Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

McUles mcules at freifunk-hassberge.de
Mo Apr 29 18:06:08 CEST 2019


Das impliziert:
a) etwas zentrales
b) gespeicherte Daten des Users
Beides sind Punkte welche bei Freifunk eigentlich NICHT gewollt sind.
Außerdem wären wir dann bei c) Filter...

⁣Gruß,
McUles​

Am 29. Apr. 2019, 17:46, um 17:46, florian at fam-pankerl.de schrieb:
>Hallo allerseits!
>
>Hört sich erst einmal nach einer guten Idee an - allerdings müsste man 
>
>dann eine Möglichkeit schaffen, den User (bzw. das Device) eindeutig  
>zu identifizieren.
>Entweder arbeitet man dann mit statischen IPv6-Adressen, die in der  
>Firewall freigegeben werden oder man führt DHCPv6 ein, dann müsste  
>allerdings der User seine MAC-Adresse bekannt geben, die dann an einer 
>
>zentralen Stelle gespeichert wird, so dass die zu der MAC gehörende IP 
>
>in der Firewall freigeschaltet wird.
>
>Will man das? Eigentlich läuft das der Datensparsamkeit zuwider...
>
>Grüße,
>Florian
>
>
>Zitat von Michael Fritscher <michael at fritscher.net>:
>
>> Moin,
>>
>> von den "großen" normalen Providern bekommen die Endkunden Fritzboxen
>> o.ä., die den eingehenden IPv6 Traffic standardmäßig blockieren, und
>er
>> explizit freigeschalten werden muss. Dies kann der Endkunde im Router
>> machen.
>>
>> Sowas ähnliches wäre meines Erachtens auch bei Freifunk das
>> geschickteste: Jeder Endnutzer kann sich bewusst dafür entscheiden
>> eingehende Verbindungen zu erlauben, bekommt sie aber standardmäßig
>aber
>> nicht rein.
>>
>> Innerhalb des Freifunknetzes habe ich auch keine Bauchschmerzen
>> eingehende Verbindungen standardmäßig zu erlauben, nur dass der
>> Zusatzdienst "Anschluss ans normale Internet" dazu führt dass alle
>> Freifunkteilnehmer standardmäßig von außen erreichbar sind bereitet
>mir
>> Bauchschmerzen. Und da geht mir derzeit auch eher um Koordination und
>> Informationsfindung, um dann (am besten FFF-weit) eine einheitliche
>> Entscheidung herbeizuführen, ob wir eingehende Verbindungen zulassen
>> sollten, wenn ja wie, und wie wir die User darüber informieren.
>> Vermutlich sind wir auch nicht die ersten, die darüber stolpern - wie
>> machen das andere FF-Communities (und warum)?
>>
>> Viele Grüße,
>> Michael Fritscher
>>
>> On 29.04.19 13:13, McUles wrote:
>>> Ich weiß ja nicht wie die ganzen großen Provider das handhaben,  
>>> jedoch habe ich bisher nur von welchen gelesen die einen externen  
>>> Zugriff auf die IPs zulassen. Warum sollten wir das anders machen?
>>> Wir sind Freifunk und werben mit einem neutralen und ungefilterten  
>>> netz. Ist ipv6 kein Teil unseres Netzes?
>>> Wenn jemand eine Kiste im FFF Netz angreifen möchte, wäre der  
>>> Filter auch kein großes Hindernis. Bieten wir doch jedermann die  
>>> Möglichkeit sich per VPN, Router oder sonstwie mit rein zu hängen.
>>> Das Argument mit den gehackten gaming-Servern zieht für mich auch  
>>> nicht, wer will den mit unseren Latenzen wirklich Ego-Shooter etc  
>>> spielen?!
>>>
>>> Bin der Meinung das wir ipv6 ebenfalls ungefiltert ausrollen
>sollten.
>>>
>>> ⁣Gruß,
>>> McUles​
>>>
>>> Am 29. Apr. 2019, 12:56, um 12:56, Robert Langhammer  
>>> <rlanghammer at web.de> schrieb:
>>>> Hi,
>>>> das Netz ist Teil des Internets, mit ipv6 sogar richtig. Ich bin
>gegen
>>>> Filter im Internet. Vor einigen Wochen sind sogar viele gegen
>Filter
>>>> auf die Straße gegangen.
>>>> Viele Grüße
>>>> Robert
>>>>
>>>> Am 29. April 2019 09:40:14 MESZ schrieb Michael Fritscher
>>>> <michael at fritscher.net>:
>>>>> Moin,
>>>>>
>>>>> nunja, das PPA gilt meines Erachtens erstmal nur innerhalb des
>>>>> (Freifunk-) Netzwerkes. Und das wir an den Außengrenzen filtern
>ist
>>>>> nichts neues (Nebeneffekt vom Natting, viele VPN-Anbieter haben
>Port
>>>> 25
>>>>> ausgehend gesperrt etc.)
>>>>>
>>>>> Auch sage ich nicht, dass wir an den Außengrenzen filtern müssen.
>Ich
>>>>> habe ja schon andere Möglichkeiten angedeutet, die z.B. auf L2
>Ebene
>>>>> oder den Übergang dazu passieren könnten. Außerdem gäbe es noch
>die
>>>>> Möglichkeit einer Wahlmöglichkeit am Router oder vom Client
>(ersteres
>>>>> durch Einstellung, zweiteres durch z.B. einer zusätzlichen SSID)
>>>> Gerade
>>>>> letzteres ist "PPA-moraltechnisch" meines Erachtens völlig
>>>>> unproblematisch, weil hier der Enduser frei wählen kann, ob er die
>FW
>>>>> haben will oder nicht. Eine Variante davon wäre, dass eine
>>>>> Ethernetbuchse für Server verwendet werden kann, bei der anderen +
>>>> WLAN
>>>>> allerdings keine eingehenden Verbindungen von "ganz außen" möglich
>>>>> sind.
>>>>>
