Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

Christian Dresel fff at chrisi01.de
So Apr 28 18:44:37 CEST 2019


hi

Viele Hoods die ich betreue nutzen ein v6 Netz von hier:

https://v6fff.cdresel.de/

Zitat:

* Es gibt keine eingehende Firewall auf den Border Gateways. Alle
Clients sind aus dem Internet direkt erreichbar. Wenn dies nicht
gewünscht ist muss auf dem Freifunk Gateway eine Firewall installiert
werden die eingehende Verbindungen blockiert

Auf meinen v2 Gateways die das Netz nutzen gibt es keine Firewall. Jeder
ist direkt aus dem Internet erreichbar so wie es sich für ein
ordentliches Netz gehört. Das ist übrigens schon immer so seit ich v6
mache, es gab nie Filter. Es gab bisher weder beschwerden noch
irgendwelche Probleme, auch aus rechtlicher Sicht bei mir, genaugenommen
hab ich seit ich das mache noch gar keinen Abuse oder irgendwelchen
Quatsch bekommen ich möchte hier mal kurz die Zeit nehmen und die Nutzer
loben das alles so brav abläuft und ich daher Null Probleme bekommen,
DANKE!. Es gibt auch viele weitere Leute die mein Netz mit nutzen, ob
sie filtern weiß ich natürlich nicht, können sich gerne selbst dazu äußern.

Getrennte SSID, auf Nodes filtern o.ä. quatsch bin ich total dagegen,
sowas werde ich in meinen Hoods nicht einführen (wers haben will, kanns
gerne selbst machen) und in der offiziellen Firmware verweigern. Wer das
für sein Netz machen will, kann das natürlich gerne tun.

Auch hab ich von Anfang an bei F3N gedrängt diesen Filterquatsch sein zu
lassen und werde weiter dafür kämpfen das er bald entfernt wird.

Gruß

Christian

On 28.04.19 18:12, Michael Fritscher wrote:
> Hallo ihr,
>
> durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist es ja
> zumindest technisch möglich, den Clients öffentlich erreichbare IPv6 zu
> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren aber
> u.a. die Border-Router von f3n eingehenden Traffic (siehe
> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden anscheinend
> derzeit geklärt.
>
> Ich sehe aber noch ein anderes Problem, wenn eingehende Verbindungen
> möglich werden: Bislang waren die Clients nur im Freifunk-Netz direkt
> zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
> "normale" Internet. Typische Router wie die Fritzbox sperren auch bei
> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist - mit
> allen Konsequenzen, gerade auch sicherheitstechnischen.
>
> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
> PR-Disaster ala "Freifunk ist unsicher, die Clients waren ungeschützt im
> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben. Ich
> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung und
> z.B. das Gewähren von Standorten für Antennen etc. helfen wird... Ja,
> technisch wären nicht wir, sondern die Clients schuld, aber das wird in
> diesem Moment keine Sau interessieren fürchte ich.
>
> Aber ich weiß auch, dass viele nur darauf warten, einen der größeren
> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter und
> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>
> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit einigem
> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario überdenken
> können. Vielleicht misten sie dann auch mal das ein oder ander bekannt
> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste, die
> absichtlich nur im Freifunk-Netz erreichbar sind.
>
> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn man das
> am Router (anscheinend wird dieses Drum mittlerweile eher Node genannt)
> einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die Hoods
> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte man
> entweder am Router einstellen, zu welcher Variante man sich verbinden
> möchte (technische Umsetzung lasse ich jetzt absichtlich außen vor),
> oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2 SSIDs
> wie z.B. "wuerzburg.freifunk-franken.de" und
> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
> selbst entscheiden, ob er eingehende Verbindungen haben möchte oder nicht.
>
> Meinungen?
>
> Viele Grüße,
> Michael Fritscher

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190428/012d6aab/attachment.sig>


Mehr Informationen über die Mailingliste franken