IPv6 und Clients von außen erreichbar: Meinungsbild?

[Michael Fritscher]

Hallo ihr,

durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist es ja
zumindest technisch möglich, den Clients öffentlich erreichbare IPv6 zu
vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren aber
u.a. die Border-Router von f3n eingehenden Traffic (siehe
https://sub.f3netze.de/ ). Die rechtlichen Probleme werden anscheinend
derzeit geklärt.

Ich sehe aber noch ein anderes Problem, wenn eingehende Verbindungen
möglich werden: Bislang waren die Clients nur im Freifunk-Netz direkt
zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
"normale" Internet. Typische Router wie die Fritzbox sperren auch bei
IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist - mit
allen Konsequenzen, gerade auch sicherheitstechnischen.

Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
PR-Disaster ala "Freifunk ist unsicher, die Clients waren ungeschützt im
Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben. Ich
glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung und
z.B. das Gewähren von Standorten für Antennen etc. helfen wird... Ja,
technisch wären nicht wir, sondern die Clients schuld, aber das wird in
diesem Moment keine Sau interessieren fürchte ich.

Aber ich weiß auch, dass viele nur darauf warten, einen der größeren
Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter und
ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?

Mir wäre es zumindest wichtig, dass die Router-Betreiber mit einigem
Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario überdenken
können. Vielleicht misten sie dann auch mal das ein oder ander bekannt
unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste, die
absichtlich nur im Freifunk-Netz erreichbar sind.

Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn man das
am Router (anscheinend wird dieses Drum mittlerweile eher Node genannt)
einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die Hoods
zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte man
entweder am Router einstellen, zu welcher Variante man sich verbinden
möchte (technische Umsetzung lasse ich jetzt absichtlich außen vor),
oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2 SSIDs
wie z.B. "wuerzburg.freifunk-franken.de" und
"server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
selbst entscheiden, ob er eingehende Verbindungen haben möchte oder nicht.

Meinungen?

Viele Grüße,
Michael Fritscher