Re: IPv6 und Clients von außen erreichbar: Meinungsbild?
Robert Langhammer
rlanghammer at web.de
Di Apr 30 19:37:05 CEST 2019
Hallo Florian,
bei mesh sehe ich das genauso wie du.
Grüße
Robert
Am 30. April 2019 18:06:00 MESZ schrieb florian at fam-pankerl.de:
>Hi!
>
>Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA explizit
>
>auf "Transit": http://picopeer.net/PPA-de.shtml.
>
>Übrigens - du überlegst jetzt hier nur zwischen deinem AP und den
>Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du auch
>
>Transit, der eindeutig keine AP-Client-Beziehung ist und müsstest
>Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook ist
>^^).
>
>Viele Grüße,
>Florian
>
>
>
>Zitat von Robert Langhammer <rlanghammer at web.de>:
>
>> Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch
>kein
>> Peering ein. Er ist in dem Moment mein Klient (
>> https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch so.
>>
>> Am 30.04.2019 um 17:32 schrieb McUles:
>>> Naja, du bietest dem Client aber Transit streng genommen, also würde
>>> ich da eigentlich schon auch das PPA anwenden.
>>>
>>> Gruß,
>>> McUles
>>> Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
>>> <mailto:rlanghammer at web.de>> schrieb:
>>>
>>> Hi, s. inline.
>>>
>>> Am 30.04.19 um 14:28 schrieb SebaBe:
>>>
>>> Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
>>> beschriebene freie Transit in alle Richtungen gilt.
>>>
>>> Ja, das sehe ich auch so. Ein Client bietet mir allerdings
>>> keinen Transit.
>>>
>>> Wenn also ein Client sich mit deinem dezentralen Freifunk
>>> Gateway verbindet, sollte er erwarten können, dass dort das
>>> PPA erfüllt ist.
>>>
>>>
>>> Da das Gateway Peerings eingegangen ist, sollte es auch das PPA
>>> erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN. Gilt
>also nur
>>> zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
>>> uneingeschränkten Transit nach PPA.
>>>
>>> Ich denke, da muss man schon zwischen Clients und Peerings
>unterscheiden.
>>>
>>> Der Client kann nicht erwarten, dass in einem fremden LAN/WLAN
>>> uneingeschränkter Datenverkehr möglich ist. Er kann es sich
>wünschen.
>>> Wenn ich ein freies WLAN auf mache, bin ich dafür verantwortlich.
>Und
>>> wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist
>meine
>>> Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID
>ist.
>>>
>>>
>>> Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO ein
>>> nicht Freifunk Netz, das Traffic durch das Freifunk Netz
>>> leitet. Das ist ja auch OK so, aber das dezentrale wäre somit
>>> kein Freifunk mehr. Bitte korrigiert mich, aber das sollten
>>> wir wohl noch mal für alle klären ;)
>>>
>>>
>>> Ich wäre da auch an weiteren Meinungen interessiert. Vielleicht
>lieg ich
>>> da ja falsch.
>>>
>>> Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken. Das
>sind nur
>>> grundlegende Betrachtungen.
>>>
>>> Robert
>>>
>>> Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb
>robert
>>> <rlanghammer at web.de>:
>>>
>>> Hallo Sebastian, Clients sind keine Peeringpartner. Es
>>> gilt kein Agreement. Wie auch, die sind ja anonym. Wenn
>>> ich eine freies Wlan auf mache, ist das ein Angebot, das
>>> Clients nutzen können. Dieses Angebot kann ich gestalten,
>>> wie ich möchte. Dabei ist es egal, ob ich den Traffic
>>> übers Freifunknetz oder anders ausleite. Auch wenn ich
>>> eine irgendwie freifunk SSID ausstrahle, ist der Router
>>> kein institutionelles Gerät, das Regularien unterliegt.
>>> Der Router ist in meiner alleinigen Verantwortung. Und
>>> wenn ich da z.B Facebook blocke, dann ist es eben ein
>Wifi
>>> Angebot ohne Facebook. Also, wenn jemand unbedingt in
>>> seinem LAN eingehenden Traffic sperren will, dann kann er
>>> das tun. Aber nur dort. Grüße Robert Am 30.04.19 um 01:12
>>> schrieb SebaBe:
>>>
>>> Hallo Robert, vielleicht habe ich das jetzt falsch
>>> verstanden, aber das PPA greift
>>>
>>> schon auch auf deinem dezentralen.
>>>
>>> Es geht ja nicht nur um die Meshverbindungen sondern
>>> auch um deine
>>>
>>> Clients.
>>>
>>> Und auch denen sichert du an deinem dezentralen das
>>> PPA zu, also
>>>
>>> sollte auch dort nichts manipuliert werden.
>>>
>>> Generell denke ich, ist inzwischen doch bekannt, dass
>>> öffentliche
>>>
>>> WLAN Netze tendenziell unsicherer sind als geschlossene.
>>>
>>> Das ging zwar teilweise zu weit, dass Panikmache vor
>>> Honeypots etc
>>>
>>> betrieben wurde, aber inzwischen wird doch recht gut
>>> aufgeklärt, wie man sich sicher in solchen Netzen bewegen
>>> kann (VPN, Clients Firewall, etc.)
>>>
>>> Wir sollten hier wohl nicht das Rad neu erfinden
>>> sondern uns auf
>>>
>>> unsere Kernkompetenz als Infrastrukturbetreiber
>beschränken.
>>>
>>> Es gibt genügend Initiativen die die User informieren
>>> und ihnen
>>>
>>> helfen.
