Die Odyssee zum Hamnet-Zugang

Zunächst: Was ist überhaupt das Hamnet

Das Hamnet, auch Network 44 genannt, ist ein von Funkamateuren betriebenes IP-basiertes Netzwerk, welches den IP-Adressbereich 44.0.0.0/8 zugewiesen bekam. Zwischenzeitlich haben sich Individuen mit Dollarzeichen in den Augen daran bereichert, ein Viertel des 44.0.0.0/8 für einen Spottpreis an Amazon zu verscherbeln und damit erhebliche Kollateralschäden zu verursachen. Von der zwangsweisen Migration komplexer Netzwerke wie unter anderem dem kompletten deutschen Hamnet bis zu Hürden wie unschönes Subnetting und damit verbunden deutlicher Mehraufwand, etwa bei VPN-Tunneln gab es durchaus bessere Ideen. Hieran sieht man, dass Geldgier und Korruption auch in Kreisen der Funkamateure nicht unverbreitet sind. Jedenfalls besteht das Hamnet derzeit noch aus den Bereichen 44.0.0.0/9 und 44.128.0.0/10.

Sinn und Zweck des Hamnets ist es natürlich, ein von den klassischen, kommerziellen Übertragungswegen unabhängiges Netzwerk aufzubauen. Hierfür wird in der Regel mit Richtfunkverbindungen zwischen ohnehin exponierten Relais-Standorten gearbeitet. Dabei wird gerne wird hier auf das 6-cm-Band oder das 13-cm-Band zurückgegriffen, da es hier Überschneidungen mit den WLAN-Bereichen gibt und der Funkamateur auf leicht erhältliche Hardware zurückgreifen kann, die dann im Rahmen der Möglichkeiten eines Funkamateurs aufgebohrt werden kann. Zur Einordnung: Ein 2,4-GHz-WLAN darf mit maximal 100 mW Isotropleistung strahlen. Diese Amateurfunk-Linkstrecken dürfen mit 15.000 mW Leistung über (ca. 25.000 mW Isotropleistung) und mit Begründung mit bis zu 100.000 mW (ca. 164.000 mW Isotropleistung) betrieben werden (also . Damit erreicht man etwas mehr als mit den „freien“ 100 mW im 2,4-GHz-Band. Dafür dürfen auf der anderen Seite maximal 10 MHz Bandbreite belegt werden (im Vergleich: Seit 802.11ac werden bis zu 160 MHz für WLAN verwendet).

Da das Hamnet ein Teil des Amateurfunkdienstes ist, gelten hier entsprechend auch die gesetzlichen Anforderungen. Dies sind im Wesentlichen folgende drei:

  1. Zugang dürfen nur Funkamateure, also Amateurfunker mit Zulassung zum Amateurfunkdienst, haben.
  2. Die Inhalte dürfen nicht verschlüsselt werden, es sei denn, es handelt sich um Steuerverkehr. Sie müssen auf bekannten Protokollen basieren.
  3. Der Verursacher von Funkverkehr muss sein Rufzeichen nennen.

Diese Punkte stellen besondere Anforderungen an das Hamnet. Der erste Punkt etwa bedeutet, dass 44er-Adressen nicht aus dem regulären Internet aus erreicht werden dürfen. Das Hamnet ist also ein Netzwerk, welches abgeschottet vom Internet betrieben wird, und ausschließlich Funkamateure können Adressen im Hamnet erreichen. Die einzige Ausnahme stellt den Fall dar, bei dem durch strikte Firewalls sorgsam dafür gesorgt wird, dass keinesfalls ein aus dem Internet stammendes Paket einen Weg in das Hamnet findet, also beispielsweise auf Richtfunkstrecken übertragen wird. Nur dann darf eine 44er-Adresse aus dem Internet erreicht werden.

Der zweite Punkt bedeutet, dass lediglich unverschlüsselte und standardisierte Protokolle verwendet werden dürfen. Websites im Hamnet dürfen beispielsweise lediglich via HTTP zugänglich sein. In wieweit hierüber eine sichere Authentifikation ermöglicht werden kann und ob der Passus in der neuen Amateurfunkverordnung, welche verschlüsselten Steuerverkehr ausnahmsweise zulässt, hierfür verwendet werden kann… dies sind spannende Fragen.

