Konzept: Whitelist-Verbund fuer die V2-Gateways

[mail at adrianschmutzler.de]

Hallo Tim und Rest,

grundsätzlich bin ich dafür, das automatische Peering beizubehalten.

Sollte man sich jedoch anders entscheiden, finde ich die hier vorgeschlagene Lösung sehr gelungen:

Durch den DNS-Eintrag dezentralisiert man die Möglichkeit, Einträge vorzunehmen, zu einem gewissen Grad. Man muss weder Gateway-Betreiber noch einer der wenigen KeyXchange-Admins sein, um am DNS teilnehmen zu können. Die technische Hürde ist niedriger. Trotzdem braucht man Anbindung des Servers per Peering und natürlich Absprache mit den DNS-Partnern.

Das System ist zudem einfach, da man nur einen Satz an Mac-Adressen als einzutragende Daten benötigt. Diese kann man dann je nach Vertrauensstruktur direkt in den DNS eintragen oder auch entsprechend zur Eintragung "einfach" weitergeben.

Weiterhin ist durch den DNS die Verteilung/Zugänglichkeit der Daten automatisch gewährleistet, man muss also nicht ein zusätzliches System erfinden, dass das leistet.

Folgende Probleme kommen mir in den Sinn:
- Verkraftet unser DNS-Austausch-System eine entsprechend große Zahl an Einträgen und Teilnehmern? (der DNS selbst sicher, ich meine das Synchronisationsskript)
- Wenn es in der Folge weniger Uplink-Betreiber gibt, wird es mehr Versuche geben, irgendwo ohne Mitsprache mitzumeshen. Die Auswirkungen durch höhere Auslastung der entsprechenden Frequenzbänder sind aber wohl kein wirkliches Problem.

Was ich nicht ganz verstehe:
- Der Abgleich am Gateway ist dann einfach sowas wie ein dig basierend auf der Mac-Adresse? Oder soll da etwas komplexeres dahinter stecken?
- Ein Abschnitt klingt so, als wolltest du die Kontaktadressen in den DNS eintragen? Geht das? Oder ist das ein Missverständnis?

Soweit erstmal von mir.

Grüße

Adrian


> -----Original Message-----
> From: franken-gateway [mailto:franken-gateway-bounces at freifunk.net] On
> Behalf Of Tim Niemeyer
> Sent: Donnerstag, 2. August 2018 19:35
> To: franken-gateway at freifunk.net; franken at freifunk.net
> Subject: Konzept: Whitelist-Verbund fuer die V2-Gateways
> 
> Hallo zusammen
> 
> Bereits seit langer Zeit kann man bei Freifunk Franken beobachten, dass zwar
> viele Knoten aufgestellt werden, aber wenn es darum geht, dass irgendwie
> geholfen werden muss sich immer nur die selben paar melden.
> 
> Das Freifunk nicht nur daraus bestehen kann irgendwo einen Knoten
> aufzustellen sollte ja eigentlich jedem klar sein.
> 
> Ein besonders wichtiger Aspekt ist, dass die Menschen befähigt werden
> selbst solche Netzwerke aufzubauen. Deshalb ist die Wissensvermittlung ein
> zentraler Punkt beim Freifunk, die Freifunker helfen sich gegenseitig und
> bauen gemeinsam Wissen auf. Leider muss man dafür miteinander reden,
> chatten oder mailen.
> 
> Bei den Layer-3 Peerings (z.B. zwischen den Gateways) haben wir schon
> immer die Regel gehabt, dass man sich gegenseitig mindestens einmal
> gesehen haben muss, sonst wird das Peering nicht eingegangen.
> 
> Auch bei den zentral verwalteten Hoods gibt es so etwas wie ein Peering.
> Zum einen, wenn mit dem Nachbarn eine "Mesh-Verbindung"
> aufgebaut wird, zum anderen zu den Gateways. Wer eine halbwegs gute
> "Mesh-Verbindung" aufbauen möchte muss zwingend mit seinem Nachbarn
> reden, denn es müssen Antennen ausgerichtet werden. Warum müssen
> dann aber die Knotenaufsteller und die Gateway-Betreiber nicht
> miteinander reden?
> 
> Ich glaube, dass es uns als Gemeinschaft extrem stark voran bringen würde,
> wenn dieses "automatische" Peering nicht mehr stattfindet, sondern
> stattdessen zunächst einmal miteinander gesprochen werden muss.
> 
> Konkret stelle ich mir vor, dass wir für jeden Knoten einen Eintrag im DNS
> hinterlegen: <MAC>.node.fff.community In den Einträgen sind dann die E-
> Mail Adresse (ist eh eine Pflichtangabe bei Freifunk; Siehe PicoPeering-
> Agreement!) von dem Knoten-Betreiber und die E-Mail Adresse des
> eintragenden drin.
> 
> Wenn ein Knoten nun die VPN Verbindung zum Gateway aufbaut, dann
> prüft das Gateway im DNS, ob es einen entsprechenden Eintrag gibt. Wenn
> ja wird die Verbindung akzeptiert, wenn nein eben nicht.
> 
> Wie kommt man dann als Knoten-Aufsteller an so einen Eintrag? Naja, man
> fragt einen Gateway-Betreiber oder einen Mentor. Beide haben dann die
> Pflicht den anfragenden darauf hinzuweisen, dass die angegebene E-Mail
> Adresse regelmäßig gelesen werden muss und das (mehr oder weniger)
> erwartet wird, dass man sich in die Community eingibt und (jeder auf seine
> Weise) auch unterstützen muss. Man muss als Freifunker eben "aktiv" bei
> der Community sein (oder einen Grund haben, warum man nicht aktiv ist, es
> kann ja immer mal was sein, kein Problem).
> 
> Es ist für den ersten Schritt nicht nötig, dass alle Gateway-Betreiber bei
> diesem Verbund mitmachen. Aber da man als Knoten-Betreiber eigentlich
> keine Kontrolle darüber hat, in welcher der zentral verwalteten Hoods man
> ist (Hoods können ja gelöscht oder neu hinzugefügt werden), kann es eben
> dann doch mal passieren, dass man in einer Hood mit Whitelist landet.
> 
> Irgendwann später könnte ich mir vorstellen, dass diese Whiteliste auch mal
> aufgeräumt wird. Dann werden die Betreiber angemailt und gefragt, ob sie
> noch aktiv sind, was sie so für die Community gemacht haben oder warum es
> vielleicht nicht so gut geklappt hat mit der Unterstützung.
> Wer sich nicht meldet, fliegt dann von der Whitelist runter.
> 
> Mir ist klar, dass wir dadurch sicherlich viele Freifunk-Knoten verlieren
> werden, aber ich bin auch überzeugt, dass wir langfristig wieder mehr dazu
> gewinnen werden, weil die Community einfach viel aktiver sein wird.
> 
> Ich freue mich auf euer Feedback
> Tim