IPv6 und Clients von außen erreichbar: Meinungsbild?
florian at fam-pankerl.de
florian at fam-pankerl.de
Di Apr 30 18:06:00 CEST 2019
Hi!
Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA explizit
auf "Transit": http://picopeer.net/PPA-de.shtml.
Übrigens - du überlegst jetzt hier nur zwischen deinem AP und den
Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du auch
Transit, der eindeutig keine AP-Client-Beziehung ist und müsstest
Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook ist
^^).
Viele Grüße,
Florian
Zitat von Robert Langhammer <rlanghammer at web.de>:
> Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch kein
> Peering ein. Er ist in dem Moment mein Klient (
> https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch so.
>
> Am 30.04.2019 um 17:32 schrieb McUles:
>> Naja, du bietest dem Client aber Transit streng genommen, also würde
>> ich da eigentlich schon auch das PPA anwenden.
>>
>> Gruß,
>> McUles
>> Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
>> <mailto:rlanghammer at web.de>> schrieb:
>>
>> Hi, s. inline.
>>
>> Am 30.04.19 um 14:28 schrieb SebaBe:
>>
>> Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
>> beschriebene freie Transit in alle Richtungen gilt.
>>
>> Ja, das sehe ich auch so. Ein Client bietet mir allerdings
>> keinen Transit.
>>
>> Wenn also ein Client sich mit deinem dezentralen Freifunk
>> Gateway verbindet, sollte er erwarten können, dass dort das
>> PPA erfüllt ist.
>>
>>
>> Da das Gateway Peerings eingegangen ist, sollte es auch das PPA
>> erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN. Gilt also nur
>> zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
>> uneingeschränkten Transit nach PPA.
>>
>> Ich denke, da muss man schon zwischen Clients und Peerings unterscheiden.
>>
>> Der Client kann nicht erwarten, dass in einem fremden LAN/WLAN
>> uneingeschränkter Datenverkehr möglich ist. Er kann es sich wünschen.
>> Wenn ich ein freies WLAN auf mache, bin ich dafür verantwortlich. Und
>> wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist meine
>> Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID ist.
>>
>>
>> Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein
>> nicht Freifunk Netz, das Traffic durch das Freifunk Netz
>> leitet. Das ist ja auch OK so, aber das dezentrale wäre somit
>> kein Freifunk mehr. Bitte korrigiert mich, aber das sollten
>> wir wohl noch mal für alle klären ;)
>>
>>
>> Ich wäre da auch an weiteren Meinungen interessiert. Vielleicht lieg ich
>> da ja falsch.
>>
>> Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken. Das sind nur
>> grundlegende Betrachtungen.
>>
>> Robert
>>
>> Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb robert
>> <rlanghammer at web.de>:
>>
>> Hallo Sebastian, Clients sind keine Peeringpartner. Es
>> gilt kein Agreement. Wie auch, die sind ja anonym. Wenn
>> ich eine freies Wlan auf mache, ist das ein Angebot, das
>> Clients nutzen können. Dieses Angebot kann ich gestalten,
>> wie ich möchte. Dabei ist es egal, ob ich den Traffic
>> übers Freifunknetz oder anders ausleite. Auch wenn ich
>> eine irgendwie freifunk SSID ausstrahle, ist der Router
>> kein institutionelles Gerät, das Regularien unterliegt.
>> Der Router ist in meiner alleinigen Verantwortung. Und
>> wenn ich da z.B Facebook blocke, dann ist es eben ein Wifi
>> Angebot ohne Facebook. Also, wenn jemand unbedingt in
>> seinem LAN eingehenden Traffic sperren will, dann kann er
>> das tun. Aber nur dort. Grüße Robert Am 30.04.19 um 01:12
>> schrieb SebaBe:
>>
>> Hallo Robert, vielleicht habe ich das jetzt falsch
>> verstanden, aber das PPA greift
>>
>> schon auch auf deinem dezentralen.
>>
>> Es geht ja nicht nur um die Meshverbindungen sondern
>> auch um deine
>>
>> Clients.
>>
>> Und auch denen sichert du an deinem dezentralen das
>> PPA zu, also
>>
>> sollte auch dort nichts manipuliert werden.
>>
>> Generell denke ich, ist inzwischen doch bekannt, dass
>> öffentliche
>>
>> WLAN Netze tendenziell unsicherer sind als geschlossene.
>>
>> Das ging zwar teilweise zu weit, dass Panikmache vor
>> Honeypots etc
>>
>> betrieben wurde, aber inzwischen wird doch recht gut
>> aufgeklärt, wie man sich sicher in solchen Netzen bewegen
>> kann (VPN, Clients Firewall, etc.)
>>
>> Wir sollten hier wohl nicht das Rad neu erfinden
>> sondern uns auf
>>
>> unsere Kernkompetenz als Infrastrukturbetreiber beschränken.
>>
>> Es gibt genügend Initiativen die die User informieren
>> und ihnen
>>
>> helfen.
>>
>> Wer sich nicht informieren will, sry... Ich erleb es
>> auch viel zu oft, dass Menschen die Technik benutzen
>>
>> ohne sich nur ein bisschen damit auseinander zu setzen,
>> wie will man solchen Leuten denn helfen?!
>>
>> Wer Informationen sucht, sollte sie finden können, der
>> Rest fliegt
>>
>> leider zu recht auf die Nase...
>>
>> ...wenn etwas passieren sollte. Grüße Sebastian Am 29.
