IPv6 und Clients von außen erreichbar: Meinungsbild?

[florian at fam-pankerl.de]

Hallo allerseits!

Hört sich erst einmal nach einer guten Idee an - allerdings müsste man  
dann eine Möglichkeit schaffen, den User (bzw. das Device) eindeutig  
zu identifizieren.
Entweder arbeitet man dann mit statischen IPv6-Adressen, die in der  
Firewall freigegeben werden oder man führt DHCPv6 ein, dann müsste  
allerdings der User seine MAC-Adresse bekannt geben, die dann an einer  
zentralen Stelle gespeichert wird, so dass die zu der MAC gehörende IP  
in der Firewall freigeschaltet wird.

Will man das? Eigentlich läuft das der Datensparsamkeit zuwider...

Grüße,
Florian


Zitat von Michael Fritscher <michael at fritscher.net>:

> Moin,
>
> von den "großen" normalen Providern bekommen die Endkunden Fritzboxen
> o.ä., die den eingehenden IPv6 Traffic standardmäßig blockieren, und er
> explizit freigeschalten werden muss. Dies kann der Endkunde im Router
> machen.
>
> Sowas ähnliches wäre meines Erachtens auch bei Freifunk das
> geschickteste: Jeder Endnutzer kann sich bewusst dafür entscheiden
> eingehende Verbindungen zu erlauben, bekommt sie aber standardmäßig aber
> nicht rein.
>
> Innerhalb des Freifunknetzes habe ich auch keine Bauchschmerzen
> eingehende Verbindungen standardmäßig zu erlauben, nur dass der
> Zusatzdienst "Anschluss ans normale Internet" dazu führt dass alle
> Freifunkteilnehmer standardmäßig von außen erreichbar sind bereitet mir
> Bauchschmerzen. Und da geht mir derzeit auch eher um Koordination und
> Informationsfindung, um dann (am besten FFF-weit) eine einheitliche
> Entscheidung herbeizuführen, ob wir eingehende Verbindungen zulassen
> sollten, wenn ja wie, und wie wir die User darüber informieren.
> Vermutlich sind wir auch nicht die ersten, die darüber stolpern - wie
> machen das andere FF-Communities (und warum)?
>
> Viele Grüße,
> Michael Fritscher
>
> On 29.04.19 13:13, McUles wrote:
>> Ich weiß ja nicht wie die ganzen großen Provider das handhaben,  
>> jedoch habe ich bisher nur von welchen gelesen die einen externen  
>> Zugriff auf die IPs zulassen. Warum sollten wir das anders machen?
>> Wir sind Freifunk und werben mit einem neutralen und ungefilterten  
>> netz. Ist ipv6 kein Teil unseres Netzes?
>> Wenn jemand eine Kiste im FFF Netz angreifen möchte, wäre der  
>> Filter auch kein großes Hindernis. Bieten wir doch jedermann die  
>> Möglichkeit sich per VPN, Router oder sonstwie mit rein zu hängen.
>> Das Argument mit den gehackten gaming-Servern zieht für mich auch  
>> nicht, wer will den mit unseren Latenzen wirklich Ego-Shooter etc  
>> spielen?!
>>
>> Bin der Meinung das wir ipv6 ebenfalls ungefiltert ausrollen sollten.
>>
>> ⁣Gruß,
>> McUles​
>>
>> Am 29. Apr. 2019, 12:56, um 12:56, Robert Langhammer  
>> <rlanghammer at web.de> schrieb:
>>> Hi,
>>> das Netz ist Teil des Internets, mit ipv6 sogar richtig. Ich bin gegen
>>> Filter im Internet. Vor einigen Wochen sind sogar viele gegen Filter
>>> auf die Straße gegangen.
>>> Viele Grüße
>>> Robert
>>>
>>> Am 29. April 2019 09:40:14 MESZ schrieb Michael Fritscher
>>> <michael at fritscher.net>:
>>>> Moin,
>>>>
>>>> nunja, das PPA gilt meines Erachtens erstmal nur innerhalb des
>>>> (Freifunk-) Netzwerkes. Und das wir an den Außengrenzen filtern ist
>>>> nichts neues (Nebeneffekt vom Natting, viele VPN-Anbieter haben Port
>>> 25
>>>> ausgehend gesperrt etc.)
>>>>
>>>> Auch sage ich nicht, dass wir an den Außengrenzen filtern müssen. Ich
>>>> habe ja schon andere Möglichkeiten angedeutet, die z.B. auf L2 Ebene
>>>> oder den Übergang dazu passieren könnten. Außerdem gäbe es noch die
>>>> Möglichkeit einer Wahlmöglichkeit am Router oder vom Client (ersteres
>>>> durch Einstellung, zweiteres durch z.B. einer zusätzlichen SSID)
>>> Gerade
>>>> letzteres ist "PPA-moraltechnisch" meines Erachtens völlig
>>>> unproblematisch, weil hier der Enduser frei wählen kann, ob er die FW
>>>> haben will oder nicht. Eine Variante davon wäre, dass eine
>>>> Ethernetbuchse für Server verwendet werden kann, bei der anderen +
>>> WLAN
>>>> allerdings keine eingehenden Verbindungen von "ganz außen" möglich
>>>> sind.
>>>>