Der dritte Punkt ist besonders interessant. Eigentlich muss das Rufzeichen bei Beginn und Ende einer Amateurfunkverbindung genannt werden sowie mind. alle 10 min. Schon im Digitalfunk ist man aber dazu übergegangen, sich darauf zu berufen, dass etwa im Falle von C4FM das Rufzeichen bei jeder Sendung übermittelt wird, bei DMR die DMR-ID über radioid.net mit dem Rufzeichen verknüpft ist. Blöd nur, wenn etwa der C4FM-Repeater im AMS läuft und FM aussendet. Oder jemand eine DMR-FM-Bridge gebaut hat. Und im Hamnet müsste beispielsweise jede HTTP-Anforderung und jede HTTP-Antwort im Header das Rufzeichen beinhalten. Die Absender-IP-Adresse reicht hierfür nicht, da diese durchaus auch dynamisch sein darf. Da die meisten Dienste im Hamnet eine Domäne enthalten, die das Rufzeichen des Relais, an dem sie angeschlossen sind, beinhalten, könnte man wohl hier von der Einhaltung der Pflicht zur Rufzeichennennung ausgehen.

Wie so oft, gerade im deutschen Recht, sind Gesetze und Vorschriften nicht kompatibel mit der Realität und werden so für diesen Bereich arg phantasievoll interpretiert und gebogen. Alleine die Idee, das ich eine Aussendung unter Nennung meines Rufzeichens mache, diese Aussendung von einem Relais in Kiel aufgenommen und wieder verteilt wird, was von einer Bridge aufgenommen wird, die über das Hamnet, also über diverse Richtfunkstrecken die Sprachdaten verschickt und in Süddeutschland wieder ausstrahlt, was ein münchener OM mit seinem Shack-Funkgerät aufnimmt und via Crossband-Repeater an sein Handfunkgerät im Garten übermittelt… und am Ende bin aber ich irgendwie der verantwortliche Sender. Völliger Nonsense.

Meine Odyssee ins Hamnet

Nachdem ich nun ausführlichst vom Hamnet gesülzt habe, hier meine Odyssee, wie ich zu einem Zugang zum Hamnet kam:

Es gibt zwei Möglichkeiten, Zugang zum Hamnet zu erhalten:

Den echten Weg über einen sogenannten User-Zugang. Dies ist im Grunde ein WLAN-AP auf einem Relais, mit dem man sich von zu Hause aus verbinden kann. Die technischen Hürden hierfür sind jedoch recht hoch: Man braucht passende Hardware, eine ideale Antennenposition, ein direktes Sichtfeld zum Relais und gutes Wetter. Ach ja, und überhaupt erst einmal ein Hamnet-Relais mit User-Zugang in der Nähe. Diese Bedingungen sind bei mir nicht gegeben.

Der unechte Weg führt über einen VPN-Tunnel zu einem Knoten im Hamnet. Hier wird über das öffentliche Internet eine VPN-Verbindung zu einem Server aufgebaut, welcher einen Zugang zum echten Hamnet hat. Dies war für mich das Mittel der Wahl.

VPN-Zugänge ins Hamnet sind rar. Ich habe in all den Monaten lediglich zwei Angebote gefunden, die einigermaßen solide aussahen: Das der RWTH Aachen und das vom AMPR direkt.

