[Freifunk Franken] Flüchtlingsunterkunft WLAN Zugang eingrenzen

Tim Niemeyer tim at tn-x.org
Mo Mai 2 20:31:12 CEST 2016


Moin Mayosemmel

Am Montag, den 02.05.2016, 19:37 +0200 schrieb mayosemmel:
> Hallo Peter,
> 
> man kann durchaus Verschlüssung anbieten, die jedes Passwort annimmt.
> In Lauf hat das sogar schonmal jemand umgesetzt allerdings leider nicht
> dokumentiert.
Ach, du meinst die 802.11x Sachen mit nem gefaketen Radius dahinter.

Solche Sachen werden gern auf großen Konferenzen gemacht. Das bringt
aber eigentlich nur was, wenn ich auch weiß mit wem ich die Crypto
mache. Wenn sich der AP  mit einem Zertifikat meldet und ich dieses
überprüfen kann, kann ich anschließend eine Verschlüsselung mit ihm
aushandeln.
Dafür müsste der AP natürlich ein Zertifikat präsentieren, was ich
irgendwie bestätigen kann. Wenn so ein Zertifikat auf allen Knoten
ausgerollt wird, würde es aber natürlich jeder kennen und ein MITM würde
hier mega einfach sein. An der Stelle ist die Crypto also nutzlos!

Generell: Bei Verschlüsselung muss man immer sicherstellen, dass man mit
dem richtigen Gegenüber redet. Eine pure Verschlüsselung bringt mir gar
nichts, wenn mein Gegenüber in Wahrheit jemand anderes ist und dieser
jemand alle Daten über eine weitere Verschlüsselung an mein
vermeintliches Gegenüber weiter schickt. Ich würde denken
"verschlüsselt, prima". Mein vermeintliches Gegenüber denkt
"verschlüsselt, prima". Aber dass wir beide gar nicht mit einander reden
sondern ein dritter einfach jede Nachricht ließt und weiterreicht merken
wir dann nicht.

Tim

> Das Problem, wie du selbst schon erkannt hast, das die Verschlüsselung
> spätestens am Router wieder endet. Da der VPN-Tunnel unverschlüsselt
> ist. Somit nicht wirklich zielführend.
> Wurde allerdings schon das eine oder andere mal diskutiert, eine
> zusätzliche SSID "secure.franken.freifunk.net" aufzumachen.
> 
> Wenn du Lust hast sowas umzusetzten, schick doch einfach mal einen Patch
> an franken-dev at freifunk.net da freuen sich einige, wenn es mal wieder
> einen neuen Mitentwickler gibt.
> 
> Grüße Jan
> 
> Am Montag, den 02.05.2016, 19:06 +0200 schrieb Peter J. Philipp:
> > Hmm ist schade das freies WLAN keine Verschlüsselung bietet.  Es gibt
> > keine Protokolle dafür um jeden in ein Netz zu lassen
> > aber verschlüsselt.  So wurde es mir mal geschildert von
> > Professionellen.  Leider müssen wir uns dann mit Klartext abgeben
> > was zu eine größeren „attack-surface“ gegen WLAN Geräte führt.
> > 
> > 
> > Ende-Ende Verschlüsselung ist was die Lösung ist aber das Angebot
> > dafür ist in allen app stores sehr gering.  
> > 
> > 
> > mfg,
> > 
> > 
> > -peter
> > 
> > 
> > > Am 02.05.2016 um 17:41 schrieb mayosemmel
> > > <mayosemmel at googlemail.com>:
> > > 
> > > Hallo zusammen,
> > > 
> > > hier mal 4 Gedanken von mir zu dem Thema (eigentlich wurde das alles
> > > schon genannt, aber trotzdem):
> > > 
> > > 1. Wenn es darum geht, den Zugang zum Freifunknetz grundsätzlich mit
> > > einem Kennwort zu schützen, ist dies kein Freifunk mehr!
> > > Dann sollen die sich bitte einfach einen Mullvad kaufen und mit der
> > > Plastebox da drüber abwerfen. Wir sind kein Anonymisierungsdienst!
