<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
p
{mso-style-priority:99;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman",serif;}
span.EmailStyle18
{mso-style-type:personal;
font-family:"Calibri",sans-serif;
color:#1F497D;}
span.EmailStyle19
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Gut, dann weiß ich jetzt schon mal, warum Idee 2 nicht geht.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Bei Idee 1 ist mir schon klar, dass das bei jeder anderen Adressen auch passieren kann. Ich denke aber schon, dass es in der Realität bei fe80::1 häufiger passieren wird. Ich will aber auch nicht die Welt retten, sondern eben nur das konkrete Problem mit der fe80::1 lösen.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Mir ist auch klar, dass das Netz weiterhin angreifbar ist, aber deshalb kann man ein bekanntermaßen auftretendes Problem ja trotzdem beheben.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Die Variante mit der Firewall finde ich interessant, allerdings kann ich das nicht ohne weiteres selbst, da müsste jemand den Patch ausgeben.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Ich würde aber erstmal auch weiterhin die Möglichkeit, die Adresse zu ändern, diskutieren.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Grüße<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Adrian<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif'>From:</span></b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif'> Fabian Bläse [mailto:fabian@blaese.de] <br><b>Sent:</b> Sonntag, 18. November 2018 22:24<br><b>To:</b> mail@adrianschmutzler.de; franken-dev@freifunk.net; franken-gateway@freifunk.net<br><b>Subject:</b> Re: fe80::1 vermeiden<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p><span style='font-family:"Calibri",sans-serif'>Hallo Adrian,</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>On 18.11.18 21:56, <a href="mailto:mail@adrianschmutzler.de">mail@adrianschmutzler.de</a> wrote:</span> <br><span style='font-family:"Calibri",sans-serif'>> Hallo zusammen,</span> <br><span style='font-family:"Calibri",sans-serif'>> </span><br><span style='font-family:"Calibri",sans-serif'>> wir haben gelegentlich Probleme, wenn ein Gerät in einer Hood die Adresse fe80::1 benutzt, weil dann die Mesh-Knoten unter dieser Adresse das Gateway nicht mehr erreichen können. Das kann dann mehr oder minder eklig werden.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Das kann mit jeder anderen Adresse auch passieren. Großes Layer2 Netz -> jeder kann da drin gewaltige Probleme verursachen.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Gleiches gilt auch für ARP & NDP Spoofing, MAC Flooding, MAC Spoofing, lustige ICMP Nachrichten, .. (um nur einige zu nennen, die ein Layer2 Netz innerhalb kürzester Zeit komplett lahm legen können).</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Am ehesten könnte ich mir noch vorstellen, dass man die Firewall auf den Routern dahingehend erweitert, dass sie keine Neighbor Advertisements für fe80::1 vom Client-Netz ins Batman schicken.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Das sichert das Netz aber auch nur gegen versehentliche "Angriffe". </span><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p><span style='font-family:"Calibri",sans-serif'>> Idee 2: Man gibt dem KeyXchange eine fd43-Adresse:</span> <br><span style='font-family:"Calibri",sans-serif'>> </span><br><span style='font-family:"Calibri",sans-serif'>> Anstelle einer anderen fe80::-Adresse könnte man auch den KeyXchange ins Netz bringen und dann dessen fd43-Adresse anstatt der fe80 hinterlegen (geht das wirklich so einfach?).</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>> Die Router erhalten nach wie vor ihr initiales Hoodfile von der üblichen Quelle (wXsta, Network), aber das</span> <span style='font-family:"Calibri",sans-serif'>„zweite“ dann nicht mehr vom Gateway, sondern vom KeyXchange.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Das bringt leider gar nichts.</span> <br><span style='font-family:"Calibri",sans-serif'>Denn damit die Router eine ULA außerhalb ihres lokal anliegenden Netzes erreichen können, brauchen sie ein Gateway. Und das hat aktuell die fe80::1.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>=> Gleiches Problem wie oben auch.</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Gruß</span> <br><span style='font-family:"Calibri",sans-serif'>Fabian</span> <o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p></div></div></body></html>