IPv6 und Clients von außen erreichbar: Meinungsbild?

florian at fam-pankerl.de florian at fam-pankerl.de
Di Apr 30 18:06:00 CEST 2019


Hi!

Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA explizit  
auf "Transit": http://picopeer.net/PPA-de.shtml.

Übrigens - du überlegst jetzt hier nur zwischen deinem AP und den  
Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du auch  
Transit, der eindeutig keine AP-Client-Beziehung ist und müsstest  
Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook ist  
^^).

Viele Grüße,
Florian



Zitat von Robert Langhammer <rlanghammer at web.de>:

> Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch kein
> Peering ein. Er ist in dem Moment mein Klient (
> https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch so.
>
> Am 30.04.2019 um 17:32 schrieb McUles:
>> Naja, du bietest dem Client aber Transit streng genommen, also würde
>> ich da eigentlich schon auch das PPA anwenden.
>>
>> Gruß,
>> McUles
>> Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
>> <mailto:rlanghammer at web.de>> schrieb:
>>
>>    Hi, s. inline.
>>
>>    Am 30.04.19 um 14:28 schrieb SebaBe:
>>
>>        Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
>>        beschriebene freie Transit in alle Richtungen gilt.
>>
>>    Ja, das sehe ich auch so. Ein Client bietet mir allerdings  
>> keinen Transit.
>>
>>        Wenn also ein Client sich mit deinem dezentralen Freifunk
>>        Gateway verbindet, sollte er erwarten können, dass dort das
>>        PPA erfüllt ist.
>>
>>
>>    Da das Gateway Peerings eingegangen ist, sollte es auch das PPA
>>    erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN. Gilt also nur
>>    zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
>>    uneingeschränkten Transit nach PPA.
>>
>>    Ich denke, da muss man schon zwischen Clients und Peerings unterscheiden.
>>
>>    Der Client kann  nicht erwarten, dass in einem fremden LAN/WLAN
>>    uneingeschränkter Datenverkehr möglich ist. Er kann es sich wünschen.
>>    Wenn ich ein freies WLAN auf mache, bin ich dafür verantwortlich. Und
>>    wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist meine
>>    Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID ist.
>>
>>
>>        Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein
>>        nicht Freifunk Netz, das Traffic durch das Freifunk Netz
>>        leitet. Das ist ja auch OK so, aber das dezentrale wäre somit
>>        kein Freifunk mehr. Bitte korrigiert mich, aber das sollten
>>        wir wohl noch mal für alle klären ;)
>>
>>
>>    Ich wäre da auch an weiteren Meinungen interessiert. Vielleicht lieg ich
>>    da ja falsch.
>>
>>    Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken. Das sind nur
>>    grundlegende Betrachtungen.
>>
>>    Robert
>>
>>        Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb robert
>>        <rlanghammer at web.de>:
>>
>>            Hallo Sebastian, Clients sind keine Peeringpartner. Es
>>            gilt kein Agreement. Wie auch, die sind ja anonym. Wenn
>>            ich eine freies Wlan auf mache, ist das ein Angebot, das
>>            Clients nutzen können. Dieses Angebot kann ich gestalten,
>>            wie ich möchte. Dabei ist es egal, ob ich den Traffic
>>            übers Freifunknetz oder anders ausleite. Auch wenn ich
>>            eine irgendwie freifunk SSID ausstrahle, ist der Router
>>            kein institutionelles Gerät, das Regularien unterliegt.
>>            Der Router ist in meiner alleinigen Verantwortung. Und
>>            wenn ich da z.B Facebook blocke, dann ist es eben ein Wifi
>>            Angebot ohne Facebook. Also, wenn jemand unbedingt in
>>            seinem LAN eingehenden Traffic sperren will, dann kann er
>>            das tun. Aber nur dort. Grüße Robert Am 30.04.19 um 01:12
>>            schrieb SebaBe:
>>
>>                Hallo Robert, vielleicht habe ich das jetzt falsch
>>                verstanden, aber das PPA greift
>>
>>            schon auch auf deinem dezentralen.
>>
>>                Es geht ja nicht nur um die Meshverbindungen sondern
