Re: IPv6 und Clients von außen erreichbar: Meinungsbild?
Robert Langhammer
rlanghammer at web.de
Di Apr 30 17:50:31 CEST 2019
Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch kein
Peering ein. Er ist in dem Moment mein Klient (
https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch so.
Am 30.04.2019 um 17:32 schrieb McUles:
> Naja, du bietest dem Client aber Transit streng genommen, also würde
> ich da eigentlich schon auch das PPA anwenden.
>
> Gruß,
> McUles
> Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
> <mailto:rlanghammer at web.de>> schrieb:
>
> Hi, s. inline.
>
> Am 30.04.19 um 14:28 schrieb SebaBe:
>
> Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
> beschriebene freie Transit in alle Richtungen gilt.
>
> Ja, das sehe ich auch so. Ein Client bietet mir allerdings keinen Transit.
>
> Wenn also ein Client sich mit deinem dezentralen Freifunk
> Gateway verbindet, sollte er erwarten können, dass dort das
> PPA erfüllt ist.
>
>
> Da das Gateway Peerings eingegangen ist, sollte es auch das PPA
> erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN. Gilt also nur
> zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
> uneingeschränkten Transit nach PPA.
>
> Ich denke, da muss man schon zwischen Clients und Peerings unterscheiden.
>
> Der Client kann nicht erwarten, dass in einem fremden LAN/WLAN
> uneingeschränkter Datenverkehr möglich ist. Er kann es sich wünschen.
> Wenn ich ein freies WLAN auf mache, bin ich dafür verantwortlich. Und
> wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist meine
> Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID ist.
>
>
> Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein
> nicht Freifunk Netz, das Traffic durch das Freifunk Netz
> leitet. Das ist ja auch OK so, aber das dezentrale wäre somit
> kein Freifunk mehr. Bitte korrigiert mich, aber das sollten
> wir wohl noch mal für alle klären ;)
>
>
> Ich wäre da auch an weiteren Meinungen interessiert. Vielleicht lieg ich
> da ja falsch.
>
> Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken. Das sind nur
> grundlegende Betrachtungen.
>
> Robert
>
> Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb robert
> <rlanghammer at web.de>:
>
> Hallo Sebastian, Clients sind keine Peeringpartner. Es
> gilt kein Agreement. Wie auch, die sind ja anonym. Wenn
> ich eine freies Wlan auf mache, ist das ein Angebot, das
> Clients nutzen können. Dieses Angebot kann ich gestalten,
> wie ich möchte. Dabei ist es egal, ob ich den Traffic
> übers Freifunknetz oder anders ausleite. Auch wenn ich
> eine irgendwie freifunk SSID ausstrahle, ist der Router
> kein institutionelles Gerät, das Regularien unterliegt.
> Der Router ist in meiner alleinigen Verantwortung. Und
> wenn ich da z.B Facebook blocke, dann ist es eben ein Wifi
> Angebot ohne Facebook. Also, wenn jemand unbedingt in
> seinem LAN eingehenden Traffic sperren will, dann kann er
> das tun. Aber nur dort. Grüße Robert Am 30.04.19 um 01:12
> schrieb SebaBe:
>
> Hallo Robert, vielleicht habe ich das jetzt falsch
> verstanden, aber das PPA greift
>
> schon auch auf deinem dezentralen.
>
> Es geht ja nicht nur um die Meshverbindungen sondern
> auch um deine
>
> Clients.
>
> Und auch denen sichert du an deinem dezentralen das
> PPA zu, also
>
> sollte auch dort nichts manipuliert werden.
>
> Generell denke ich, ist inzwischen doch bekannt, dass
> öffentliche
>
> WLAN Netze tendenziell unsicherer sind als geschlossene.
>
> Das ging zwar teilweise zu weit, dass Panikmache vor
> Honeypots etc
>
> betrieben wurde, aber inzwischen wird doch recht gut
> aufgeklärt, wie man sich sicher in solchen Netzen bewegen
> kann (VPN, Clients Firewall, etc.)
>
> Wir sollten hier wohl nicht das Rad neu erfinden
> sondern uns auf
>
> unsere Kernkompetenz als Infrastrukturbetreiber beschränken.
>
> Es gibt genügend Initiativen die die User informieren
> und ihnen
>
> helfen.
>
> Wer sich nicht informieren will, sry... Ich erleb es
> auch viel zu oft, dass Menschen die Technik benutzen
>
> ohne sich nur ein bisschen damit auseinander zu setzen,
> wie will man solchen Leuten denn helfen?!
>
> Wer Informationen sucht, sollte sie finden können, der
> Rest fliegt
>
> leider zu recht auf die Nase...
>
> ...wenn etwas passieren sollte. Grüße Sebastian Am 29.