> > > 
> > > 2. Wenn die einfach nur ein Kennwort haben wollen, weil sie sich
> > > dann
> > > sicherer fühlen, sollte man die Zeit, die hier in potentielle
> > > Technische
> > > Lösungen zu investieren ist, lieber in eine Doku stecken, die zeigt
> > > das
> > > es völliger Unsinn ist.
> > > 
> > > 3. Wenn sie es nicht schaffen die Leute aus ihrer Wohnung zu
> > > schmeißen,
> > > könnten sie entweder (wie Christian sagte) draußen einen zweiten
> > > Router
> > > anstecken. Oder sie schaffen FF komplett ab. Oder sie rufen einfach
> > > die
> > > Polizei.
> > > 
> > > 4. Falls es allerdings darum geht, vom Heimnetz auch ins Freifunk zu
> > > kommen (weil man nicht immer das W-Lan wechseln will), kann man dazu
> > > sicherlich technisch unterstützen. Wie schon angemerkt wurde, haben
> > > das
> > > einige bereits (mich eingeschlossen).
> > > Das finde ich persönlich sogar löblich, weil man die Freifunk
> > > Infrastruktur dann nur nutzt wenn notwendig und sein Internet daheim
> > > los
> > > wird.
> > > 
> > > @Michael: siehe Inline
> > > 
> > > Grüße Jan
> > > 
> > > Am Montag, den 02.05.2016, 16:43 +0200 schrieb Michael Kreis:
> > > > Hallo in die Runde!
> > > > 
> > > > 
> > > > Es ist bemerkenswert, wie sich sofort kritiklos Gedanken gemacht
> > > > wird,
> > > > wie man den Forderungen dieser besonderen Klientel entgegenkommen
> > > > kann.
> > > > 
> > > > 
> > > > Machen wir hier Freifunk oder "Privatfunk"?!
> > > > 
> > > Hierzu muss ich dir weitgehend zustimmen. Kommt natürlich drauf an,
> > > was
> > > jetzt die genaue Anforderung ist.
> > > > 
> > > > Mir wurde mal hier von Tim Niemeyer erklärt, daß die Versorgung
> > > > von
> > > > Asylbewerbern über das "Aux"-Netz/mittels der Aux-Firmware
> > > > Freifunk
> > > > "in Reinform", sozusagen "lupenreiner" Freifunk wäre. Ich habe es
> > > > damals schon nicht geglaubt, meine Zweifel haben sich nun
> > > > bestätigt,
> > > > Teile der Freifunkaktivitäten sind eben nicht für alle da.
> > > > 
> > > Das AUX Netz ist technisch identisch mit jeder anderen Hood. Es gibt
> > > lediglich 2 Unterschiede:
> > > 1. Das Hauptgateway der Hood ist Zweckgebunden gespendet (deshalb
> > > überhaupt AUX)
> > > 2. Es gibt eine andere BSSID, damit man nicht versehentlich mit
> > > einem
> > > anderen Router mesht. (Das bekommt mit dem Dezentralen KeyXchange
> > > sowieso jede hood)
> > > > 
> > > > Also ich würde mich schämen, auf einer öffentlichen Mailing-Liste,
> > > > Überlegungen darzulegen, wie der Freifunkzugang beschränkt werden
> > > > kann. Das läuft allen Idealen der Freifunkbewegung entgegen. Oder
> > > > gibt
> > > > es diese Ideale gar nicht, die habe ich mir immer nur eingebildet.
> > > > 
> > > Ich weiß nicht ob du es wirklich immer so meinst, wie du schreibst.
> > > Allerdings kommen in letzter Zeit fast nur Mails von dir, in denen
> > > du
> > > einzelne Leute oder kleine Gruppen persönlich angreifst.
> > > Bitte ließ deinen Text beim nächsten mal lieber noch einmal öfter
> > > durch,
> > > bevor du ihn absendest oder adressiere die Mail nur an die
> > > betreffenden.
