Die Odyssee zum Hamnet-Zugang

Zunächst: Was ist überhaupt das Hamnet

Das Hamnet, auch Network 44 genannt, ist ein von Funkamateuren betriebenes IP-basiertes Netzwerk, welches den IP-Adressbereich 44.0.0.0/8 zugewiesen bekam. Zwischenzeitlich haben sich Individuen mit Dollarzeichen in den Augen daran bereichert, ein Viertel des 44.0.0.0/8 für einen Spottpreis an Amazon zu verscherbeln und damit erhebliche Kollateralschäden zu verursachen. Von der zwangsweisen Migration komplexer Netzwerke wie unter anderem dem kompletten deutschen Hamnet bis zu Hürden wie unschönes Subnetting und damit verbunden deutlicher Mehraufwand, etwa bei VPN-Tunneln gab es durchaus bessere Ideen. Hieran sieht man, dass Geldgier und Korruption auch in Kreisen der Funkamateure nicht unverbreitet sind. Jedenfalls besteht das Hamnet derzeit noch aus den Bereichen 44.0.0.0/9 und 44.128.0.0/10.

Sinn und Zweck des Hamnets ist es natürlich, ein von den klassischen, kommerziellen Übertragungswegen unabhängiges Netzwerk aufzubauen. Hierfür wird in der Regel mit Richtfunkverbindungen zwischen ohnehin exponierten Relais-Standorten gearbeitet. Dabei wird gerne wird hier auf das 6-cm-Band oder das 13-cm-Band zurückgegriffen, da es hier Überschneidungen mit den WLAN-Bereichen gibt und der Funkamateur auf leicht erhältliche Hardware zurückgreifen kann, die dann im Rahmen der Möglichkeiten eines Funkamateurs aufgebohrt werden kann. Zur Einordnung: Ein 2,4-GHz-WLAN darf mit maximal 100 mW Isotropleistung strahlen. Diese Amateurfunk-Linkstrecken dürfen mit 15.000 mW Leistung über (ca. 25.000 mW Isotropleistung) und mit Begründung mit bis zu 100.000 mW (ca. 164.000 mW Isotropleistung) betrieben werden (also . Damit erreicht man etwas mehr als mit den „freien“ 100 mW im 2,4-GHz-Band. Dafür dürfen auf der anderen Seite maximal 10 MHz Bandbreite belegt werden (im Vergleich: Seit 802.11ac werden bis zu 160 MHz für WLAN verwendet).

Da das Hamnet ein Teil des Amateurfunkdienstes ist, gelten hier entsprechend auch die gesetzlichen Anforderungen. Dies sind im Wesentlichen folgende drei:

  1. Zugang dürfen nur Funkamateure, also Amateurfunker mit Zulassung zum Amateurfunkdienst, haben.
  2. Die Inhalte dürfen nicht verschlüsselt werden, es sei denn, es handelt sich um Steuerverkehr. Sie müssen auf bekannten Protokollen basieren.
  3. Der Verursacher von Funkverkehr muss sein Rufzeichen nennen.

Diese Punkte stellen besondere Anforderungen an das Hamnet. Der erste Punkt etwa bedeutet, dass 44er-Adressen nicht aus dem regulären Internet aus erreicht werden dürfen. Das Hamnet ist also ein Netzwerk, welches abgeschottet vom Internet betrieben wird, und ausschließlich Funkamateure können Adressen im Hamnet erreichen. Die einzige Ausnahme stellt den Fall dar, bei dem durch strikte Firewalls sorgsam dafür gesorgt wird, dass keinesfalls ein aus dem Internet stammendes Paket einen Weg in das Hamnet findet, also beispielsweise auf Richtfunkstrecken übertragen wird. Nur dann darf eine 44er-Adresse aus dem Internet erreicht werden.

Der zweite Punkt bedeutet, dass lediglich unverschlüsselte und standardisierte Protokolle verwendet werden dürfen. Websites im Hamnet dürfen beispielsweise lediglich via HTTP zugänglich sein. In wieweit hierüber eine sichere Authentifikation ermöglicht werden kann und ob der Passus in der neuen Amateurfunkverordnung, welche verschlüsselten Steuerverkehr ausnahmsweise zulässt, hierfür verwendet werden kann… dies sind spannende Fragen.

Der dritte Punkt ist besonders interessant. Eigentlich muss das Rufzeichen bei Beginn und Ende einer Amateurfunkverbindung genannt werden sowie mind. alle 10 min. Schon im Digitalfunk ist man aber dazu übergegangen, sich darauf zu berufen, dass etwa im Falle von C4FM das Rufzeichen bei jeder Sendung übermittelt wird, bei DMR die DMR-ID über radioid.net mit dem Rufzeichen verknüpft ist. Blöd nur, wenn etwa der C4FM-Repeater im AMS läuft und FM aussendet. Oder jemand eine DMR-FM-Bridge gebaut hat. Und im Hamnet müsste beispielsweise jede HTTP-Anforderung und jede HTTP-Antwort im Header das Rufzeichen beinhalten. Die Absender-IP-Adresse reicht hierfür nicht, da diese durchaus auch dynamisch sein darf. Da die meisten Dienste im Hamnet eine Domäne enthalten, die das Rufzeichen des Relais, an dem sie angeschlossen sind, beinhalten, könnte man wohl hier von der Einhaltung der Pflicht zur Rufzeichennennung ausgehen.

Wie so oft, gerade im deutschen Recht, sind Gesetze und Vorschriften nicht kompatibel mit der Realität und werden so für diesen Bereich arg phantasievoll interpretiert und gebogen. Alleine die Idee, das ich eine Aussendung unter Nennung meines Rufzeichens mache, diese Aussendung von einem Relais in Kiel aufgenommen und wieder verteilt wird, was von einer Bridge aufgenommen wird, die über das Hamnet, also über diverse Richtfunkstrecken die Sprachdaten verschickt und in Süddeutschland wieder ausstrahlt, was ein münchener OM mit seinem Shack-Funkgerät aufnimmt und via Crossband-Repeater an sein Handfunkgerät im Garten übermittelt… und am Ende bin aber ich irgendwie der verantwortliche Sender. Völliger Nonsense.

Meine Odyssee ins Hamnet

Nachdem ich nun ausführlichst vom Hamnet gesülzt habe, hier meine Odyssee, wie ich zu einem Zugang zum Hamnet kam:

Es gibt zwei Möglichkeiten, Zugang zum Hamnet zu erhalten:

Den echten Weg über einen sogenannten User-Zugang. Dies ist im Grunde ein WLAN-AP auf einem Relais, mit dem man sich von zu Hause aus verbinden kann. Die technischen Hürden hierfür sind jedoch recht hoch: Man braucht passende Hardware, eine ideale Antennenposition, ein direktes Sichtfeld zum Relais und gutes Wetter. Ach ja, und überhaupt erst einmal ein Hamnet-Relais mit User-Zugang in der Nähe. Diese Bedingungen sind bei mir nicht gegeben.

Der unechte Weg führt über einen VPN-Tunnel zu einem Knoten im Hamnet. Hier wird über das öffentliche Internet eine VPN-Verbindung zu einem Server aufgebaut, welcher einen Zugang zum echten Hamnet hat. Dies war für mich das Mittel der Wahl.

VPN-Zugänge ins Hamnet sind rar. Ich habe in all den Monaten lediglich zwei Angebote gefunden, die einigermaßen solide aussahen: Das der RWTH Aachen und das vom AMPR direkt.

Der Zugang via RWTH Aachen ist relativ schlecht umgesetzt. Man soll hierfür ein Formular ausfüllen und wird mehrfachst penetrant angehalten, während der angekündigt tagelangen Wartezeit auf manuelle Prüfung eine „Spende“ zu entrichten. Die erste Hürde ist Stand heute (31.07.2027) ein abgelaufenes X.509-Zertifikat. Der Webbrowser warnt alarmistisch, dass die Website unsicher sei und nicht besucht werden sollte. Das Formular selbst hat bei mir auf mehrfachen Versuch stets unsinnige Fehlermeldungen geschmissen, dass ich mindestens eine Datei mit der Lizenzurkunde hochladen müsse. Nun, das habe ich getan. Doch das Formular bietet den Upload von 3 Dateien an, was völlig unsinnig ist, denn die Lizenzurkunde hat nur 2 Seiten. Selbst wenn man zu doof ist, die Seiten in eine gemeinsame Datei aneinanderzufügen, sind 2 Uploads ausreichend. Als ich dann zweimal eine 1px-mal-1px-Datei in die beiden verbliebenen Upload-Felder einfügte, erhielt ich eine echte Bestätigung, dass das Formular abgesendet wurde und ich meine E-Mails prüfen solle zwecks Validierung. Das ist jetzt schon einige Tage her. Vielleicht bekomme ich ja noch eine Zugang, auch ohne nahegelegte „freiwillige Spende“. Denn ich spende zwar gerne an gemeinnützige Projekte. Aber bitte erst, wenn ich mir ein Bild machen konnte. Und dann mag ich es nicht, wenn ich alle zwei Sätze darauf hingewiesen werde, dass ich gefälligst zu spenden habe. Übrigens: Falls ich an Zugangsdaten kommen sollte, so wird das antiquierte PPtP eingesetzt. Die Zugangsdaten werden also ungeschützt durchs Internet posaunt. Nicht gerade State of the Art im Jahre 2023. [Update: Am 23.08.2023 kam dann eine Mail mit Freischaltungsbestätigung. Und erneut eine eindringliche „Bitte“ um Geld.]

