[Freifunk Franken] Frage zu Netmon

tim.niemeyer at mastersword.de tim.niemeyer at mastersword.de
Mo Nov 26 09:02:46 CET 2012 

Hi

Da Oeffi mir grad falsche Daten gegeben hat, hatte ich Zeit am HBF etwas zu gruebeln.. ;)

-----Ursprüngliche Nachricht-----
> Von: Christian Berger <casandro_lion at web.de>
> An: franken at freifunk.net
> Gesendet: 26.11.'12,  7:00
> 
> Servus,
> 
> da es ja, zumindest theoretisch möglich ist, unter Linux in eine Bridge 
> transparente Paketfilter unter zu bringen, wäre es vielleicht sinnvoll, 
> den Internetzugangsrechner so zu konfigurieren, dass er mit einem 
> Interface im VPN ist, und dann, nur die für Netmon benötigten Pakete 
> durchleitet.
Letztlich also http(s) ueber ipv6 link local.

> Was sind denn das für Pakete? (ich vermute mal eine TCP/IP-Verbindung, 
> sowie die Neighbour-Announcement Pakete)
Ja, aber ausschliesslich ipv6. Ipv4 wir transparent durch gebridged. Genau wie icmp.
Was passiert aber, wenn wir den Clients auch mal v6 bieten? Oder was ist mit icmp? Und generell Broadcasts..

Da gibt es echt ne Menge Dinge zu beachten, ich denke daher nicht, dass man auf die Art wirklich eine saubere Trennung und trotzdem eine vollstaendig korrekte Kommunikation hinbekommt. Der Vorteil waere allerdings, dass nur der Uplink eine geaenderte config bekommen muss.

> Was haben wir da als VPN-Lösung?
Fastd nennt sich das und ist in der 0.4 (und dessen Betas) das erste mal fuer Franken und Oldenburg im Einsatz. Die Software wurde von den Luebeckern als tinc Ersatz geschrieben, weil die mit Tinc groessere Probleme hatten. Oldenburg hat auch immer wieder Aerger mit tinc und letztlich auch mit den Loops die durch dieses Setup entstehen zu kaempfen. 

Ich finde es gut, dass du dir Gedanken machst und ich wuerde mich freuen, wenn du das mal ausprobierst.. ich helf dir da auch, gern koennen wir uns mal im K4 oder so treffen. (Wenn uns jemand den Raum besorgt)

Ich selber wuerde das Problem dann durch eine Separation auf vlan Ebene angehen. Dafuer brauch ich aber das neue Batman, und das wird erst im naechsten Firmware Release drin sein. Also muss zu naechst 0.4 fertig und da kaempf ich noch mit den 16MB Ram vom DIR300.. :( am Ende haetten wir eventuell zwei Loesungen, wovon wir uns die bessere aussuchen koennten.. :)

> Servus
Ich hab mich immernoch nicht dran gewoehnt, dass ihr das hier als Tschuess Ersatz sagt.. ;)

Tim

>    Christian
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> https://freifunk.net/mailman/listinfo/franken

Mehr Informationen über die Mailingliste franken