> > > Meiner Meinung nach gehört so etwas nicht auf eine öffentliche
> > > Liste.
> > > 
> > > Grüße Jan
> > > > 
> > > > 
> > > > Mit den besten Grüßen an alle Unterstützer des Freifunks, ha ha!
> > > > 
> > > > Michael Kreis ("Radiator")
> > > > 
> > > > 
> > > > Am 2. Mai 2016 um 14:08 schrieb Florian Schimmer
> > > > <f.schimmer at posteo.de>:
> > > > 
> > > >        Am 02.05.2016 13:51 schrieb Mister Crumble:
> > > >                Es geht denen eher darum, das dort keine Security
> > > >                vorhanden ist, die
> > > >                nach 22:00 alle Fremden aus dem Haus schmeisst
> > > >                (zumindest habe ich das
> > > >                so verstanden, das war wohl am Anfang so, das viele
> > > >                "Gäste" da waren
> > > >                weil die dort eine Große Küche haben und die halt
> > > >                lange geblieben
> > > >                sind.
> > > > 
> > > >        Und jetzt versteh ich gar nix mehr ;)
> > > > 
> > > >        Gehts vielleicht einfach nur darum, dass man das Internet
> > > > mit
> > > >        "fremden" nicht teilen will?
> > > > 
> > > >                Ich werde Erst mal Router aufhängen und das Problem
> > > >                auf mich zukommen lassen.
> > > > 
> > > >        +1
> > > > 
> > > >        hatte gedacht, dass das Bedingung ist, oder so. Aber wenns
> > > > dir
> > > >        überlassen ist, würde ich das auch einfach auf mich
> > > > zukommen
> > > >        lassen.
> > > > 
> > > >        LG
> > > > 
> > > > 
> > > > 
> > > >                Am 2. Mai 2016 um 13:42 schrieb Christian Dresel
> > > >                <fff at chrisi01.de>:
> > > >                        Am 02.05.2016 um 13:32 schrieb Florian
> > > >                        Schimmer:
> > > >                                Hi Christian,
> > > > 
> > > >                                Am 02.05.2016 12:52 schrieb
> > > > Christian
> > > >                                Dresel:
> > > >                                        hi
> > > > 
> > > >                                        Davon abgesehen das ich das
> > > >                                        Grundproblem nicht verstehe
> > > >                                        würde ich sagen
> > > > 
> > > >                                Auch nochmal auf die Mail von
> > > > gerade:
> > > > 
> > > >                                Technisch ist das natürlich totaler
> > > >                                Blödsinn.
> > > > 
> > > >                                Aber manch einer fühlt sich einfach
> > > >                                wohler, wenn er ein Passwort
> > > >                                eingeben darf ;)
> > > > 
> > > >                        dann kann jeder Freifunkrouter bestimmt
> > > > noch
> > > >                        ein weiteres AP Netz
> > > >                        aufspannen das verschlüsselt ist. Ich
> > > > glaube
> > > >                        bis zu 8 APs sind auf den
> > > >                        ar71xx Chipdingern möglich oder?
> > > > 
> > > > 
> > > >                                Ich glaub, dass der Irrglaube
> > > > einfach
> > > >                                weit verbreitet ist, dass ein
> > > >                                Rechner hinter ner Router-Firewall
> > > >                                sicherer wäre, als wenn er direkt
> > > >                                erreichbar ist.
> > > > 
> > > >                        ob Flüchtlinge diesen Unterschied erkennen?
> > > > 
> > > > 
> > > >                                        das dies geht:
> > > > 
> > > >                                        Der OpenWRT Router hinter
> > > >                                        Freifunk bekommt eine IP
> > > > aus
> > > >                                        dem Freifunknetz
> > > >                                        (da er ja am Clientport
> > > > hängt,
> > > >                                        ist er fürs Freifunk wie
> > > > ein
> > > >                                        Client also
> > > >                                        Handy oder Laptop gesehen)
> > > >                                        z.b. 10.50.38.111 und
> > > > nattet
> > > >                                        selbst auf diese
> > > >                                        IP seine IP Range (z.b.