Das Angebot vom AMPR wirkt auf dem ersten Blick solider. Auf dem ersten. Hier wird man nicht penetrant zu einer total freiwilligen Spende gedrängt und die Websites haben zumindest ein gültiges X.509-Zertifikat. Als Authentifizierung wird hier nicht eine manuelle Prüfung vorgenommen, sondern es wird sich darauf verlassen, dass wahlweise der DARC oder die ARRL eine vernünftige Validierung der Zulassung zum Amateurfunkdienst vornehmen. Da ich kein DARC-Mitglied bin, entschied ich mich für den ARRL-Weg und lud mir die LoTW-Software TQSL herunter. Diese bietet einen Wizzard, um ein Zertifikatsrequest zu erzeugen, welches nach Validierung der Lizenzurkunde signiert würde. Hier muss man als Deutscher allerdings wissen, dass man nicht in „Germany“ lebt. Denn „Germany“ wurde vor vielen Jahren aufgelöst, sagt LoTW. Man lebt in der „Federal Republic of Germany“. Eine Hürde, die nicht hoch ist, aber man muss erst einmal darauf kommen, wenn man ganz selbstverständlich versucht, „Germany“ zu verwenden. Hat man dann den Scan der Lizenzurkunde nebst Scan vom Personalausweis (Was soll schon Datensparsamkeit? Wer nichts zu verbergen hat, hat auch nichts zu befürchten!) hingeschickt, erhält man recht rasch nach manueller Prüfung sein Zertifikat. Hiermit soll man sich nun auf einer Website, bei der man sich mit diesem Zertifikat anmeldet, welches man erst aus TQSL exportieren und dann in Betriebssystem bzw. Browser importieren muss, seinen VPN-Zugang selbst anlegen. Blöd nur, dass die Website nicht funktionierte. Sie hatte eine fehlerhafte TLS-Implementierung. Nach ein paar Tagen und stetig neuen Versuchen klappte es dann auf einmal. Ich konnte mir Zugangsdaten für das recht moderne IKEv2-Verfahren anlegen. Angekündigt werden Wireguard und OpenVPN. Deutlich moderner als das PPtP aus Aachen. Dass man hierfür aber nicht nur oberflächliche IT-Kenntnisse haben muss, dass man sich Software von einem anderen Anbieter installieren und mit X.509-Zertifikaten jonglieren muss, das könnte für den einen oder anderen eine deutlich zu große Hürde darstellen. Witzigerweise meldete das Portal bereits ein Tag nach der erfolgreichen Account-Erstellung stets „Service Unavailable“ und dies hält bis heute (31.07.2023) mindestens an. Ich hatte also richtig Glück, genau den Zeitpunkt erwischt zu haben, an dem die TLS-Probleme beseitigt waren und bevor der Dienst offline ging. [Update: Am 02.08.2023 lief es dann wieder] Nun habe ich einen IKEv2-Zugang zum Teilnetz 44.128.0.0/10 und damit zu einem Drittel des Hamnets. Leider bleibt mir der Zugang zu den restlichen zwei Dritteln weiterhin verwehrt, weshalb ich die Bemühungen noch nicht aufgebe. Aber einen Teilerfolg konnte ich erringen. Und immerhin ist der Bereich des deutschen Hamnets (44.130.0.0/16 und 44.148.0.0/15) abgedeckt.

Nun, nach harter Arbeit und einigen Facepalm-Momenten, habe ich zumindest zu einem Teil des Hamnets einen VPN-Zugang. So wirklich empfehlen kann ich keinen der beiden VPN-Anbieter. Beide sind sie technisch ziemlich unsauber gelöst und während der eine megaaufdringlich um Bezahlung bettelt, ist der andere recht aufwendig und für Laien kompliziert, bietet außerdem nur ein Drittel des Hamnets an.