Von freiem WLAN und geschenkten Gäulen

Ich twitterte es schon: das »gratis WLAN« des Urlaubsortes … läßt Wünsche offen.

In den vergangenen Jahren – unterwegs mit unserem Trigano, einem Klappzeltanhänger – habe ich mir um Internetzugang im Urlaub keine großen Gedanken gemacht: die Netze im Zielland Italien kenne ich mittlerweile, und nach dem dritten Italien-Urlaub in Folge, in 2013, hatte ich eigentlich alles vorbereitet: die Prepaid-SIMs wurden vor der Rückfahrt minimalst aufgeladen, um nicht jedes Jahr neue SIMs jagen zu müssen, sondern die vorhandenen weiter nutzen zu können. Auch meine Drei-SIM aus Österreich, mit »Roam like Home«-Feature – buche IP in Österreich und nutze es auch in Italien oder Großbritannien – hatte ich immer mal wieder aufgeladen und zwischendurch genutzt.

Der vorreservierte Urlaub 2014 fiel dann aber dem »Familienzuwachs« in Form eines Hundes zum Opfer, statt 4 Wochen Italien wurden es 4 Wochen Gütersloh, für die Grund­er­ziehung des Welpen.

Und im Sommer 2015 trauen wir uns noch nicht, mit dem dem kleinen Hundchen – was mittlerweile eine ausgewachsene Altdeutsche Schäferhündin ist – zu zelten, wir suchten statt dessen in Holland eine hundefreundliche, feste Unterkunft.

Gesucht war also eine Unterkunft, mit Inter­net-Zu­gang, vor­zugs­wei­se als In­klu­siv­leist­ung.

Sonderlich schwer zu finden war derlei nicht; außerhalb Deutschland sieht man das Internet weniger als Gefahr für den Rechtsstaat, wie es in Deutschland (Stichwort: Störerhaftung) eingestuft wird.

Foto

WLAN ›auf dem Land‹

Der Teufel allerdings, wie wir nach Ankunft festzustellen hatten, steckt im Detail. Sicher, es gibt WLAN-Zugang; nur nicht in der Unterkunft mit handelsüblichen Geräten — die Access-Points sind einfach zu weit weg, als daß die kleinen Funken sie sinnvoll erreichen könnten :-( Auch ist der Uplink … nur ein Anschluß auf ADSL-Basis, dementsprechend z. T. die Datenraten. Drittens ist der Zugang massiv kastriert: über UDP dringt gar nicht nach außen (auch nicht DNS; z. B. zu 8.8.8.8), TCP ist ebenfalls auf Web & Mail, jeweils in der nackten und der SSL-Variante, beschränkt: SSH oder whois werden, wie UDP, auf dem ADSL-Gateway geblockt :-(

root@WiFi-AP-NL:~# traceroute mail.uu.org
traceroute to mail.uu.org (192.251.226.42), 30 hops max, 38 byte packets
 1  192.168.2.1 (192.168.2.1)  5.410 ms  2.528 ms  3.587 ms
 2  192.168.178.1 (192.168.178.1)  12.219 ms  4.021 ms  3.251 ms
 3  a83-160-117-8.adsl.xs4all.nl (83.160.117.8)  3.672 ms !A  3.066 ms !A  2.885 ms !A

Ja, die 178.1 ist eine FritzBox, und leider auch die einzige Kiste, die intern DNS-Anfragen beantwortet; als »Kunde« von 192.168.2.1 bekommt man zwar 192.168.2.1 als Nameserver zugewiesen, nur löst der nüscht auf. (Update: seit dem Monatswechsel klappt das endlich.)

ICPM-Pakete werden immerhin durchgelassen. Leider mit ca. 20% Packetloss …

--- 192.251.226.11 ping statistics ---
100 packets transmitted, 80 received, 20% packet loss, time 99174ms
rtt min/avg/max/mdev = 30.541/367.439/1728.836/355.464 ms, pipe 2

… deutlich zu viel für einen OpenVPN-Tunnel auf TCP-Basis. Vor lauter Retransmits passiert nicht mehr wirklich was :(

Der Effekt wäre bei UDP weniger schlimm, aber, wie gesagt, UDP wird geblockt, wie auch IPSec; also weder kann eine FB sich zu einer anderen FB verbinden, noch mein Nexus 4 zur FB in Berlin. Allerdings sprechen auch die Latenzen eine deutliche Sprache — gegen die Nutzung jenes WLANs. Allein, es mangelt gravierend an Alternativen: KPN bietet »unlimitiertes Internet« (0,1/0,06 MBit/sec Down/Up) für 7,50/Monat an, Vodefone 1 GB (7,2/2 MBits/sec Down/Up) für 10,– (SIM mit 1 GB Volumen initial 17,50, lt. Shop jedes weitere GB 20,–, lt. Internet 10,– für 1 GB; online aufladen scheitert aber praktischerweise am fehlenden Eingabefeld für die »Provinz«, welches für jedes Herkunftsland außer Holland zwingend ist. Packt man per Browserextension da »NRW« rein, scheitert es dann angeblich am Kreditkartenunternehmen; ein Schelm …) — und dabei hat sich der Trafficbedarf der Familie deutlich weiterentwickelt. Hielten 5 GB 2013 in Italien noch rd. 2 Wochen (was täglich rd. 360 MB entspräche), war hier das erste GB nach zwei Tagen (entspricht ca. 500 MB/Tag) ›durch‹. Hrmpft; 5 EUR/Tag sind also als »Internet-Aufschlag« für die Niederlande einzurechnen, das ist nicht wirklich schön :-( Und daß Vodafone 3 GB für 20,– EUR nur für Laufzeitvertragskunden abbietet … ist ebenfalls auch nicht nett. Der »Roaming-Durch­bruch«-Dünn­sinn, den ›unser‹ EU-Kommissar Oetinger in Brüssel derzeit feiern läßt, hat mit der Realität jedenfalls nichts zu tun. Anyway …