>> April 2019 08:28:29 MESZ schrieb robert
>> <rlanghammer at web.de>:
>>
>> Hallo, ich bin mit meinem Gateway Peerings mit
>> einigen Peeringpartnern eingegangen. Diese
>> verlassen sich darauf, dass ich mich an das PPA
>> halte. Nur so kann ein freies und funktionierendes
>> Netz entstehen. Ein Filter ist immer eine
>> Beeinträchtigung des Transits. Anders sieht es bei
>> einem dezentralen Gateway aus, bei dem es nicht
>> möglich ist, dass sich Dritte z.B. via Mesh, mit
>> dem Netz verbinden. Das PPA endet meines Erachtens
>> an der Broadcastdomain, falls diese geschlossen
>> ist. Bei einem offenem Meshnetzwerk muss das PPA
>> gelten. Viele Grüße Robert Am 28.04.19 um 18:12
>> schrieb Michael Fritscher:
>>
>> Hallo ihr, durch die fortschreitende
>> Einführung von IPv6 im Freifunk Netz ist
>>
>> es
>>
>> ja
>>
>> zumindest technisch möglich, den Clients
>> öffentlich erreichbare
>>
>> IPv6
>>
>> zu
>>
>> vergeben. Dies wird auch getan. Aus
>> rechtlichen Gründen sperren
>>
>> aber
>>
>> u.a. die Border-Router von f3n eingehenden
>> Traffic (siehe https://sub.f3netze.de/ ). Die
>> rechtlichen Probleme werden
>>
>> anscheinend
>>
>> derzeit geklärt. Ich sehe aber noch ein
>> anderes Problem, wenn eingehende
>>
>> Verbindungen
>>
>> möglich werden: Bislang waren die Clients nur
>> im Freifunk-Netz
>>
>> direkt
>>
>> zugänglich. Das ist doch noch ein etwas
>> geschützterer Raum als das "normale" Internet.
>> Typische Router wie die Fritzbox sperren auch
>>
>> bei
>>
>> IPv6 eingehenden Traffic, um die Clients zu
>> schützen. Ein typischer Freifunk-User wird
>> nicht vermuten, dass er, wenn er sich ins
>> Freifunknetz einbucht, plötzlich direkt von
>> außen erreichbar ist -
>>
>> mit
>>
>> allen Konsequenzen, gerade auch
>> sicherheitstechnischen. Ich möchte an dieser
>> Stelle davor warnen, übereilt diese Filter zu
>> deaktivieren, bevor wir uns vorher Gedanken
>> über die Konsequenzen gemacht haben. Ich habe
>> jedenfalls keine allzugroße Lust auf ein
>> PR-Disaster ala "Freifunk ist unsicher, die
>> Clients waren
>>
>> ungeschützt
>>
>> im
>>
>> Netz und wurden dadurch gehackt!!!"" mitsamt
>> dem Ärger zu haben.
>>
>> Ich
>>
>> glaube z.B. nicht, dass uns sowas in der
>> öffentlichen Wahrnehmung
>>
>> und
>>
>> z.B. das Gewähren von Standorten für Antennen
>> etc. helfen wird...
>>
>> Ja,
>>
>> technisch wären nicht wir, sondern die Clients
>> schuld, aber das
>>
>> wird
>>
>> in
>>
>> diesem Moment keine Sau interessieren fürchte
>> ich. Aber ich weiß auch, dass viele nur darauf
>> warten, einen der
>>
>> größeren
>>
>> Vorteile von IPv6 - direkte Ende-zu-Ende
>> Verbindungen ohne Filter
>>
>> und
>>
>> ähnlichen Quatsch - ausspielen zu können. Wie
>> gehen wir damit um? Mir wäre es zumindest
>> wichtig, dass die Router-Betreiber mit
>>
>> einigem
>>
>> Vorlauf vorgewarnt werden, damit sie ggf. ihr
>> Nutzungszenario
>>
>> überdenken
>>
>> können. Vielleicht misten sie dann auch mal
>> das ein oder ander
>>
>> bekannt
>>
>> unsichere Gerät aus. Soweit ich weiß gibt es
>> auch einige Dienste,
>>
>> die
>>
>> absichtlich nur im Freifunk-Netz erreichbar
>> sind. Aus meiner persönlichen Sicht wäre es
>> vermutlich am besten, wenn
>>
>> man
>>
>> das
>>
>> am Router (anscheinend wird dieses Drum
>> mittlerweile eher Node
>>
>> genannt)
>>
>> einstellen könnte. Ich befürchte aber, dass
>> das Filtern dort etwas schwierig wird, da er
>> ja erstmal nur ein Switch ist. Könnte aber
>> trotzdem machbar sein. Ansonsten gäbe es noch
>> die Möglichkeit, die
>>
>> Hoods
>>
>> zu doppeln - jeweils eine Variante mit und
>> ohne Filter. Dann könnte
>>
>> man
>>
>> entweder am Router einstellen, zu welcher
>> Variante man sich
>>
>> verbinden
>>
>> möchte (technische Umsetzung lasse ich jetzt
>> absichtlich außen
>>
>> vor),
>>
>> oder die Router sind technisch in 2 Netze und
>> strahlen z.B. auch 2
>>
>> SSIDs
>>
>> wie z.B. "wuerzburg.freifunk-franken.de
>> <http://wuerzburg.freifunk-franken.de>" und
>> "server.wuerzbuerg.freifunk-franken" aus. Dann
>> könnte jeder Client selbst entscheiden, ob er
>> eingehende Verbindungen haben möchte oder
>>
>> nicht.
>>
>> Meinungen? Viele Grüße, Michael Fritscher
>>
>>
Mehr Informationen über die Mailingliste franken