Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

McUles mcules at freifunk-hassberge.de
Di Apr 30 17:32:07 CEST 2019


Naja, du bietest dem Client aber Transit streng genommen, also würde ich da eigentlich schon auch das PPA anwenden.

⁣Gruß,
McUles​

Am 30. Apr. 2019, 17:28, um 17:28, robert <rlanghammer at web.de> schrieb:
>Hi, s. inline.
>
>Am 30.04.19 um 14:28 schrieb SebaBe:
>> Hallo Robert,
>>
>> Meine Auffassung des PPAs ist, dass der dort beschriebene freie
>Transit in alle Richtungen gilt.
>Ja, das sehe ich auch so. Ein Client bietet mir allerdings keinen
>Transit.
>>
>> Wenn also ein Client sich mit deinem dezentralen Freifunk Gateway
>verbindet, sollte er erwarten können, dass dort das PPA erfüllt ist.
>
>Da das Gateway Peerings eingegangen ist, sollte es auch das PPA
>erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN. Gilt also
>nur
>zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
>uneingeschränkten Transit nach PPA.
>
>Ich denke, da muss man schon zwischen Clients und Peerings
>unterscheiden.
>
>Der Client kann  nicht erwarten, dass in einem fremden LAN/WLAN
>uneingeschränkter Datenverkehr möglich ist. Er kann es sich wünschen.
>Wenn ich ein freies WLAN auf mache, bin ich dafür verantwortlich. Und
>wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist meine
>Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID ist.
>
>
>> Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein nicht
>Freifunk Netz, das Traffic durch das Freifunk Netz leitet. 
>> Das ist ja auch OK so, aber das dezentrale wäre somit kein Freifunk
>mehr. 
>>
>> Bitte korrigiert mich, aber das sollten wir wohl noch mal für alle
>klären ;)
>
>Ich wäre da auch an weiteren Meinungen interessiert. Vielleicht lieg
>ich
>da ja falsch.
>
>Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken. Das sind
>nur
>grundlegende Betrachtungen.
>
>Robert
>
>>
>> Grüße Sebastian 
>>
>> Am 30. April 2019 09:03:30 MESZ schrieb robert <rlanghammer at web.de>:
>>> Hallo Sebastian,
>>>
>>> Clients sind keine Peeringpartner. Es gilt kein Agreement. Wie auch,
>>> die
>>> sind ja anonym.
>>>
>>> Wenn ich eine freies Wlan auf mache, ist das ein Angebot, das
>Clients
>>> nutzen können. Dieses Angebot kann ich gestalten, wie ich möchte.
>Dabei
>>> ist es egal, ob ich den Traffic übers Freifunknetz oder anders
>>> ausleite.
>>> Auch wenn ich eine irgendwie freifunk SSID ausstrahle, ist der
>Router
>>> kein institutionelles Gerät, das Regularien unterliegt. Der Router
>ist
>>> in meiner alleinigen Verantwortung. Und wenn ich da z.B Facebook
>>> blocke,
>>> dann ist es eben ein Wifi Angebot ohne Facebook.
>>>
>>> Also, wenn jemand unbedingt in seinem LAN eingehenden Traffic
>sperren
>>> will, dann kann er das tun. Aber nur dort.
>>>
>>> Grüße
>>>
>>> Robert
>>>
>>> Am 30.04.19 um 01:12 schrieb SebaBe:
>>>> Hallo Robert,
>>>>
>>>> vielleicht habe ich das jetzt falsch verstanden, aber das PPA
>greift
>>> schon auch auf deinem dezentralen.
>>>> Es geht ja nicht nur um die Meshverbindungen  sondern auch um deine
>>> Clients.
>>>> Und auch denen sichert du an deinem dezentralen das PPA zu, also
>>> sollte auch dort nichts manipuliert werden.
>>>>
>>>>
>>>> Generell denke ich, ist inzwischen doch bekannt, dass öffentliche
>>> WLAN Netze tendenziell unsicherer sind als geschlossene.
>>>> Das ging zwar teilweise zu weit, dass Panikmache vor Honeypots etc
>>> betrieben wurde, aber inzwischen wird doch recht gut aufgeklärt, wie
>>> man sich sicher in solchen Netzen bewegen kann (VPN, Clients
>Firewall,
>>> etc.)
>>>> Wir sollten hier wohl nicht das Rad neu erfinden sondern uns auf
>>> unsere Kernkompetenz als Infrastrukturbetreiber beschränken.
>>>> Es gibt genügend Initiativen die die User informieren und ihnen
>>> helfen.
>>>> Wer sich nicht informieren will, sry...
>>>>
>>>> Ich erleb es auch viel zu oft, dass Menschen die Technik benutzen
>>> ohne sich nur ein bisschen damit auseinander zu setzen, wie will man
>>> solchen Leuten denn helfen?! 
>>>> Wer Informationen sucht, sollte sie finden können, der Rest fliegt
>>> leider zu recht auf die Nase...
>>>> ...wenn etwas passieren sollte. 
>>>>
>>>> Grüße Sebastian 
>>>>
>>>>
>>>> Am 29. April 2019 08:28:29 MESZ schrieb robert
><rlanghammer at web.de>:
>>>>> Hallo,
>>>>>
