Konzept: Whitelist-Verbund fuer die V2-Gateways

[Tim Niemeyer]

Hi Jürgen

Am Sonntag, den 05.08.2018, 12:44 +0200 schrieb Juergen (WBR-Tec):
> Am 05.08.2018 um 10:28 schrieb Tim Niemeyer:
> > Wir haben laut dem Monitoring 616 User, wovon 404 mindestens einen
> > Knoten betreiben. 344 Freifunker sind hier auf der Mailingliste
> > angemeldet. ...  An dieser Diskussion haben bisher ~14 hier auf der
> > Liste teilgenommen.
> > 
> > Das ist jetzt wirklich nur meine ganz eigene Haltung, aber mir ist
> > das
> > zu wenig! Es ist schlicht demotivierend. :( Aber von diesen 14
> > Leuten
> > sind einige dabei, die sich sonst nicht melden und es gibt eine
> > gute
> > Diskussion, das motiviert mich schon wieder. :)
> 
> Nachdem ich ja relativ neu und "unbedarft" beim FFF bin, hatte ich mich 
> bisher etwas zurückgehalten - aber wenn Dich das motiviert, bekommst Du 
> von mir jetzt auch Feedback ;-)
Cool. Danke! :)

> Ich habe im April nicht nur als Knotenaufsteller mit Freifunk 
> angefangen, sondern weil ich das Konzept gut finde und schon immer für 
> einen (mehr oder weniger) anonymisierten Netzzugriff war und bin. Mein 
> Problem ist die Zeit, ob und wie tief ich mich einbringen kann. Die 
> letzten Tage kam ich zum Mitlesen der Mails, aber nicht zum antworten...
> 
> 
> > > > Hier würde ich gern kurz korrigieren. Der Allgemeinheit wird
> > > > hier
> > > > nicht einTeil der Internetleitung abgegeben.
> > > > 
> > > > Tatsächlich wird die lokale Internet-Verbindung nur verwendet
> > > > um
> > > > ein Peering (über ein VPN) zu einem anderen Freifunker
> > > > aufzubauen. Erst
> > > > dieser andere Freifunker "gibt ein Teil der Internetleitung
> > > > ab".
> 
> Nur was den technisch gesehenen Zugriff auf das Internet angeht. 
> Tatsächlich gibt aber jeder Uplink einen Teil seiner 
> "Internetverbindung" ab denn der Traffic läuft ja genau darüber. Dass er 
> über ein Peering zu einem anderen Freifunker geleitet wird, spielt vom 
> Traffic-Aufkommen oder der Leitungsauslastung wiederum keine Rolle. Die 
> hat jeder Uplink für seine Clients zu tragen.
Das stimmt. Der Begriff "Internet" ist da vermutlich etwas schwierig,
weil ja gar kein Zugang zum Internet angeboten wird. Anders gesagt, der
Betreiber eines Freifunk Uplink-Knotens stellt anderen Usern kein
Internet über seinen Knoten zur Verfügung sondern er stellt den Usern
(über seine Bandbreite) eine Verbindung ins Freifunk-Netz zur
Verfügung.

> > > > Aber beim ersten muss ein Verständnis dafür geschaffen
> > > > werden, was dieses Peering eigentlich bedeutet und was dahinter
> > > > steht.
> 
> Ja, finde ich durchaus in Ordnung. Ich habe anfänglich beispielsweise 
> auch erstmal verstehen müssen, wie Freifunk funktioniert, wie die 
> Strukturen sind. Was passiert im Hintergrund, usw...
> Das Wiki ist hilfreich, aber ich behaupte einfach mal, ohne persönlichen 
> Kontakt kann es kein tatsächliches Verständnis geben.
> Ich hatte zwei Leute, die mich bei der Planung unterstützt haben - ein 
> Projekt ist umgesetzt, das zweite in Arbeit.... alleine hätte ich das 
> gar nicht geschafft weil das Verständnis nicht da war.
> (das technische Wissen schon, aber das spielt nur eine untergeordnete 
> Rolle dabei)
> Klar, einen FFF-Router daheim aufs Fensterbrett zu stellen ist einfach, 
> aber ich sehe das schon auch so - das alleine ist es halt nicht.
> 
> Die Sache mit der Whitelist. Nunja - wenn es technisch einfach zu lösen 
Das kommt leider darauf an, wie simple man die Implementierung halten
möchte. Macht man es quasi manuell per E-Mail Anmeldung ist die Lösung
gratis, der Betreuungsaufwand und die Wartezeit aber hoch. Macht man
ein Web-Portal müsste dieses zunächst entwickelt werden.

> ist und keine zusätzliche Performance kostet - warum nicht. Ich hätte 
Ja, aber das geht definitiv im Rauschen unter. Es belastet nicht die
Knoten sondern nur die Gateways, welche die Whiteliste natürlich
abfragen müssen.

