Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

[Michael Fritscher]

Äh, das waren aber komplett anders gelagerte Fälle... Wir sollten schon
auf der technisch sauberen Ebene bleiben.

On 29.04.19 12:53, Robert Langhammer wrote:
> Hi,
> das Netz ist Teil des Internets, mit ipv6 sogar richtig. Ich bin gegen Filter im Internet. Vor einigen Wochen sind sogar viele gegen Filter auf die Straße gegangen. 
> Viele Grüße
> Robert 
> 
> Am 29. April 2019 09:40:14 MESZ schrieb Michael Fritscher <michael at fritscher.net>:
>> Moin,
>>
>> nunja, das PPA gilt meines Erachtens erstmal nur innerhalb des
>> (Freifunk-) Netzwerkes. Und das wir an den Außengrenzen filtern ist
>> nichts neues (Nebeneffekt vom Natting, viele VPN-Anbieter haben Port 25
>> ausgehend gesperrt etc.)
>>
>> Auch sage ich nicht, dass wir an den Außengrenzen filtern müssen. Ich
>> habe ja schon andere Möglichkeiten angedeutet, die z.B. auf L2 Ebene
>> oder den Übergang dazu passieren könnten. Außerdem gäbe es noch die
>> Möglichkeit einer Wahlmöglichkeit am Router oder vom Client (ersteres
>> durch Einstellung, zweiteres durch z.B. einer zusätzlichen SSID) Gerade
>> letzteres ist "PPA-moraltechnisch" meines Erachtens völlig
>> unproblematisch, weil hier der Enduser frei wählen kann, ob er die FW
>> haben will oder nicht. Eine Variante davon wäre, dass eine
>> Ethernetbuchse für Server verwendet werden kann, bei der anderen + WLAN
>> allerdings keine eingehenden Verbindungen von "ganz außen" möglich
>> sind.
>>
>> F3N hat sich im September letztes Jahres für sein Netz ja ganz klar
>> _für_ eine Firewall entschieden (zumindest vorerst). Hier kam auch die
>> Idee zweier Präfixe auf. Hier wäre es schön, die Beweggründe zu können,
>> um noch fundierter darüber diskutieren zu können.
>>
>> Viele Grüße,
>> Michael Fritscher
>>
>> On 29.04.19 08:28, robert wrote:
>>> Hallo,
>>>
>>> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
>>> eingegangen. Diese verlassen sich darauf, dass ich mich an das PPA
>>> halte. Nur so kann ein freies und funktionierendes Netz entstehen.
>>>
>>> Ein Filter ist immer eine Beeinträchtigung des Transits.
>>>
>>> Anders sieht es bei einem dezentralen Gateway aus, bei dem es nicht
>>> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz verbinden.
>> Das
>>> PPA endet meines Erachtens an der Broadcastdomain, falls diese
>>> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA gelten.
>>>
>>> Viele Grüße
>>>
>>> Robert
>>>
>>> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>>>> Hallo ihr,
>>>>
>>>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist
>> es ja
>>>> zumindest technisch möglich, den Clients öffentlich erreichbare IPv6
>> zu
>>>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren aber
>>>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>>>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden
>> anscheinend
>>>> derzeit geklärt.
>>>>
>>>> Ich sehe aber noch ein anderes Problem, wenn eingehende Verbindungen
>>>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz
>> direkt
>>>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
>>>> "normale" Internet. Typische Router wie die Fritzbox sperren auch
>> bei
>>>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
>>>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>>>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist -
>> mit
>>>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>>>
>>>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
>>>> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
>>>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>>>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren
>> ungeschützt im
>>>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben. Ich
>>>> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung
>> und
>>>> z.B. das Gewähren von Standorten für Antennen etc. helfen wird...
>> Ja,
>>>> technisch wären nicht wir, sondern die Clients schuld, aber das wird
>> in
>>>> diesem Moment keine Sau interessieren fürchte ich.
>>>>
>>>> Aber ich weiß auch, dass viele nur darauf warten, einen der größeren
>>>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter
>> und
>>>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>>>>
>>>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit einigem
>>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario
>> überdenken
>>>> können. Vielleicht misten sie dann auch mal das ein oder ander
>> bekannt
>>>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste,
>> die
>>>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>>>
>>>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn man
>> das
>>>> am Router (anscheinend wird dieses Drum mittlerweile eher Node
>> genannt)
>>>> einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
>>>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>>>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die
>> Hoods
>>>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte
>> man
>>>> entweder am Router einstellen, zu welcher Variante man sich
>> verbinden
>>>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen vor),
>>>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2
>> SSIDs
>>>> wie z.B. "wuerzburg.freifunk-franken.de" und
>>>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
>>>> selbst entscheiden, ob er eingehende Verbindungen haben möchte oder
>> nicht.
>>>>
>>>> Meinungen?
>>>>
>>>> Viele Grüße,
>>>> Michael Fritscher
>>>