Diverse Experimente ergaben, daß ICMP oder auch UDP-lite nicht geblockt werden. Leider aber sind auch dort Loss und Jitter z. T. erheblich, im direkten Vergleich kaum besser als direkt:

--- mail.uu.org ping statistics ---
100 packets transmitted, 79 received, 21% packet loss, time 99203ms
rtt min/avg/max/mdev = 69.811/320.743/858.158/190.442 ms

Im Vergleich der zeitgleiche Ping durch den ICMP-Tunnel:

--- 10.2.3.1 ping statistics ---
100 packets transmitted, 79 received, 21% packet loss, time 99139ms
rtt min/avg/max/mdev = 73.029/304.501/802.874/171.737 ms

RTT und Loss sind vergleichbar, die Nutzung eines Squid hinter der Verbindung wenig hilfreich :-(

Screenshot

Wenn’s mal länger dauert …

Unter 20% Paketverlust kam ich nur kurz am 1. Juli; es hat fast den Anschein, als würde xs4all ab einem bestimmten Volumen den Traffic shapen, denn während am 1. Juli plötzlich sogar der Tatort-Download von Sonntag endlich funktionierte (die »Sen­de­zeit­be­schränk­ung« auf nach 20 Uhr ist hier definitiv nicht hilfreich :(), dümpelt spätestens seit dem 3. Juli wieder alles nur noch so vor sich hin :(

UDP-Lite-Traceroute von Sonntag, den 5. Juli:

traceroute to ns.uu.net (137.39.1.3), 30 hops max, 60 byte packets
 1  198.51.100.1 (198.51.100.1)  3.185 ms  4.792 ms  6.434 ms
 2  192.168.77.1 (192.168.77.1)  9.498 ms  22.156 ms  22.268 ms
 3  * 192.168.2.1 (192.168.2.1)  1597.627 ms  1605.910 ms
 4  192.168.178.1 (192.168.178.1)  1615.413 ms * *
[…]
 7  * asd2-rou-1043.NL.eurorings.net (134.222.93.144)  457.207 ms  465.028 ms
[…]
13  207.18.172.234 (207.18.172.234)  331.336 ms *  695.628 ms
14  137.39.1.3 (137.39.1.3)  755.872 ms !P  774.916 ms !P  783.488 ms !P

Inter­net­zu­gangs­set­up Ende Woche 1: 841 als Up­link ins WLAN, FritzBox für Te­le­fo­nie via KPN-GSM, GL-iNet als AP mit po­li­cy-ba­sed Rout­ing.

Inter­net­zu­gangs­set­up Ende Woche 1: 841 als Up­link ins WLAN, FritzBox für Te­le­fo­nie via KPN-GSM, GL-iNet als AP mit po­li­cy-ba­sed Rout­ing.

Es bleibt unklar, ob der WLAN-Link zwischen .2.1 und 178.1 so überlastet ist, oder aber die Internet-Anbindung hier SOS funkt, aber nutzbar ist jedenfalls anders — das WLAN taug nicht einmal zum Bearbeiten von WordPress-Beiträgen :(

Lessons learned: WiFi am Zielort mag existieren; gut beraten ist, wer vorsorgt. Die FritzBox war geplant eigentlich als Accesspoint für unsere Geräte, der 841 war als Longrange-Accesspoint gedacht (WLAN auf einem größeren Areal kann ja vieles bedeuten). Effektiv war das so aber nicht nutzbar, denn, wie gesagt, das Platz-WLAN ist zu unterirdisch und mit dem fehlenden IPSec-Tunnel zu den heimischen FritzBoxen war für Telefonie ein Plan B notwendig. Dieser ist hier das »unbegrenzte« Prepaid-Internet von KPN, und um ggf. die zu schlechte WLAN-Leistung damit zu kompensieren (man stelle sich vor, Dual-ISDN ziehe man einer DSL-Verbindung vor — wie schlecht muß dann der DSL-Zugang sein?), dient statt der FritzBox ein GL-iNet 6416A mit OpenWRT als Access Point. Dort kann dann über iptables-Markierungen z. B. SSH auf den Mobilfunk-Link umgebogen werden, sodaß auch SSH nutzbar wird. Auf Tunnel durch das Platz-WLAN wird aus Performancegründen verzichtet, dazu ist das Netz einfach zu schlecht.
Initial war geplant, den KPN-Zugang nur für Unterwegs zu nutzen und am Platz HTTP über Vodafone zu machen; allein, nach 2 Tagen war das erste GB aufgebraucht, und das, obwohl nur HTTP & HTTPS darüber geschickt wurde — offensichtlich sind viele Apps de facto nur Nutzer von HTTP[S]-APIs, und mit den grade hippen Sprachnachrichten via WhatsApp haben wir natürlich unleich mehr Traffic als bei reinen Textnachrichten *sigh*.
Daß ein WLAN z. B. keinen UDP- oder IPsec-Traffic durchlassen könnte, darauf war ich ehrlich gesagt absolut nicht vorbereitet; bzgl. IPsec bestätigt das meine Vorbehalte gegen jenes Protokoll (zu einfach zu sperren anhand der eigenen IP-Protokoll-Nummer); daß aber jemand jeglichen UDP-Traffic blocken könnte, auf die Idee bin ich schlicht vorher nie gekommen. Für die Zukunft wird ein ICMP- und ein raw-IP-Tunnel vorbereitet sein, für den Fall, daß denn auch SSH blockiert wird — ein weiteres Detail, was ich bislang für undenkbar hielt. Lesson learned.