Der Zugang via RWTH Aachen ist relativ schlecht umgesetzt. Man soll hierfür ein Formular ausfüllen und wird mehrfachst penetrant angehalten, während der angekündigt tagelangen Wartezeit auf manuelle Prüfung eine „Spende“ zu entrichten. Die erste Hürde ist Stand heute (31.07.2027) ein abgelaufenes X.509-Zertifikat. Der Webbrowser warnt alarmistisch, dass die Website unsicher sei und nicht besucht werden sollte. Das Formular selbst hat bei mir auf mehrfachen Versuch stets unsinnige Fehlermeldungen geschmissen, dass ich mindestens eine Datei mit der Lizenzurkunde hochladen müsse. Nun, das habe ich getan. Doch das Formular bietet den Upload von 3 Dateien an, was völlig unsinnig ist, denn die Lizenzurkunde hat nur 2 Seiten. Selbst wenn man zu doof ist, die Seiten in eine gemeinsame Datei aneinanderzufügen, sind 2 Uploads ausreichend. Als ich dann zweimal eine 1px-mal-1px-Datei in die beiden verbliebenen Upload-Felder einfügte, erhielt ich eine echte Bestätigung, dass das Formular abgesendet wurde und ich meine E-Mails prüfen solle zwecks Validierung. Das ist jetzt schon einige Tage her. Vielleicht bekomme ich ja noch eine Zugang, auch ohne nahegelegte „freiwillige Spende“. Denn ich spende zwar gerne an gemeinnützige Projekte. Aber bitte erst, wenn ich mir ein Bild machen konnte. Und dann mag ich es nicht, wenn ich alle zwei Sätze darauf hingewiesen werde, dass ich gefälligst zu spenden habe. Übrigens: Falls ich an Zugangsdaten kommen sollte, so wird das antiquierte PPtP eingesetzt. Die Zugangsdaten werden also ungeschützt durchs Internet posaunt. Nicht gerade State of the Art im Jahre 2023. [Update: Am 23.08.2023 kam dann eine Mail mit Freischaltungsbestätigung. Und erneut eine eindringliche „Bitte“ um Geld.]

Das Angebot vom AMPR wirkt auf dem ersten Blick solider. Auf dem ersten. Hier wird man nicht penetrant zu einer total freiwilligen Spende gedrängt und die Websites haben zumindest ein gültiges X.509-Zertifikat. Als Authentifizierung wird hier nicht eine manuelle Prüfung vorgenommen, sondern es wird sich darauf verlassen, dass wahlweise der DARC oder die ARRL eine vernünftige Validierung der Zulassung zum Amateurfunkdienst vornehmen. Da ich kein DARC-Mitglied bin, entschied ich mich für den ARRL-Weg und lud mir die LoTW-Software TQSL herunter. Diese bietet einen Wizzard, um ein Zertifikatsrequest zu erzeugen, welches nach Validierung der Lizenzurkunde signiert würde. Hier muss man als Deutscher allerdings wissen, dass man nicht in „Germany“ lebt. Denn „Germany“ wurde vor vielen Jahren aufgelöst, sagt LoTW. Man lebt in der „Federal Republic of Germany“. Eine Hürde, die nicht hoch ist, aber man muss erst einmal darauf kommen, wenn man ganz selbstverständlich versucht, „Germany“ zu verwenden. Hat man dann den Scan der Lizenzurkunde nebst Scan vom Personalausweis (Was soll schon Datensparsamkeit? Wer nichts zu verbergen hat, hat auch nichts zu befürchten!) hingeschickt, erhält man recht rasch nach manueller Prüfung sein Zertifikat. Hiermit soll man sich nun auf einer Website, bei der man sich mit diesem Zertifikat anmeldet, welches man erst aus TQSL exportieren und dann in Betriebssystem bzw. Browser importieren muss, seinen VPN-Zugang selbst anlegen. Blöd nur, dass die Website nicht funktionierte. Sie hatte eine fehlerhafte TLS-Implementierung. Nach ein paar Tagen und stetig neuen Versuchen klappte es dann auf einmal. Ich konnte mir Zugangsdaten für das recht moderne IKEv2-Verfahren anlegen. Angekündigt werden Wireguard und OpenVPN. Deutlich moderner als das PPtP aus Aachen. Dass man hierfür aber nicht nur oberflächliche IT-Kenntnisse haben muss, dass man sich Software von einem anderen Anbieter installieren und mit X.509-Zertifikaten jonglieren muss, das könnte für den einen oder anderen eine deutlich zu große Hürde darstellen. Witzigerweise meldete das Portal bereits ein Tag nach der erfolgreichen Account-Erstellung stets „Service Unavailable“ und dies hält bis heute (31.07.2023) mindestens an. Ich hatte also richtig Glück, genau den Zeitpunkt erwischt zu haben, an dem die TLS-Probleme beseitigt waren und bevor der Dienst offline ging. [Update: Am 02.08.2023 lief es dann wieder] Nun habe ich einen IKEv2-Zugang zum Teilnetz 44.128.0.0/10 und damit zu einem Drittel des Hamnets. Leider bleibt mir der Zugang zu den restlichen zwei Dritteln weiterhin verwehrt, weshalb ich die Bemühungen noch nicht aufgebe. Aber einen Teilerfolg konnte ich erringen. Und immerhin ist der Bereich des deutschen Hamnets (44.130.0.0/16 und 44.148.0.0/15) abgedeckt.

