fe80::1 vermeiden

Tim Niemeyer tim at tn-x.org
Mo Nov 19 18:47:56 CET 2018 

Am Montag, den 19.11.2018, 13:59 +0100 schrieb robert:
> Hi,
> 
> Am 19.11.18 um 07:36 schrieb Tim Niemeyer:
> > Jo
> > 
> > Man könnte vllt auch auf den nodad Quatsch verzichten, wenn man die
> > original Adressen nimmt und dort wo fe80::1 auf dem Knoten
> > verwendet wird einfach das nimmt, was als default ro eingetragen
> > ist.
> > 
> > Dann kann man sogar gezielt beide GWs befragen. Hat die Client FW
> > schon drin (ra ist gefiltert). Hat den dad Mechanismus. Hat saubere
> > (theoretisch weltweit einmalige) Adressen.
> 
> Das wäre sicherlich die sauberste Lösung. Allerdings müssen wir dazu
> ra
> auf machen. Und da stellt sich die Frage, ob man das will. Wenn die
> Hoods IPV6 bekommen, ist der Router dann auch richtig im Netz. Ich
> finde
> das eigentlich recht schick. Blöde wird es nur, wenn die mal wieder
> ihr
> Passwort vergessen. Allerdings kommt man übers ff-Netz da jetzt auch
> schon drauf.  Alle Router könnten dann auch den KeyEx erreichen.

Du hast Recht. Man darf also nicht das Default-Gateway auslesen sondern
muss das Gateway für das ULA Prefix auslesen. Dann müsste es gehen.

Tim

> 
> Robert
> 
> > 
> > Tim
> > 
> > 
> > Am 18. November 2018 23:27:08 MEZ schrieb mail at adrianschmutzler.de:
> > > Gut, dann weiß ich jetzt schon mal, warum Idee 2 nicht geht.
> > > 
> > > 
> > > 
> > > Bei Idee 1 ist mir schon klar, dass das bei jeder anderen
> > > Adressen auch
> > > passieren kann. Ich denke aber schon, dass es in der Realität bei
> > > fe80::1 häufiger passieren wird. Ich will aber auch nicht die
> > > Welt
> > > retten, sondern eben nur das konkrete Problem mit der fe80::1
> > > lösen.
> > > 
> > > 
> > > 
> > > Mir ist auch klar, dass das Netz weiterhin angreifbar ist, aber
> > > deshalb
> > > kann man ein bekanntermaßen auftretendes Problem ja trotzdem
> > > beheben.
> > > 
> > > 
> > > 
> > > Die Variante mit der Firewall finde ich interessant, allerdings
> > > kann
> > > ich das nicht ohne weiteres selbst, da müsste jemand den Patch
> > > ausgeben.
> > > 
> > > 
> > > 
> > > Ich würde aber erstmal auch weiterhin die Möglichkeit, die
> > > Adresse zu
> > > ändern, diskutieren.
> > > 
> > > 
> > > 
> > > Grüße
> > > 
> > > 
> > > 
> > > Adrian
> > > 
> > > 
> > > 
> > > 
> > > 
> > > From: Fabian Bläse [mailto:fabian at blaese.de> > > Sent: Sonntag, 18. November 2018 22:24
> > > To: mail at adrianschmutzler.de; franken-dev at freifunk.net;
> > > franken-gateway at freifunk.net
> > > Subject: Re: fe80::1 vermeiden
> > > 
> > > 
> > > 
> > > Hallo Adrian, 
> > > 
> > > On 18.11.18 21:56, mail at adrianschmutzler.de
> > > <mailto:mail at adrianschmutzler.de>  wrote: 
> > > > Hallo zusammen, 
> > > > 
> > > > wir haben gelegentlich Probleme, wenn ein Gerät in einer Hood
> > > > die
> > > 
> > > Adresse fe80::1 benutzt, weil dann die Mesh-Knoten unter dieser
> > > Adresse
> > > das Gateway nicht mehr erreichen können. Das kann dann mehr oder
> > > minder
> > > eklig werden.
> > > 
> > > Das kann mit jeder anderen Adresse auch passieren. Großes Layer2
> > > Netz
> > > -> jeder kann da drin gewaltige Probleme verursachen.
> > > 
> > > Gleiches gilt auch für ARP & NDP Spoofing, MAC Flooding, MAC
> > > Spoofing,
> > > lustige ICMP Nachrichten, .. (um nur einige zu nennen, die ein
> > > Layer2
> > > Netz innerhalb kürzester Zeit komplett lahm legen können).
> > > 
> > > Am ehesten könnte ich mir noch vorstellen, dass man die Firewall
> > > auf
> > > den Routern dahingehend erweitert, dass sie keine Neighbor
> > > Advertisements für fe80::1 vom Client-Netz ins Batman schicken.
> > > 
> > > Das sichert das Netz aber auch nur gegen versehentliche
> > > "Angriffe". 
> > > 
> > > 
> > > 
> > > > Idee 2: Man gibt dem KeyXchange eine fd43-Adresse: 
> > > > 
> > > > Anstelle einer anderen fe80::-Adresse könnte man auch den
> > > > KeyXchange
> > > 
> > > ins Netz bringen und dann dessen fd43-Adresse anstatt der fe80
> > > hinterlegen (geht das wirklich so einfach?).
> > > 
> > > > Die Router erhalten nach wie vor ihr initiales Hoodfile von der
> > > 
> > > üblichen Quelle (wXsta, Network), aber das „zweite“ dann nicht
> > > mehr vom
> > > Gateway, sondern vom KeyXchange.
> > > 
> > > Das bringt leider gar nichts. 
> > > Denn damit die Router eine ULA außerhalb ihres lokal anliegenden
> > > Netzes
> > > erreichen können, brauchen sie ein Gateway. Und das hat aktuell
> > > die
> > > fe80::1.
> > > 
> > > => Gleiches Problem wie oben auch. 
> > > 
> > > Gruß 
> > > Fabian 
> > > 
> > > 
> 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181119/5f16b13b/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev