilung einer Personalberatung verließ weil die 50% Anteilseigner ihre Anteile an einen anderen Kunden vonmir veräußern wollten noch (je nach zählweise) zwei, respektive drei Kunden zusätzlich zur Bürogemeinschaft Louisenstraße 101 in Bad homburg IP-Adressen aus dem der Firme von der RIPE zugeteilten PI-Space IPv4 Netz. Sowas ist in der Praxis durchaus üblich, denken wir etwa an Hosting-Webserver die wegen des HTTPS SSL Ports 443 eigne IP-Adressen für jede Domain haben, da wird ja auch nicht ein Netz an den Kunden vermietet sondern jeweils eine auf einen etwa eine Webserver geroutete einzelne Adresse, ein Bereich der also kleiner ist als das per BGP minimal routbare /24 an den Kunden vergeben. Das ist rein RIPE-Vergaberechtlich also in Ordnung so. Bereiche < /24 werden bei PI-Space auch nicht separat dokumentiert, man stelle sich nur mal vor ein Massenhoster müsste in seine INETNUM-Objekten bei der Ripe die Nutzer jeder IP reinschreiben. Es gab Juni 2003 eine Interimslösung die den durch die Veräußerung der Anteile des bisherigen 50% Anteilseigners an eienen anderen Kunden als neuen Anteilseigner Umzug des Netzes an einen anderen Ort vorberietet hatte.
Danach zerstritten sich die Gesellschafter weil der Anteilsverkauf des einen Kudnen und Anteilseigners an den anderen Kudnen der neuer Anteilseigenr werden sollte wegen so wurde mir mitgeteilt überzogenen Preisvorstellungen nicht zustande kam. Damals entstanden für die Interimslösung hohe Kosten, fünfstellige Eurobträge monatlich. DiesKosten wiegerte man sich nun zu übernehmen, ich blieb darauf sitzen. Weil die Rechnungen nicht mehr bezahlt wurden wurde das Netz dann irgendwann nicht mehr per BGP announct, das kann man inden historischen Daten der RIPE sehen. Nachdemd as Netz 10 Jahre nicht merh announct worden war hat die Ripe es gelöscht, das habe ich aber gesehen und Beschwerde eingelegt. Meiner Beschwerde wurde stattgegeben, ich bekam – als Privatperson - das Netz zurück-zugteilt unter der Auflage den Juni 2003 noch verblieben gewesenen Kunden ihren damals genutzten Adressraum < /24 (per VPN und so ge-wüsncht multihomed BGP) zugänglich zu machen wenn ich das Netz per BGP announcen würde. Hierfür sollen die zurehcnbaren Unkosten die die mir AKTUELL enstehen, das sind zur Zeit zwischen isngesamt 30 und 50 Euro monatlich (je ob man die notwenigen Aufwendungen für IPv6 PI-Space und Reverse-DNS Domäne mit einrechnet) anteilig druch die Nutzer übernommen werden. Da hier keinerlei Gewinnerzielunsgabsicht besteht sondern nur Kosten anteilig durchgreicht werden wie bei Privatpersonen die sagen wir eine Sammelbestellung für ewtas machen für das sie sich die Kosten teilen handelt es sich bei den Nutzern um einen Verein im Sinne des BGB, keine GBR. Es handelt sich also um eine Nutzergemeinschaft deren Mitgldier-Mitspracherecht sich nach der Zahl der genutzten/IPs und der Größe des früheren Geschäfstanteils bestimmt.
Neue Mitglieder also solche die Ende Juni 2003 (noch) keinen Adressraum (oder keinen mehr) hatten werden nicht aufgenommen. Um die Möglichkeiten des PI-IPv4-Adresspace und das AS voll ausreizen zu können habe ich ihn auf zwei/drei Servern aufgeroutet die mehr als 100 km voneiander entfernt bei unetrscheidlichen Providern in unterschiedlichen Rechenzentren stehen und dafür gesorgt daß diese miteinander Routen/Traffic austauschen den sie für den/die jeweils anderen Zugangsknoten erhalten (das ist der Knackpunkt, sonst klappt es nicht). Für den VPN Zugang zum Netz habe ich – der als Hobby und zu Fort-udn Weiterebildungszwekcen auch an seiner eignen LFS basuerten Linux Distribution bastelt – mehrere Test-Setups gemacht, aus dneMeiden bekanntste dürfte der dreifach angebundene EZB Proxy sein mit dem die das funktioneiren der ausfallsicheren multihomed iBGP Anbindung an mehrere Zugangsknoten bei hoher Trafficlast von ca. 1TB/Monat eindrucksvoll demonstriert wird. Ich habe OpenVPN/iodine/HTTPtunnel/Vtund/Softether-VPNs auf Basis von zuerst x86 und dann stromsparender ARM Hardware (RaspberryPI) getestet, für schwierige Zugangsbedingugen hinter restriktiven Firewalls (etwa in Firmen/UMTS-netzen) auch per Tunnel über udnd ruch DNS/HTTP. Und ich habe virtuelle Maschinen Virtualbox/Vmware Client/ProxMox aufgesetzt. Die Nutzer können es sich aussuchen, ich empfehle als Hardwarebasis einen (zuerlässigkeit untre hoherlast am DeCIX Standort Interxion getestet) stabilen/stromsparenden BananaPI Router (für diejenigen die sich in Unkosten von ca. 100 Euro/Stück einmalig [siehe conrad.de] stürzen wollen) oder einen RaspberryPI Zero mit ENC28J60 Ethenet für etwa 20-25 Euro/Stück einmalig [siehe conrad.de] als Minimallösung.
Ich habe die Ethernet-Bridges so aufgesetzt daß sie per RJ45-Ethernet, 802.11b/g Wifi und UMTS arbeiten, das bedeutet man hat ein Gerät das, sobald der Ethernet-Stecker zum Router gezogen wird nahtlos per WIFI weiter die gerouteten IP-Adressen auf dem zwoten Ethernetprt bereitstellt und sobald man den Empfangsbereich des heimsicen WLANs verläßt springt (wieder nahtlos) das UMTS ein (ich empfehle als Hardware einen Stick von Huawei) und sorgtdafürdaß die IP witre erreichba ist und das ist nur die Ausfallsicherheit zu einem VPN-ZugangsServer/Knoten hin. Per BGP hat man genau diese Ausfallsicherheit mehrfach weil auch der VPN-Server üder den der Zugang erfolgt selbst ausfallen darf, dann wird binnen Sekunden einfach ein anderer VPN-Zuganangsserver genutzt. Und alles ohne daß sich die öfftliche IP-Adresse jemals ändert was stabilen Serverbetrieb möglich macht.
http://lg.as21158.net
[0] "202008290700-0-1.jpg"
[1] "202008290700-0-2.jpg"
[2] "202008290700-0-3.jpg"
[3] "202008290700-0-4.jpg"
[4] "202008290700-0-5.jpg"
