Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

[Michael Fritscher]

Moin,

nunja, das PPA gilt meines Erachtens erstmal nur innerhalb des
(Freifunk-) Netzwerkes. Und das wir an den Außengrenzen filtern ist
nichts neues (Nebeneffekt vom Natting, viele VPN-Anbieter haben Port 25
ausgehend gesperrt etc.)

Auch sage ich nicht, dass wir an den Außengrenzen filtern müssen. Ich
habe ja schon andere Möglichkeiten angedeutet, die z.B. auf L2 Ebene
oder den Übergang dazu passieren könnten. Außerdem gäbe es noch die
Möglichkeit einer Wahlmöglichkeit am Router oder vom Client (ersteres
durch Einstellung, zweiteres durch z.B. einer zusätzlichen SSID) Gerade
letzteres ist "PPA-moraltechnisch" meines Erachtens völlig
unproblematisch, weil hier der Enduser frei wählen kann, ob er die FW
haben will oder nicht. Eine Variante davon wäre, dass eine
Ethernetbuchse für Server verwendet werden kann, bei der anderen + WLAN
allerdings keine eingehenden Verbindungen von "ganz außen" möglich sind.

F3N hat sich im September letztes Jahres für sein Netz ja ganz klar
_für_ eine Firewall entschieden (zumindest vorerst). Hier kam auch die
Idee zweier Präfixe auf. Hier wäre es schön, die Beweggründe zu können,
um noch fundierter darüber diskutieren zu können.

Viele Grüße,
Michael Fritscher

On 29.04.19 08:28, robert wrote:
> Hallo,
> 
> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
> eingegangen. Diese verlassen sich darauf, dass ich mich an das PPA
> halte. Nur so kann ein freies und funktionierendes Netz entstehen.
> 
> Ein Filter ist immer eine Beeinträchtigung des Transits.
> 
> Anders sieht es bei einem dezentralen Gateway aus, bei dem es nicht
> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz verbinden. Das
> PPA endet meines Erachtens an der Broadcastdomain, falls diese
> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA gelten.
> 
> Viele Grüße
> 
> Robert
> 
> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>> Hallo ihr,
>>
>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist es ja
>> zumindest technisch möglich, den Clients öffentlich erreichbare IPv6 zu
>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren aber
>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden anscheinend
>> derzeit geklärt.
>>
>> Ich sehe aber noch ein anderes Problem, wenn eingehende Verbindungen
>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz direkt
>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
>> "normale" Internet. Typische Router wie die Fritzbox sperren auch bei
>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist - mit
>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>
>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
>> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren ungeschützt im
>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben. Ich
>> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung und
>> z.B. das Gewähren von Standorten für Antennen etc. helfen wird... Ja,
>> technisch wären nicht wir, sondern die Clients schuld, aber das wird in
>> diesem Moment keine Sau interessieren fürchte ich.
>>
>> Aber ich weiß auch, dass viele nur darauf warten, einen der größeren
>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter und
>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>>
>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit einigem
>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario überdenken
>> können. Vielleicht misten sie dann auch mal das ein oder ander bekannt
>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste, die
>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>
>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn man das
>> am Router (anscheinend wird dieses Drum mittlerweile eher Node genannt)
>> einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die Hoods
>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte man
>> entweder am Router einstellen, zu welcher Variante man sich verbinden
>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen vor),
>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2 SSIDs
>> wie z.B. "wuerzburg.freifunk-franken.de" und
>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
>> selbst entscheiden, ob er eingehende Verbindungen haben möchte oder nicht.
>>
>> Meinungen?
>>
>> Viele Grüße,
>> Michael Fritscher
>