Nun, nach harter Arbeit und einigen Facepalm-Momenten, habe ich zumindest zu einem Teil des Hamnets einen VPN-Zugang. So wirklich empfehlen kann ich keinen der beiden VPN-Anbieter. Beide sind sie technisch ziemlich unsauber gelöst und während der eine megaaufdringlich um Bezahlung bettelt, ist der andere recht aufwendig und für Laien kompliziert, bietet außerdem nur ein Drittel des Hamnets an.

Amateurfunk und DOCSIS

Ich hatte schon länger das Gefühl, dass meine Funkaktivitäten einen negativen Einfluss auf meinen Internetzugang hat. Also habe ich dies mal reproduzierbar ausprobiert.

Sende ich mit 5 Watt VHF, hat dies keinen allzu großen Einfluss auf die Internetverbindung.
Sende ich mit 15 Watt VHF, tritt ein signifikanter Paketverlust auf; die Internetverbindung ist nur noch rudimentär brauchbar.
Sende ich mit 50 Watt VHF, fällt die Internetverbindung vollständig aus und braucht eine ganze Weile, sich zu berappeln.

Die große Preisfrage ist nun also: Liegt dies an der Hausverkabelung oder erfüllt das Vodafone-Gerät nicht die erforderliche EMV.

Es kann gut sein, dass mein Internetzugang hier auch besonders empfindlich ist, denn seit vor Monaten eine nicht angekündigte, halbtägige „Wartung“ stattfand, schwankt die Internetverbindung zwischen gerade noch brauchbar und Totalausfall. Vodafone eben. So habe ich im Mittel ohne Funkverkehr über den letzten Monat einen Paketverlust von 4,17%, was vielleicht nicht viel klingt, doch dies betrifft eben auch die Nachtzeit, bei der der Leitung nichts abverlangt wird, während es tagsüber umso schlimmer ist. Für Echtzeitverbindungen absolut undenkbar, selbst VPN-Verbindungen handeln neu aus. Fakt ist, dass ich sehr froh bin, ein LTE-Backup zu haben, da ich ansonsten nicht im Home-Office arbeiten könnte. Und auch keine Festnetztelefonie betreiben könnte. Oder Online-Spiele spielen könnte. Ich schweife ab.

In der nächsten Zeit werde ich einmal untersuchen, ob ich mit Mantelwellenfilten und Schirmungen etwas erreichen kann. Gerade habe ich auch ein neues, möglichst kurzes und hochwertiges Antennen-Kabel geordert (ausnahmsweise mal 75 Ohm). Wohl dem, der einen Glasfaseranschluss oder zumindest eine gute VDSL-Leitung hat (letzteres bei mir leider mangels galvanischer Trennung nicht möglich).

„WiresX Passthrough“ und YSF2DMR

Da die Funktion des Switches „WiresX Passthrough“ relativ undurchsichtig beschrieben wird, hier einmal, was ich dazu herausgefunden habe, insbesondere in Kombination zur YSF2DMR-Funktion:

Wenn der Pi-Star mit keinem YSF-Reflektor verbunden ist, bietet er einem angeschlossenen Funkgerät auf Nachfrage eine Kanalliste an. Diese ist identisch mit derjenigen, die auch im Pi-Star-Dashboard angeboten wird. Es ist also problemlos möglich, ohne Login im Pi-Star-Dashboard alleine mit dem Funkgerät auszuwählen, mit welchem YSF-Reflektor sich der Pi-Star verbinden soll. Tolle Sache.