>>                auch um deine
>>
>>            Clients.
>>
>>                Und auch denen sichert du an deinem dezentralen das
>>                PPA zu, also
>>
>>            sollte auch dort nichts manipuliert werden.
>>
>>                Generell denke ich, ist inzwischen doch bekannt, dass
>>                öffentliche
>>
>>            WLAN Netze tendenziell unsicherer sind als geschlossene.
>>
>>                Das ging zwar teilweise zu weit, dass Panikmache vor
>>                Honeypots etc
>>
>>            betrieben wurde, aber inzwischen wird doch recht gut
>>            aufgeklärt, wie man sich sicher in solchen Netzen bewegen
>>            kann (VPN, Clients Firewall, etc.)
>>
>>                Wir sollten hier wohl nicht das Rad neu erfinden
>>                sondern uns auf
>>
>>            unsere Kernkompetenz als Infrastrukturbetreiber beschränken.
>>
>>                Es gibt genügend Initiativen die die User informieren
>>                und ihnen
>>
>>            helfen.
>>
>>                Wer sich nicht informieren will, sry... Ich erleb es
>>                auch viel zu oft, dass Menschen die Technik benutzen
>>
>>            ohne sich nur ein bisschen damit auseinander zu setzen,
>>            wie will man solchen Leuten denn helfen?!
>>
>>                Wer Informationen sucht, sollte sie finden können, der
>>                Rest fliegt
>>
>>            leider zu recht auf die Nase...
>>
>>                ...wenn etwas passieren sollte. Grüße Sebastian Am 29.
>>                April 2019 08:28:29 MESZ schrieb robert
>>                <rlanghammer at web.de>:
>>
>>                    Hallo, ich bin mit meinem Gateway Peerings mit
>>                    einigen Peeringpartnern eingegangen. Diese
>>                    verlassen sich darauf, dass ich mich an das PPA
>>                    halte. Nur so kann ein freies und funktionierendes
>>                    Netz entstehen. Ein Filter ist immer eine
>>                    Beeinträchtigung des Transits. Anders sieht es bei
>>                    einem dezentralen Gateway aus, bei dem es nicht
>>                    möglich ist, dass sich Dritte z.B. via Mesh, mit
>>                    dem Netz verbinden. Das PPA endet meines Erachtens
>>                    an der Broadcastdomain, falls diese geschlossen
>>                    ist. Bei einem offenem Meshnetzwerk muss das PPA
>>                    gelten. Viele Grüße Robert Am 28.04.19 um 18:12
>>                    schrieb Michael Fritscher:
>>
>>                        Hallo ihr, durch die fortschreitende
>>                        Einführung von IPv6 im Freifunk Netz ist
>>
>>            es
>>
>>                    ja
>>
>>                        zumindest technisch möglich, den Clients
>>                        öffentlich erreichbare
>>
>>            IPv6
>>
>>                    zu
>>
>>                        vergeben. Dies wird auch getan. Aus
>>                        rechtlichen Gründen sperren
>>
>>            aber
>>
>>                        u.a. die Border-Router von f3n eingehenden
>>                        Traffic (siehe https://sub.f3netze.de/ ). Die
>>                        rechtlichen Probleme werden
>>
>>                    anscheinend
>>
>>                        derzeit geklärt. Ich sehe aber noch ein
>>                        anderes Problem, wenn eingehende
>>
>>            Verbindungen
>>
>>                        möglich werden: Bislang waren die Clients nur
>>                        im Freifunk-Netz
>>
>>            direkt
>>
>>                        zugänglich. Das ist doch noch ein etwas
>>                        geschützterer Raum als das "normale" Internet.
>>                        Typische Router wie die Fritzbox sperren auch
>>
>>            bei
>>
>>                        IPv6 eingehenden Traffic, um die Clients zu
>>                        schützen. Ein typischer Freifunk-User wird
>>                        nicht vermuten, dass er, wenn er sich ins
>>                        Freifunknetz einbucht, plötzlich direkt von
>>                        außen erreichbar ist -
>>