>>>>> F3N hat sich im September letztes Jahres für sein Netz ja ganz
>klar
>>>>> _für_ eine Firewall entschieden (zumindest vorerst). Hier kam auch
>die
>>>>> Idee zweier Präfixe auf. Hier wäre es schön, die Beweggründe zu
>>>> können,
>>>>> um noch fundierter darüber diskutieren zu können.
>>>>>
>>>>> Viele Grüße,
>>>>> Michael Fritscher
>>>>>
>>>>> On 29.04.19 08:28, robert wrote:
>>>>>> Hallo,
>>>>>>
>>>>>> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
>>>>>> eingegangen. Diese verlassen sich darauf, dass ich mich an das
>PPA
>>>>>> halte. Nur so kann ein freies und funktionierendes Netz
>entstehen.
>>>>>>
>>>>>> Ein Filter ist immer eine Beeinträchtigung des Transits.
>>>>>>
>>>>>> Anders sieht es bei einem dezentralen Gateway aus, bei dem es
>nicht
>>>>>> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz
>verbinden.
>>>>> Das
>>>>>> PPA endet meines Erachtens an der Broadcastdomain, falls diese
>>>>>> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA
>gelten.
>>>>>>
>>>>>> Viele Grüße
>>>>>>
>>>>>> Robert
>>>>>>
>>>>>> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>>>>>>> Hallo ihr,
>>>>>>>
>>>>>>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz
>ist
>>>>> es ja
>>>>>>> zumindest technisch möglich, den Clients öffentlich erreichbare
>>>> IPv6
>>>>> zu
>>>>>>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren
>>>> aber
>>>>>>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>>>>>>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden
>>>>> anscheinend
>>>>>>> derzeit geklärt.
>>>>>>>
>>>>>>> Ich sehe aber noch ein anderes Problem, wenn eingehende
>>>> Verbindungen
>>>>>>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz
>>>>> direkt
>>>>>>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als
>das
>>>>>>> "normale" Internet. Typische Router wie die Fritzbox sperren
>auch
>>>>> bei
>>>>>>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein
>typischer
>>>>>>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>>>>>>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist
>-
>>>>> mit
>>>>>>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>>>>>>
>>>>>>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter
>zu
>>>>>>> deaktivieren, bevor wir uns vorher Gedanken über die
>Konsequenzen
>>>>>>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>>>>>>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren
>>>>> ungeschützt im
>>>>>>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben.
>>>> Ich
>>>>>>> glaube z.B. nicht, dass uns sowas in der öffentlichen
>Wahrnehmung
>>>>> und
>>>>>>> z.B. das Gewähren von Standorten für Antennen etc. helfen
>wird...
>>>>> Ja,
>>>>>>> technisch wären nicht wir, sondern die Clients schuld, aber das
>>>> wird
>>>>> in
>>>>>>> diesem Moment keine Sau interessieren fürchte ich.
>>>>>>>
>>>>>>> Aber ich weiß auch, dass viele nur darauf warten, einen der
>>>> größeren
>>>>>>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne
>Filter
>>>>> und
>>>>>>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit
>um?
>>>>>>>
>>>>>>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit
>>>> einigem
>>>>>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario
>>>>> überdenken
>>>>>>> können. Vielleicht misten sie dann auch mal das ein oder ander
>>>>> bekannt
>>>>>>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige
>Dienste,
>>>>> die
>>>>>>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>>>>>>
>>>>>>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn
>>>> man
>>>>> das
>>>>>>> am Router (anscheinend wird dieses Drum mittlerweile eher Node
>>>>> genannt)
>>>>>>> einstellen könnte. Ich befürchte aber, dass das Filtern dort
>etwas
>>>>>>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>>>>>>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit,
>die
>>>>> Hoods
>>>>>>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann
>könnte
>>>>> man
>>>>>>> entweder am Router einstellen, zu welcher Variante man sich
>>>>> verbinden
>>>>>>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen
>>>> vor),
>>>>>>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch
>2
>>>>> SSIDs
>>>>>>> wie z.B. "wuerzburg.freifunk-franken.de" und
>>>>>>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder
>Client
>>>>>>> selbst entscheiden, ob er eingehende Verbindungen haben möchte
>oder
>>>>> nicht.
>>>>>>>
>>>>>>> Meinungen?
>>>>>>>
>>>>>>> Viele Grüße,
>>>>>>> Michael Fritscher
>>>>>>
>>>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190429/f18d321c/attachment-0001.html>


Mehr Informationen über die Mailingliste franken