fe80::1 vermeiden

[robert]

Hi,

Am 19.11.18 um 07:36 schrieb Tim Niemeyer:
> Jo
>
> Man könnte vllt auch auf den nodad Quatsch verzichten, wenn man die original Adressen nimmt und dort wo fe80::1 auf dem Knoten verwendet wird einfach das nimmt, was als default ro eingetragen ist.
>
> Dann kann man sogar gezielt beide GWs befragen. Hat die Client FW schon drin (ra ist gefiltert). Hat den dad Mechanismus. Hat saubere (theoretisch weltweit einmalige) Adressen.

Das wäre sicherlich die sauberste Lösung. Allerdings müssen wir dazu ra
auf machen. Und da stellt sich die Frage, ob man das will. Wenn die
Hoods IPV6 bekommen, ist der Router dann auch richtig im Netz. Ich finde
das eigentlich recht schick. Blöde wird es nur, wenn die mal wieder ihr
Passwort vergessen. Allerdings kommt man übers ff-Netz da jetzt auch
schon drauf.  Alle Router könnten dann auch den KeyEx erreichen.

Robert

>
> Tim
>
>
> Am 18. November 2018 23:27:08 MEZ schrieb mail at adrianschmutzler.de:
>> Gut, dann weiß ich jetzt schon mal, warum Idee 2 nicht geht.
>>
>>
>>
>> Bei Idee 1 ist mir schon klar, dass das bei jeder anderen Adressen auch
>> passieren kann. Ich denke aber schon, dass es in der Realität bei
>> fe80::1 häufiger passieren wird. Ich will aber auch nicht die Welt
>> retten, sondern eben nur das konkrete Problem mit der fe80::1 lösen.
>>
>>
>>
>> Mir ist auch klar, dass das Netz weiterhin angreifbar ist, aber deshalb
>> kann man ein bekanntermaßen auftretendes Problem ja trotzdem beheben.
>>
>>
>>
>> Die Variante mit der Firewall finde ich interessant, allerdings kann
>> ich das nicht ohne weiteres selbst, da müsste jemand den Patch
>> ausgeben.
>>
>>
>>
>> Ich würde aber erstmal auch weiterhin die Möglichkeit, die Adresse zu
>> ändern, diskutieren.
>>
>>
>>
>> Grüße
>>
>>
>>
>> Adrian
>>
>>
>>
>>
>>
>> From: Fabian Bläse [mailto:fabian at blaese.de] 
>> Sent: Sonntag, 18. November 2018 22:24
>> To: mail at adrianschmutzler.de; franken-dev at freifunk.net;
>> franken-gateway at freifunk.net
>> Subject: Re: fe80::1 vermeiden
>>
>>
>>
>> Hallo Adrian, 
>>
>> On 18.11.18 21:56, mail at adrianschmutzler.de
>> <mailto:mail at adrianschmutzler.de>  wrote: 
>>> Hallo zusammen, 
>>>
>>> wir haben gelegentlich Probleme, wenn ein Gerät in einer Hood die
>> Adresse fe80::1 benutzt, weil dann die Mesh-Knoten unter dieser Adresse
>> das Gateway nicht mehr erreichen können. Das kann dann mehr oder minder
>> eklig werden.
>>
>> Das kann mit jeder anderen Adresse auch passieren. Großes Layer2 Netz
>> -> jeder kann da drin gewaltige Probleme verursachen.
>>
>> Gleiches gilt auch für ARP & NDP Spoofing, MAC Flooding, MAC Spoofing,
>> lustige ICMP Nachrichten, .. (um nur einige zu nennen, die ein Layer2
>> Netz innerhalb kürzester Zeit komplett lahm legen können).
>>
>> Am ehesten könnte ich mir noch vorstellen, dass man die Firewall auf
>> den Routern dahingehend erweitert, dass sie keine Neighbor
>> Advertisements für fe80::1 vom Client-Netz ins Batman schicken.
>>
>> Das sichert das Netz aber auch nur gegen versehentliche "Angriffe". 
>>
>>
>>
>>> Idee 2: Man gibt dem KeyXchange eine fd43-Adresse: 
>>>
>>> Anstelle einer anderen fe80::-Adresse könnte man auch den KeyXchange
>> ins Netz bringen und dann dessen fd43-Adresse anstatt der fe80
>> hinterlegen (geht das wirklich so einfach?).
>>
>>> Die Router erhalten nach wie vor ihr initiales Hoodfile von der
>> üblichen Quelle (wXsta, Network), aber das „zweite“ dann nicht mehr vom
>> Gateway, sondern vom KeyXchange.
>>
>> Das bringt leider gar nichts. 
>> Denn damit die Router eine ULA außerhalb ihres lokal anliegenden Netzes
>> erreichen können, brauchen sie ein Gateway. Und das hat aktuell die
>> fe80::1.
>>
>> => Gleiches Problem wie oben auch. 
>>
>> Gruß 
>> Fabian 
>>
>>