Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

[SebaBe]

Hallo Robert,

Meine Auffassung des PPAs ist, dass der dort beschriebene freie Transit in alle Richtungen gilt.

Wenn also ein Client sich mit deinem dezentralen Freifunk Gateway verbindet, sollte er erwarten können, dass dort das PPA erfüllt ist.
Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein nicht Freifunk Netz, das Traffic durch das Freifunk Netz leitet. 
Das ist ja auch OK so, aber das dezentrale wäre somit kein Freifunk mehr. 

Bitte korrigiert mich, aber das sollten wir wohl noch mal für alle klären ;)

Grüße Sebastian 

Am 30. April 2019 09:03:30 MESZ schrieb robert <rlanghammer at web.de>:
>Hallo Sebastian,
>
>Clients sind keine Peeringpartner. Es gilt kein Agreement. Wie auch,
>die
>sind ja anonym.
>
>Wenn ich eine freies Wlan auf mache, ist das ein Angebot, das Clients
>nutzen können. Dieses Angebot kann ich gestalten, wie ich möchte. Dabei
>ist es egal, ob ich den Traffic übers Freifunknetz oder anders
>ausleite.
>Auch wenn ich eine irgendwie freifunk SSID ausstrahle, ist der Router
>kein institutionelles Gerät, das Regularien unterliegt. Der Router ist
>in meiner alleinigen Verantwortung. Und wenn ich da z.B Facebook
>blocke,
>dann ist es eben ein Wifi Angebot ohne Facebook.
>
>Also, wenn jemand unbedingt in seinem LAN eingehenden Traffic sperren
>will, dann kann er das tun. Aber nur dort.
>
>Grüße
>
>Robert
>
>Am 30.04.19 um 01:12 schrieb SebaBe:
>> Hallo Robert,
>>
>> vielleicht habe ich das jetzt falsch verstanden, aber das PPA greift
>schon auch auf deinem dezentralen.
>>
>> Es geht ja nicht nur um die Meshverbindungen  sondern auch um deine
>Clients.
>>
>> Und auch denen sichert du an deinem dezentralen das PPA zu, also
>sollte auch dort nichts manipuliert werden.
>>
>>
>>
>> Generell denke ich, ist inzwischen doch bekannt, dass öffentliche
>WLAN Netze tendenziell unsicherer sind als geschlossene.
>> Das ging zwar teilweise zu weit, dass Panikmache vor Honeypots etc
>betrieben wurde, aber inzwischen wird doch recht gut aufgeklärt, wie
>man sich sicher in solchen Netzen bewegen kann (VPN, Clients Firewall,
>etc.)
>>
>> Wir sollten hier wohl nicht das Rad neu erfinden sondern uns auf
>unsere Kernkompetenz als Infrastrukturbetreiber beschränken.
>>
>> Es gibt genügend Initiativen die die User informieren und ihnen
>helfen.
>> Wer sich nicht informieren will, sry...
>>
>> Ich erleb es auch viel zu oft, dass Menschen die Technik benutzen
>ohne sich nur ein bisschen damit auseinander zu setzen, wie will man
>solchen Leuten denn helfen?! 
>>
>> Wer Informationen sucht, sollte sie finden können, der Rest fliegt
>leider zu recht auf die Nase...
>> ...wenn etwas passieren sollte. 
>>
>> Grüße Sebastian 
>>
>>
>> Am 29. April 2019 08:28:29 MESZ schrieb robert <rlanghammer at web.de>:
>>> Hallo,
>>>
>>> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
>>> eingegangen. Diese verlassen sich darauf, dass ich mich an das PPA
>>> halte. Nur so kann ein freies und funktionierendes Netz entstehen.
>>>
>>> Ein Filter ist immer eine Beeinträchtigung des Transits.
>>>
>>> Anders sieht es bei einem dezentralen Gateway aus, bei dem es nicht
>>> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz verbinden.
>>> Das
>>> PPA endet meines Erachtens an der Broadcastdomain, falls diese
>>> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA gelten.
>>>
>>> Viele Grüße
>>>
>>> Robert
>>>
>>> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>>>> Hallo ihr,
>>>>
>>>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz ist
>es
>>> ja
>>>> zumindest technisch möglich, den Clients öffentlich erreichbare
>IPv6
>>> zu
>>>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren
>aber
>>>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>>>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden
>>> anscheinend
>>>> derzeit geklärt.
>>>>
>>>> Ich sehe aber noch ein anderes Problem, wenn eingehende
>Verbindungen
>>>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz
>direkt
>>>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als das
>>>> "normale" Internet. Typische Router wie die Fritzbox sperren auch
>bei
>>>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein typischer
>>>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>>>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist -
>>> mit
>>>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>>>
>>>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter zu
>>>> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
>>>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>>>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren
>ungeschützt
>>> im
>>>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben.
>Ich
>>>> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung
>und
>>>> z.B. das Gewähren von Standorten für Antennen etc. helfen wird...
>Ja,
>>>> technisch wären nicht wir, sondern die Clients schuld, aber das
>wird
>>> in
>>>> diesem Moment keine Sau interessieren fürchte ich.
>>>>
>>>> Aber ich weiß auch, dass viele nur darauf warten, einen der
>größeren
>>>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter
>und
>>>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>>>>
>>>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit
>einigem
>>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario
>>> überdenken
>>>> können. Vielleicht misten sie dann auch mal das ein oder ander
>>> bekannt
>>>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste,
>die
>>>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>>>
>>>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn
>man
>>> das
>>>> am Router (anscheinend wird dieses Drum mittlerweile eher Node
>>> genannt)
>>>> einstellen könnte. Ich befürchte aber, dass das Filtern dort etwas
>>>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>>>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit, die
>>> Hoods
>>>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann könnte
>>> man
>>>> entweder am Router einstellen, zu welcher Variante man sich
>verbinden
>>>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen
>vor),
>>>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch 2
>>> SSIDs
>>>> wie z.B. "wuerzburg.freifunk-franken.de" und
>>>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder Client
>>>> selbst entscheiden, ob er eingehende Verbindungen haben möchte oder
>>> nicht.
>>>> Meinungen?
>>>>
>>>> Viele Grüße,
>>>> Michael Fritscher
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190430/b4d60170/attachment.html>