>>>>> ich bin mit meinem Gateway Peerings mit einigen Peeringpartnern
>>>>> eingegangen. Diese verlassen sich darauf, dass ich mich an das PPA
>>>>> halte. Nur so kann ein freies und funktionierendes Netz entstehen.
>>>>>
>>>>> Ein Filter ist immer eine Beeinträchtigung des Transits.
>>>>>
>>>>> Anders sieht es bei einem dezentralen Gateway aus, bei dem es
>nicht
>>>>> möglich ist, dass sich Dritte z.B. via Mesh, mit dem Netz
>verbinden.
>>>>> Das
>>>>> PPA endet meines Erachtens an der Broadcastdomain, falls diese
>>>>> geschlossen ist. Bei einem offenem Meshnetzwerk muss das PPA
>gelten.
>>>>>
>>>>> Viele Grüße
>>>>>
>>>>> Robert
>>>>>
>>>>> Am 28.04.19 um 18:12 schrieb Michael Fritscher:
>>>>>> Hallo ihr,
>>>>>>
>>>>>> durch die fortschreitende Einführung von IPv6 im Freifunk Netz
>ist
>>> es
>>>>> ja
>>>>>> zumindest technisch möglich, den Clients öffentlich erreichbare
>>> IPv6
>>>>> zu
>>>>>> vergeben. Dies wird auch getan. Aus rechtlichen Gründen sperren
>>> aber
>>>>>> u.a. die Border-Router von f3n eingehenden Traffic (siehe
>>>>>> https://sub.f3netze.de/ ). Die rechtlichen Probleme werden
>>>>> anscheinend
>>>>>> derzeit geklärt.
>>>>>>
>>>>>> Ich sehe aber noch ein anderes Problem, wenn eingehende
>>> Verbindungen
>>>>>> möglich werden: Bislang waren die Clients nur im Freifunk-Netz
>>> direkt
>>>>>> zugänglich. Das ist doch noch ein etwas geschützterer Raum als
>das
>>>>>> "normale" Internet. Typische Router wie die Fritzbox sperren auch
>>> bei
>>>>>> IPv6 eingehenden Traffic, um die Clients zu schützen. Ein
>typischer
>>>>>> Freifunk-User wird nicht vermuten, dass er, wenn er sich ins
>>>>>> Freifunknetz einbucht, plötzlich direkt von außen erreichbar ist
>-
>>>>> mit
>>>>>> allen Konsequenzen, gerade auch sicherheitstechnischen.
>>>>>>
>>>>>> Ich möchte an dieser Stelle davor warnen, übereilt diese Filter
>zu
>>>>>> deaktivieren, bevor wir uns vorher Gedanken über die Konsequenzen
>>>>>> gemacht haben. Ich habe jedenfalls keine allzugroße Lust auf ein
>>>>>> PR-Disaster ala "Freifunk ist unsicher, die Clients waren
>>> ungeschützt
>>>>> im
>>>>>> Netz und wurden dadurch gehackt!!!"" mitsamt dem Ärger zu haben.
>>> Ich
>>>>>> glaube z.B. nicht, dass uns sowas in der öffentlichen Wahrnehmung
>>> und
>>>>>> z.B. das Gewähren von Standorten für Antennen etc. helfen wird...
>>> Ja,
>>>>>> technisch wären nicht wir, sondern die Clients schuld, aber das
>>> wird
>>>>> in
>>>>>> diesem Moment keine Sau interessieren fürchte ich.
>>>>>>
>>>>>> Aber ich weiß auch, dass viele nur darauf warten, einen der
>>> größeren
>>>>>> Vorteile von IPv6 - direkte Ende-zu-Ende Verbindungen ohne Filter
>>> und
>>>>>> ähnlichen Quatsch - ausspielen zu können. Wie gehen wir damit um?
>>>>>>
>>>>>> Mir wäre es zumindest wichtig, dass die Router-Betreiber mit
>>> einigem
>>>>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr Nutzungszenario
>>>>> überdenken
>>>>>> können. Vielleicht misten sie dann auch mal das ein oder ander
>>>>> bekannt
>>>>>> unsichere Gerät aus. Soweit ich weiß gibt es auch einige Dienste,
>>> die
>>>>>> absichtlich nur im Freifunk-Netz erreichbar sind.
>>>>>>
>>>>>> Aus meiner persönlichen Sicht wäre es vermutlich am besten, wenn
>>> man
>>>>> das
>>>>>> am Router (anscheinend wird dieses Drum mittlerweile eher Node
>>>>> genannt)
>>>>>> einstellen könnte. Ich befürchte aber, dass das Filtern dort
>etwas
>>>>>> schwierig wird, da er ja erstmal nur ein Switch ist. Könnte aber
>>>>>> trotzdem machbar sein. Ansonsten gäbe es noch die Möglichkeit,
>die
>>>>> Hoods
>>>>>> zu doppeln - jeweils eine Variante mit und ohne Filter. Dann
>könnte
>>>>> man
>>>>>> entweder am Router einstellen, zu welcher Variante man sich
>>> verbinden
>>>>>> möchte (technische Umsetzung lasse ich jetzt absichtlich außen
>>> vor),
>>>>>> oder die Router sind technisch in 2 Netze und strahlen z.B. auch
>2
>>>>> SSIDs
>>>>>> wie z.B. "wuerzburg.freifunk-franken.de" und
>>>>>> "server.wuerzbuerg.freifunk-franken" aus. Dann könnte jeder
>Client
>>>>>> selbst entscheiden, ob er eingehende Verbindungen haben möchte
>oder
>>>>> nicht.
>>>>>> Meinungen?
>>>>>>
>>>>>> Viele Grüße,
>>>>>> Michael Fritscher
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190430/59122945/attachment-0001.html>


Mehr Informationen über die Mailingliste franken