Doch manche YSF-Reflektoren haben ihrerseits Kontrollmechanismen, die über denselben funktionieren wie die Auswahl des YSF-Reflektors auf dem Pi-Star. Hier kommt die Option „WiresX Passthrough“ ins Spiel. Wird, nachdem ein YSF-Reflektor verbunden ist, nach Räumen gesucht, so wird die Suchanfrage nicht vom Pi-Star selbst beantwortet, sondern an den YSF-Reflektor durchgereicht und von diesem beantwortet. Wird die Verbindung zum Reflektor getrennt, antwortet beim nächsten Mal wieder der Pi-Star selbst.

Besonders relevant ist dies bei der YSF2DMR-Funktion. Denn DMR bietet seinerseits eine Vielzahl an Räumen, Talkgroups genannt. Bei deaktivierter „WiresX Passthrough“-Funktion muss der Nutzer diejenige Talkgroup verwenden, die voreingestellt ist. Wird jedoch „WiresX Passthrough“ aktiviert, wird nach der Verbindung mit dem virtuellen Reflektor „YSF00002“ statt eine Liste der Reflektoren eine Liste von Talkgroups ausgegeben. So kann der C4FM-Nutzer den Pi-Star nicht nur anweisen, eine Brücke in die DMR-Welt zu bauen, sondern auch die dort verwendete Talkgroup bestimmen. Auch hier kann nach einem Trennen der Verbindung beim nächsten Mal erneut ausgewählt werden, welcher YSF-Reflektor verwendet werden soll.

Der zweite Pi-Star ist da

Bisher betrieb ich einen Pi-Star, also einen Raspberry Pi mit MMDVM-Dual-Hat-Modem, welches einen HotSpot als Schnittstelle zwischen Internet-vermittelten Leitungen und Funk für u.a. die Funkstandards DMR, C4FM und D-Star bereitstellt. Dieser eine Pi-Star hat den Zugang zu drei DMR-Netzwerke (mit TG-Rewrites und Zeitslot-Verteilung) bereitgestellt: Zwei kleinen privaten DMR-Projekten und einem Brandmeister-Zugang.

Da ich nun aber auch ein C4FM-fähiges und ein D-Star-fähiges Gerät im Hause habe, jedoch keine Relais hierfür in Reichweite, habe ich einen weiteren Pi-Star angeschafft. Natürlich hätte der erste auch C4FM und D-Star abhandeln können, doch dieser ist mit dem Zugang zu 3 DMR-Netzen bereits ausgiebig ausgelastet, sodass eine saubere Trennung sinnvoll ist.

Heute kam nun also mein neuer Pi-Star an und es ging an die Einrichtung. D-Star fiel ziemlich aus der Tüte, doch C4FM bekam ich einfach nicht zum Laufen. Erst spät kam mir der Einfall: C4FM kann auf dem Funkgerät sowohl in üblicher 12,5-kHz- als auch 25-kHz-Deviation betrieben werden. Nun stand mein Funkgerät auf „Narrow-FM“, während der Pi-Star per Default mit 25 kHz Deviation läuft. Dies lässt sich in den „Expert“-Einstellungen des „MMDVMHost“ in der Sektion „System Fusion“ mit dem Schlüssel „LowDeviation“ ändern. Anders herum, nämlich das Funkgerät in den „Wide-FM“-Betrieb zu stellen, hat nicht gefruchtet.

Nachdem nun also diese Hürde beseitigt wurde, kann ich zu Hause neben den 3 DMR-Netzen, bei denen auch statisch gelinkte TGs auf die Zeitslots verteilt sind, auch YSF- und D-Star-Reflektoren anwählen und arbeiten.