> > > >                                        vergibt er per DHCP
> > > >                                        192.168.0.0/24)
> > > > 
> > > >                                        D.h. ein Client bekommt
> > > > z.b.
> > > >                                        192.168.0.10 hat als
> > > > Gateway
> > > >                                        192.168.0.1
> > > >                                        und landet am OpenWRT
> > > > Router.
> > > >                                        Dieser sieht das
> > > > Freifunknetz
> > > >                                        als
> > > >                                        "Internetprovider" an (juhu
> > > >                                        wir sind Provider ;) ) und
> > > >                                        routet seinen
> > > >                                        Traffic weiter auf
> > > > 10.50.32.4
> > > >                                        (wäre z.b. ein Gateway in
> > > >                                        diesem Bereich).
> > > >                                        Dieser Gateway nattet nun
> > > >                                        wieder auf Mullvad weiter
> > > > ins
> > > >                                        große
> > > >                                        Internet... Naja schön ist
> > > > was
> > > >                                        anderes ;)
> > > > 
> > > >                                Das hab ich jetzt drei mal lesen
> > > >                                müssen, aber ja ;)
> > > > 
> > > >                                Schön oder nicht schön - wenn se n
> > > >                                eigenes Netz haben wollen geht das
> > > >                                halt nicht anders.
> > > > 
> > > >                        siehe oben, jeder Freifunkrouter kann
> > > > weitere
> > > >                        APs aufspannen
> > > > 
> > > >                                Außerdem haben wir ja alle auch
> > > > noch
> > > >                                Zuhause ein eigenes Netz laufen,
> > > >                                oder?!
> > > >                                Wir routen halt nicht vom einen ins
> > > >                                andere, obwohl ich das eigentlich
> > > > 
> > > >                        oh doch ich glaub manche routen sogar mit
> > > >                        Firewall dazwischen... So
> > > >                        kommen sie vom priv. Netz ins Freifunk nur
> > > >                        andersherum geht nicht. Sowas
> > > >                        in der Art wollte ich schon lange haben
> > > > (mir
> > > >                        geht nur immer die Wolle aus)
> > > > 
> > > >                                begrüßen würde. Dann könnt ich mal
> > > > ne
> > > >                                Kiste erreichen, ohne auf ein
> > > >                                anderes Netz zu wechseln.
> > > > 
> > > > 
> > > >                                        Zudem ist das ganze nicht
> > > >                                        Freifunkkonform, PPA 1 und
> > > > 2
> > > >                                man sollte also
> > > >                                        mindestens noch vors Haus
> > > >                                        einen normalen
> > > > Freifunkrouter
> > > >                                        pappen der
> > > >                                        normales meshen ermöglicht.
> > > > 
> > > >                                Naja, der Freifunk-Router steht ja
> > > >                                immer noch da. Mit dem kann
> > > > gemeshed
> > > >                                werden etc. Also die Situation
> > > >                                verschlechtert sich ja zumindest
> > > > nicht
> > > >                                durch den Aufbau.
> > > > 
> > > >                        aber dann ist das offene Netz doch immer
> > > > noch
> > > >                        da was die Flüchtlinge
> > > >                        nicht wollen weil ich böser Bubi dann ja
> > > >                        einbrechen kann.
> > > > 
> > > >                        mfg
> > > > 
> > > >                        Christian
> > > > 
> > > > 
> > > >                                Lg,
> > > >                                Flo
> > > > 
> > > > 
> > > >                                        Ich hoffe ich hab das ganze
> > > >                                        jetzt richtig verstanden
> > > > was
> > > >                                        da so angedacht
> > > >                                        wurde.
> > > > 
> > > >                                        mfg
> > > > 
> > > >                                        Christian
> > > > 
> > > > 
> > > >                                        Am 02.05.2016 um 12:30
> > > > schrieb
> > > >                                        Florian Schimmer:
> > > > 
> > > > 
> > > >                                                Am 02.05.2016 12:14
> > > >                                                schrieb Florian
> > > >                                                Schimmer:
> > > >                                                        Hi
> > > > Christoph,
> > > > 
> > > >                                                        flash dir
> > > > am
> > > >                                                        besten
> > > > einfach
> > > >                                                        nen
> > > > normalen
> > > >                                                        openwrt-router.
