fe80::1 vermeiden

[Fabian Bläse]

Hallo Adrian,

On 18.11.18 21:56, mail at adrianschmutzler.de wrote:
> Hallo zusammen,
> 
> wir haben gelegentlich Probleme, wenn ein Gerät in einer Hood die Adresse fe80::1 benutzt, weil dann die Mesh-Knoten unter dieser Adresse das Gateway nicht mehr erreichen können. Das kann dann mehr oder minder eklig werden.

Das kann mit jeder anderen Adresse auch passieren. Großes Layer2 Netz -> jeder kann da drin gewaltige Probleme verursachen.
Gleiches gilt auch für ARP & NDP Spoofing, MAC Flooding, MAC Spoofing, lustige ICMP Nachrichten, .. (um nur einige zu nennen, die ein Layer2 Netz innerhalb kürzester Zeit komplett lahm legen können).

Am ehesten könnte ich mir noch vorstellen, dass man die Firewall auf den Routern dahingehend erweitert, dass sie keine Neighbor Advertisements für fe80::1 vom Client-Netz ins Batman schicken.
Das sichert das Netz aber auch nur gegen versehentliche "Angriffe". 


> Idee 2: Man gibt dem KeyXchange eine fd43-Adresse:
> 
> Anstelle einer anderen fe80::-Adresse könnte man auch den KeyXchange ins Netz bringen und dann dessen fd43-Adresse anstatt der fe80 hinterlegen (geht das wirklich so einfach?).
> Die Router erhalten nach wie vor ihr initiales Hoodfile von der üblichen Quelle (wXsta, Network), aber das „zweite“ dann nicht mehr vom Gateway, sondern vom KeyXchange.

Das bringt leider gar nichts.
Denn damit die Router eine ULA außerhalb ihres lokal anliegenden Netzes erreichen können, brauchen sie ein Gateway. Und das hat aktuell die fe80::1.
=> Gleiches Problem wie oben auch.

Gruß
Fabian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181118/c3bf8815/attachment.sig>