> jedenfalls kein Problem damit (oder anfänglich gehabt), wenn ich mich 
> zunächst hätte "anmelden" müssen - hab ich ja auch im Wiki/Monitoring 
> und später hier auf der ML.
> 
> Vielleicht könnte man den Monitoring-Account da mit dranhängen, ich hab 
> jetzt gerade schon drei Accounts für FFF - und mit einer Verwaltung der 
> MACs käme ein vierter Account dazu.... ?
Da hast du einen guten Punkt gefunden. Es würde mich begeistern, wenn
wir ein zentralen Account für diese Dienste schaffen könnten.

Irgendwas, ein OpenLDAP oder ne kleine SQL Datenbank würden ja
theoretisch schon reichen. Da könnte man das Monitoring, das Wiki und
natürlich das neue "Mac-Anmelde-Portal" gut dran anbinden. Die
Mailingliste wird vermutlich leider nicht gehen. Den Account könnte man
entweder über eines der vorhandenen Dienste oder über eine neue
Account-Anlege Seite machen.

Die Idee gefällt mir sehr gut. Braucht nur jemand, der da hilft das
umzusetzen.

> 
> > - Durch die Freischaltung deines Accounts landet dein erster Knoten
> > auf
> > der Whitelist.
> > - Stellst du einen zweiten Knoten auf, kannst du dich auf der
> > Webseite
> > einloggen und selber weitere Knoten freischalten
> 
> Ich finde, das passt.
> Allerdings habe ich noch nicht verstanden, ob es Kriterien für die 
> Freischaltung in Deinem Konzept gibt. Wird pauschal jeder, der es 
> "beantragt" freigeschaltet oder gibt es auch Ausschlusskriterien?
Ich würde mir wünschen, dass bei der Beantragung schon eine kurze
Vorstellung gegeben wird. Wenn ein Neuling da z.B. reinschreibt, warum
er eigentlich mitmachen möchte, wäre das für mich perfekt. Ich bin in
dem Punkt aber flexibel und das kann gerne noch geklärt werden.
Ganz stumpf jeden (womöglich automatisch) durchzuwinken würde ich nicht
tun, allein weil (sofern Wiki usw an gebunden werden) Spammer
aufschlagen werden.

> Und wenn jeder freigeschaltet wird - was genau ändert das daran, dass 
> sich diejenigen später vielleicht doch nicht so um ihre Geräte kümmern?
Wenn der Mentor merkt, dass was mit dem Gerät nicht stimmt, kann er den
Peering-Partner direkt anschreiben. Z.B. ist der Knoten vllt mit einer
ganz ganz alten Firmware ausgestattet, wenn dieser aber nach sagen wir
mal einem halben Jahr trotz dreimaligen Anschreibens nicht reagiert,
könnte man den User z.B. zum Peering sperren.

Oder aber der Mentor (ist ja dann stellvertretend für den Peering-
Partner) möchte einfach nur so mal fragen, wie das befinden auf der
anderen Seite ist, dann darf der Mentor den gerne anschreiben.

Ich mache das bei meinen Richtfunk-Strecken ja auch hin und wieder.
Manchmal geh ich sogar mit dem ein oder anderen n Cocktail trinken. Das
ist natürlich durch die lokale Nähe ein bisschen was anderes, aber am
Ende ist dieses VPN um das es hier geht eben auch eine Infrastruktur-
Verbindung, die nur durch zwei Gegenstellen zustande kommt.

Ich denke alleine durch das Wissen, dass jeder Knoten dort angemeldet
ist und das am anderen Ende auch mal jemand da drauf guckt, werden sich
die "Router-Aufsteller" anders um ihre Geräte kümmern.

Bisher ist das ja alles total anonym, es kostet nichts und es
funktioniert einfach. Warum sollte man sich da auch drum kümmern?

> > Sollte ein Aufsteller aber nach längerer Zeit und mehreren
> > Versuchen
> > der Kontaktaufnahme nicht reagieren, würde der Account wieder in
> > eine
> > Art "pending" Zustand gehen und seine Knoten würden die Whiteliste
> > verlassen müssen.
> 
> Wobei das aber immer eine Einzelfallregelung sein muss und niemals per 
> Automatismus erfolgen darf.
Sehe ich genauso! Bisher waren wir bei solchen Aktionen (Netmon
Abschaltung; AUX Abschaltung; usw) immer extrem gnädig und haben das
alles jeweils gefühlte tausend mal angekündigt.

Mir geht es mit dem Konzept auch nicht darum irgendjemanden zu
bestrafen oder zu kontrollieren. Das wäre letztlich auch ohne das
Konzept schon möglich. Mir geht es wirklich nur um die
Bindung/Beziehung der Peering-Partner.

> Bin gespannt wo sich das hinentwickelt.
Ja, ich auch. Vielen Dank für dein Input.

Tim

> Grüße aus dem Fichtelgebirge
> 
> Jürgen
> 
> 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 488 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20180805/60fbf80f/attachment.sig>