>>                    mit
>>
>>                        allen Konsequenzen, gerade auch
>>                        sicherheitstechnischen. Ich möchte an dieser
>>                        Stelle davor warnen, übereilt diese Filter zu
>>                        deaktivieren, bevor wir uns vorher Gedanken
>>                        über die Konsequenzen gemacht haben. Ich habe
>>                        jedenfalls keine allzugroße Lust auf ein
>>                        PR-Disaster ala "Freifunk ist unsicher, die
>>                        Clients waren
>>
>>            ungeschützt
>>
>>                    im
>>
>>                        Netz und wurden dadurch gehackt!!!"" mitsamt
>>                        dem Ärger zu haben.
>>
>>            Ich
>>
>>                        glaube z.B. nicht, dass uns sowas in der
>>                        öffentlichen Wahrnehmung
>>
>>            und
>>
>>                        z.B. das Gewähren von Standorten für Antennen
>>                        etc. helfen wird...
>>
>>            Ja,
>>
>>                        technisch wären nicht wir, sondern die Clients
>>                        schuld, aber das
>>
>>            wird
>>
>>                    in
>>
>>                        diesem Moment keine Sau interessieren fürchte
>>                        ich. Aber ich weiß auch, dass viele nur darauf
>>                        warten, einen der
>>
>>            größeren
>>
>>                        Vorteile von IPv6 - direkte Ende-zu-Ende
>>                        Verbindungen ohne Filter
>>
>>            und
>>
>>                        ähnlichen Quatsch - ausspielen zu können. Wie
>>                        gehen wir damit um? Mir wäre es zumindest
>>                        wichtig, dass die Router-Betreiber mit
>>
>>            einigem
>>
>>                        Vorlauf vorgewarnt werden, damit sie ggf. ihr
>>                        Nutzungszenario
>>
>>                    überdenken
>>
>>                        können. Vielleicht misten sie dann auch mal
>>                        das ein oder ander
>>
>>                    bekannt
>>
>>                        unsichere Gerät aus. Soweit ich weiß gibt es
>>                        auch einige Dienste,
>>
>>            die
>>
>>                        absichtlich nur im Freifunk-Netz erreichbar
>>                        sind. Aus meiner persönlichen Sicht wäre es
>>                        vermutlich am besten, wenn
>>
>>            man
>>
>>                    das
>>
>>                        am Router (anscheinend wird dieses Drum
>>                        mittlerweile eher Node
>>
>>                    genannt)
>>
>>                        einstellen könnte. Ich befürchte aber, dass
>>                        das Filtern dort etwas schwierig wird, da er
>>                        ja erstmal nur ein Switch ist. Könnte aber
>>                        trotzdem machbar sein. Ansonsten gäbe es noch
>>                        die Möglichkeit, die
>>
>>                    Hoods
>>
>>                        zu doppeln - jeweils eine Variante mit und
>>                        ohne Filter. Dann könnte
>>
>>                    man
>>
>>                        entweder am Router einstellen, zu welcher
>>                        Variante man sich
>>
>>            verbinden
>>
>>                        möchte (technische Umsetzung lasse ich jetzt
>>                        absichtlich außen
>>
>>            vor),
>>
>>                        oder die Router sind technisch in 2 Netze und
>>                        strahlen z.B. auch 2
>>
>>                    SSIDs
>>
>>                        wie z.B. "wuerzburg.freifunk-franken.de
>>                        <http://wuerzburg.freifunk-franken.de>" und
>>                        "server.wuerzbuerg.freifunk-franken" aus. Dann
>>                        könnte jeder Client selbst entscheiden, ob er
>>                        eingehende Verbindungen haben möchte oder
>>
>>                    nicht.
>>
>>                        Meinungen? Viele Grüße, Michael Fritscher
>>
>>





Mehr Informationen über die Mailingliste franken