> April 2019 08:28:29 MESZ schrieb robert
> <rlanghammer at web.de>:
>
> Hallo, ich bin mit meinem Gateway Peerings mit
> einigen Peeringpartnern eingegangen. Diese
> verlassen sich darauf, dass ich mich an das PPA
> halte. Nur so kann ein freies und funktionierendes
> Netz entstehen. Ein Filter ist immer eine
> Beeinträchtigung des Transits. Anders sieht es bei
> einem dezentralen Gateway aus, bei dem es nicht
> möglich ist, dass sich Dritte z.B. via Mesh, mit
> dem Netz verbinden. Das PPA endet meines Erachtens
> an der Broadcastdomain, falls diese geschlossen
> ist. Bei einem offenem Meshnetzwerk muss das PPA
> gelten. Viele Grüße Robert Am 28.04.19 um 18:12
> schrieb Michael Fritscher:
>
> Hallo ihr, durch die fortschreitende
> Einführung von IPv6 im Freifunk Netz ist
>
> es
>
> ja
>
> zumindest technisch möglich, den Clients
> öffentlich erreichbare
>
> IPv6
>
> zu
>
> vergeben. Dies wird auch getan. Aus
> rechtlichen Gründen sperren
>
> aber
>
> u.a. die Border-Router von f3n eingehenden
> Traffic (siehe https://sub.f3netze.de/ ). Die
> rechtlichen Probleme werden
>
> anscheinend
>
> derzeit geklärt. Ich sehe aber noch ein
> anderes Problem, wenn eingehende
>
> Verbindungen
>
> möglich werden: Bislang waren die Clients nur
> im Freifunk-Netz
>
> direkt
>
> zugänglich. Das ist doch noch ein etwas
> geschützterer Raum als das "normale" Internet.
> Typische Router wie die Fritzbox sperren auch
>
> bei
>
> IPv6 eingehenden Traffic, um die Clients zu
> schützen. Ein typischer Freifunk-User wird
> nicht vermuten, dass er, wenn er sich ins
> Freifunknetz einbucht, plötzlich direkt von
> außen erreichbar ist -
>
> mit
>
> allen Konsequenzen, gerade auch
> sicherheitstechnischen. Ich möchte an dieser
> Stelle davor warnen, übereilt diese Filter zu
> deaktivieren, bevor wir uns vorher Gedanken
> über die Konsequenzen gemacht haben. Ich habe
> jedenfalls keine allzugroße Lust auf ein
> PR-Disaster ala "Freifunk ist unsicher, die
> Clients waren
>
> ungeschützt
>
> im
>
> Netz und wurden dadurch gehackt!!!"" mitsamt
> dem Ärger zu haben.
>
> Ich
>
> glaube z.B. nicht, dass uns sowas in der
> öffentlichen Wahrnehmung
>
> und
>
> z.B. das Gewähren von Standorten für Antennen
> etc. helfen wird...
>
> Ja,
>
> technisch wären nicht wir, sondern die Clients
> schuld, aber das
>
> wird
>
> in
>
> diesem Moment keine Sau interessieren fürchte
> ich. Aber ich weiß auch, dass viele nur darauf
> warten, einen der
>
> größeren
>
> Vorteile von IPv6 - direkte Ende-zu-Ende
> Verbindungen ohne Filter
>
> und
>
> ähnlichen Quatsch - ausspielen zu können. Wie
> gehen wir damit um? Mir wäre es zumindest
> wichtig, dass die Router-Betreiber mit
>
> einigem
>
> Vorlauf vorgewarnt werden, damit sie ggf. ihr
> Nutzungszenario
>
> überdenken
>
> können. Vielleicht misten sie dann auch mal
> das ein oder ander
>
> bekannt
>
> unsichere Gerät aus. Soweit ich weiß gibt es
> auch einige Dienste,
>
> die
>
> absichtlich nur im Freifunk-Netz erreichbar
> sind. Aus meiner persönlichen Sicht wäre es
> vermutlich am besten, wenn
>
> man
>
> das
>
> am Router (anscheinend wird dieses Drum
> mittlerweile eher Node
>
> genannt)
>
> einstellen könnte. Ich befürchte aber, dass
> das Filtern dort etwas schwierig wird, da er
> ja erstmal nur ein Switch ist. Könnte aber
> trotzdem machbar sein. Ansonsten gäbe es noch
> die Möglichkeit, die
>
> Hoods
>
> zu doppeln - jeweils eine Variante mit und
> ohne Filter. Dann könnte
>
> man
>
> entweder am Router einstellen, zu welcher
> Variante man sich
>
> verbinden
>
> möchte (technische Umsetzung lasse ich jetzt
> absichtlich außen
>
> vor),
>
> oder die Router sind technisch in 2 Netze und
> strahlen z.B. auch 2
>
> SSIDs
>
> wie z.B. "wuerzburg.freifunk-franken.de
> <http://wuerzburg.freifunk-franken.de>" und
> "server.wuerzbuerg.freifunk-franken" aus. Dann
> könnte jeder Client selbst entscheiden, ob er
> eingehende Verbindungen haben möchte oder
>
> nicht.
>
> Meinungen? Viele Grüße, Michael Fritscher
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190430/1dd83441/attachment-0001.html>
Mehr Informationen über die Mailingliste franken