>>>> F3N hat sich im September letztes Jahres für sein Netz ja ganz klar
>>>> _für_ eine Firewall entschieden (zumindest vorerst). Hier kam auch die
>>>> Idee zweier Präfixe auf. Hier wäre es schön, die Beweggründe zu
>>> können,
>>>> um noch fundierter darüber diskutieren zu können.
>>>>
>>>> Viele Grüße,
>>>> Michael Fritscher
>>>>
>>>> On 29.04.19 08:28, robert wrote:
>>>>> Hallo,
>>>>>
>>>>> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
>>>>> eingegangen. Diese verlassen sich darauf, dass ich mich an das PPA
>>>>> halte. Nur so kann ein freies und funktionierendes Netz entstehen.
>>>>>
>>>>> Ein Filter ist immer eine Beeinträchtigung des Transits.
>>>>>
>>>>> Anders sieht es bei einem dezentralen Gateway aus, bei dem es nicht
>>>>> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz verbinden.
>>>> Das
>>>>> PPA endet meines Erachtens an der Broadcastdomain, falls diese
>>>>> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA gelten.
>>>>>
>>>>> Viele Grüße
>>>>>
>>>>> Robert
>>>>>
>>>>> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>>>>>> Hallo ihr,
>>>>>>
>>>>>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist
>>>> es ja
>>>>>> zumindest technisch möglich, den Clients öffentlich erreichbare
>>> IPv6
>>>> zu
>>>>>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren
>>> aber
>>>>>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>>>>>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden
>>>> anscheinend
>>>>>> derzeit geklärt.
>>>>>>
>>>>>> Ich sehe aber noch ein anderes Problem, wenn eingehende
>>> Verbindungen
>>>>>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz
>>>> direkt
>>>>>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
>>>>>> "normale" Internet. Typische Router wie die Fritzbox sperren auch
>>>> bei
>>>>>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
>>>>>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>>>>>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist -
>>>> mit
>>>>>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>>>>>
>>>>>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
>>>>>> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
>>>>>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>>>>>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren
>>>> ungeschützt im
>>>>>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben.
>>> Ich
>>>>>> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung
>>>> und
>>>>>> z.B. das Gewähren von Standorten für Antennen etc. helfen wird...
>>>> Ja,
>>>>>> technisch wären nicht wir, sondern die Clients schuld, aber das
>>> wird
>>>> in
>>>>>> diesem Moment keine Sau interessieren fürchte ich.
>>>>>>
>>>>>> Aber ich weiß auch, dass viele nur darauf warten, einen der
>>> größeren
>>>>>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter
>>>> und
>>>>>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>>>>>>
>>>>>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit
>>> einigem
>>>>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario
>>>> überdenken
>>>>>> können. Vielleicht misten sie dann auch mal das ein oder ander
>>>> bekannt
>>>>>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste,
>>>> die
>>>>>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>>>>>
>>>>>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn
>>> man
>>>> das
>>>>>> am Router (anscheinend wird dieses Drum mittlerweile eher Node
>>>> genannt)
>>>>>> einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
>>>>>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>>>>>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die
>>>> Hoods
>>>>>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte
>>>> man
>>>>>> entweder am Router einstellen, zu welcher Variante man sich
>>>> verbinden
>>>>>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen
>>> vor),
>>>>>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2
>>>> SSIDs
>>>>>> wie z.B. "wuerzburg.freifunk-franken.de" und
>>>>>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
>>>>>> selbst entscheiden, ob er eingehende Verbindungen haben möchte oder
>>>> nicht.
>>>>>>
>>>>>> Meinungen?
>>>>>>
>>>>>> Viele Grüße,
>>>>>> Michael Fritscher
>>>>>
>>