> > > >                                                        Geht genau
> > > > so
> > > >                                                        wie bei der
> > > >                                                        ff-firmware.
> > > > 
> > > >                                                        An den
> > > >                                                        wan-port
> > > >                                                        hängst du
> > > > dann
> > > >                                                        einen
> > > >                                                        client-port
> > > >                                                        vom
> > > > ff-router.
> > > > 
> > > >                                                        Dann gehst
> > > > du
> > > >                                                        auf das
> > > >                                                        luci-webinterface und stellst den wan-port auf
> > > >                                                        dhcp.
> > > > 
> > > >                                                        Dann
> > > > bekommt
> > > >                                                        er ne ip
> > > > aus
> > > >                                                        dem
> > > >                                                        Freifunk-Netz
> > > >                                                        und kann
> > > > schon
> > > >                                                        mal nach
> > > >                                                        außen
> > > >                                                        sprechen.
> > > > 
> > > >                                                        Die
> > > >                                                        Einstellungen
> > > >                                                        zwischen
> > > >                                                        wan-port
> > > > und
> > > >                                                        dem
> > > > "Heimnetz"
> > > >                                                        dürfte dann
> > > >                                                        auch schon
> > > >                                                        passen.
> > > > 
> > > >                                                        Dann musst
> > > > du
> > > >                                                        eigentlich
> > > > nur
> > > >                                                        noch das
> > > > WLAN
> > > >                                                        so
> > > > einrichten,
> > > >                                                        wie du das
> > > >                                                        willst und
> > > >                                                        bist
> > > > fertig.
> > > > 
> > > >                                                        Wenn es
> > > >                                                        geschickter
> > > >                                                        ist,
> > > > könntest
> > > >                                                        du dich
> > > >                                                        vielleicht
> > > >                                                        auch per
> > > > WLAN
> > > >                                                        mit
> > > >                                                        dem
> > > >                                                        Freifunk-Router verbinden.
> > > >                                                        Da müsstest
> > > >                                                        dann aber
> > > > auf
> > > >                                                        dem
> > > >                                                        openwrt-router
> > > >                                                        zwei WLANs
> > > >                                                        (einmal als
> > > >                                                        client und
> > > >                                                        einmal als
> > > > ap
> > > >                                                        für das
> > > >                                                        interne
> > > >                                                        Netzwerk)
> > > >                                                        konfigurieren
> > > >                                                        und
> > > >                                                        ein paar
> > > >                                                        Einstellungen
> > > >                                                        mehr
> > > >                                                        vornehmen.
> > > >                                                        Bin mir
> > > > aber
> > > >                                                        nicht
> > > > sicher,
> > > >                                                        ob man
> > > > client
> > > >                                                        und ap
> > > >                                                        gleichzeitig
> > > >                                                        laufen
> > > >                                                        lassen
> > > > kann?!
> > > > 
> > > >                                                        @alle: geht
> > > >                                                        das?
> > > > 
> > > >                                                        Lg,
> > > >                                                        Flo
> > > > 
> > > > 
> > > >                                                        Am
> > > > 02.05.2016
> > > >                                                        11:59
> > > > schrieb
> > > >                                                        Christoph
> > > >                                                        süpke:
> > > >                                                                Ok,
> > > >                                                                das
> > > >                                                                wäre
> > > >                                                                eine
> > > >                                                                Idee,
> > > >                                                                wie
> > > >                                                                ich
> > > >                                                                das
> > > >                                                                dan
> > > >                                                                genau
> > > >                                                                mache
> > > >                                                                müsste
> > > >                                                                mir
> > > >                                                                dann
> > > >                                                                jemand
> > > >                                                                erklären, ich kenn mich mit NAT und so zeug leider noch nicht
> > > >                                                                aus.
> > > > 
> > > >                                                                MFG
> > > >                                                                Mister
> > > >                                                                Crumble
> > > > 
> > > >                                                                Am
> > > > 2.
> > > >                                                                Mai
> > > >                                                                2016
> > > >                                                                um
> > > >                                                                11:54
> > > >                                                                schrieb Florian Schimmer
> > > >                                                                <f.schimmer at posteo.de>:
> > > >                                                                        Hi,
> > > > 
> > > >                                                                        stell doch einen eigenen Router für die Bewohner auf, der am
> > > >                                                                        Client-Port
> > > >                                                                        hängt und nat'e das Netzwerk.
> > > >                                                                        Dann gibts kein unterschied zum normalen dsl mehr, du hast ein
> > > >                                                                        verschlüsseltes Netz für die Bewohner und trotzdem läuft alles durch
> > > >                                                                        das
> > > >                                                                        ff-netz.
> > > > 
> > > >                                                                        Mit dem vpn bis ins Haus würde ich gefühlt nicht machen.
> > > > 
> > > >                                                                        Lg,
> > > >                                                                        Flo
> > > > 
> > > > 
> > > >                                                                        Am 02.05.2016 11:37 schrieb Mister Crumble:
> > > > 
> > > >                                                                                Hallo, ich war letzte Woche in einer Unterkunft und habe nun eine
> > > >                                                                                Problemstellung,
> > > > 
> > > > 
> > > >                                                                                "" Im Gespräch wurde dann deutlich, dass die Bewohner der Unterkunft
> > > >                                                                                sich für sich selbst Sorgen machen, wenn das Internet öffentlich
> > > >                                                                                zugänglich ist. Sie kennen das nur vom Palatium, wo ja ein
> > > >                                                                                Security-Dienst 24 h vor Ort ist. Sie scheinen ehrlich Angst zu
> > > >                                                                                verspüren, dass alle Welt nun in ihr Haus eindringt, was nunmal auch
> > > >                                                                                gar nicht akzeptabel wäre. ""
> > > > 
> > > > 
> > > >                                                                                gibt es da eine Möglichkeit wie man das am besten Handhabt?
> > > > 
> > > >                                                                                Mein Idee wäre:
> > > > 
> > > >                                                                                Freifunk aufstellen, Bandbreite begrenzen und den Rest über WPA2 mit
> > > >                                                                                Key per VPN ins Ausland, dann können sie es sich aussuchen.
> > > > 
> > > >                                                                                MFG MisterCrumble
> > > > 
> > > > _______________________________________________
> > > >                                                                                franken mailing list
> > > >                                                                                franken at freifunk.net
> > > >                                                                                http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > >                                                _______________________________________________
> > > >                                                franken mailing
> > > > list
> > > >                                                franken at freifunk.net
> > > >                                                http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > > 
> > > > 
> > > > 
> > > >                                        _______________________________________________
> > > >                                        franken mailing list
> > > >                                        franken at freifunk.net
> > > >                                        http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > > 
> > > > 
> > > > 
> > > >                        _______________________________________________
> > > >                        franken mailing list
> > > >                        franken at freifunk.net
> > > >                        http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > > 
> > > >                _______________________________________________
> > > >                franken mailing list
> > > >                franken at freifunk.net
> > > >                http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > >        _______________________________________________
> > > >        franken mailing list
> > > >        franken at freifunk.net
> > > >        http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > > 
> > > > 
> > > > 
> > > > -- 
> > > > **********************************************************
> > > > Michael Kreis, Hardstr. 35, 90766 Fürth, Allemagne/Germany​
> > > > mailto:Michael.Kreis at gmail.com
> > > > **********************************************************
> > > > _______________________________________________
> > > > franken mailing list
> > > > franken at freifunk.net
> > > > http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > > 
> > > _______________________________________________
> > > franken mailing list
> > > franken at freifunk.net
> > > http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> > 
> > 
> > _______________________________________________
> > franken mailing list
> > franken at freifunk.net
> > http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> 
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20160502/58ebab75/attachment.sig>


Mehr Informationen über die Mailingliste franken