>>>
>>> Wer sich nicht informieren will, sry... Ich erleb es
>>> auch viel zu oft, dass Menschen die Technik benutzen
>>>
>>> ohne sich nur ein bisschen damit auseinander zu setzen,
>>> wie will man solchen Leuten denn helfen?!
>>>
>>> Wer Informationen sucht, sollte sie finden können,
>der
>>> Rest fliegt
>>>
>>> leider zu recht auf die Nase...
>>>
>>> ...wenn etwas passieren sollte. Grüße Sebastian Am
>29.
>>> April 2019 08:28:29 MESZ schrieb robert
>>> <rlanghammer at web.de>:
>>>
>>> Hallo, ich bin mit meinem Gateway Peerings mit
>>> einigen Peeringpartnern eingegangen. Diese
>>> verlassen sich darauf, dass ich mich an das PPA
>>> halte. Nur so kann ein freies und
>funktionierendes
>>> Netz entstehen. Ein Filter ist immer eine
>>> Beeinträchtigung des Transits. Anders sieht es
>bei
>>> einem dezentralen Gateway aus, bei dem es nicht
>>> möglich ist, dass sich Dritte z.B. via Mesh, mit
>>> dem Netz verbinden. Das PPA endet meines
>Erachtens
>>> an der Broadcastdomain, falls diese geschlossen
>>> ist. Bei einem offenem Meshnetzwerk muss das PPA
>>> gelten. Viele Grüße Robert Am 28.04.19 um 18:12
>>> schrieb Michael Fritscher:
>>>
>>> Hallo ihr, durch die fortschreitende
>>> Einführung von IPv6 im Freifunk Netz ist
>>>
>>> es
>>>
>>> ja
>>>
>>> zumindest technisch möglich, den Clients
>>> öffentlich erreichbare
>>>
>>> IPv6
>>>
>>> zu
>>>
>>> vergeben. Dies wird auch getan. Aus
>>> rechtlichen Gründen sperren
>>>
>>> aber
>>>
>>> u.a. die Border-Router von f3n eingehenden
>>> Traffic (siehe https://sub.f3netze.de/ ). Die
>>> rechtlichen Probleme werden
>>>
>>> anscheinend
>>>
>>> derzeit geklärt. Ich sehe aber noch ein
>>> anderes Problem, wenn eingehende
>>>
>>> Verbindungen
>>>
>>> möglich werden: Bislang waren die Clients nur
>>> im Freifunk-Netz
>>>
>>> direkt
>>>
>>> zugänglich. Das ist doch noch ein etwas
>>> geschützterer Raum als das "normale"
>Internet.
>>> Typische Router wie die Fritzbox sperren auch
>>>
>>> bei
>>>
>>> IPv6 eingehenden Traffic, um die Clients zu
>>> schützen. Ein typischer Freifunk-User wird
>>> nicht vermuten, dass er, wenn er sich ins
>>> Freifunknetz einbucht, plötzlich direkt von
>>> außen erreichbar ist -
>>>
>>> mit
>>>
>>> allen Konsequenzen, gerade auch
>>> sicherheitstechnischen. Ich möchte an dieser
>>> Stelle davor warnen, übereilt diese Filter zu
>>> deaktivieren, bevor wir uns vorher Gedanken
>>> über die Konsequenzen gemacht haben. Ich habe
>>> jedenfalls keine allzugroße Lust auf ein
>>> PR-Disaster ala "Freifunk ist unsicher, die
>>> Clients waren
>>>
>>> ungeschützt
>>>
>>> im
>>>
>>> Netz und wurden dadurch gehackt!!!"" mitsamt
>>> dem Ärger zu haben.
>>>
>>> Ich
>>>
>>> glaube z.B. nicht, dass uns sowas in der
>>> öffentlichen Wahrnehmung
>>>
>>> und
>>>
>>> z.B. das Gewähren von Standorten für Antennen
>>> etc. helfen wird...
>>>
>>> Ja,
>>>
>>> technisch wären nicht wir, sondern die
>Clients
>>> schuld, aber das
>>>
>>> wird
>>>
>>> in
>>>
>>> diesem Moment keine Sau interessieren fürchte
>>> ich. Aber ich weiß auch, dass viele nur
>darauf
>>> warten, einen der
>>>
>>> größeren
>>>
>>> Vorteile von IPv6 - direkte Ende-zu-Ende
>>> Verbindungen ohne Filter
>>>
>>> und
>>>
>>> ähnlichen Quatsch - ausspielen zu können. Wie
>>> gehen wir damit um? Mir wäre es zumindest
>>> wichtig, dass die Router-Betreiber mit
>>>
>>> einigem
>>>
>>> Vorlauf vorgewarnt werden, damit sie ggf. ihr
>>> Nutzungszenario
>>>
>>> überdenken
>>>
>>> können. Vielleicht misten sie dann auch mal
>>> das ein oder ander
>>>
>>> bekannt
>>>
>>> unsichere Gerät aus. Soweit ich weiß gibt es
>>> auch einige Dienste,
>>>
>>> die
>>>
>>> absichtlich nur im Freifunk-Netz erreichbar
>>> sind. Aus meiner persönlichen Sicht wäre es
>>> vermutlich am besten, wenn
>>>
>>> man
>>>
>>> das
>>>
>>> am Router (anscheinend wird dieses Drum
>>> mittlerweile eher Node
>>>
>>> genannt)
>>>
>>> einstellen könnte. Ich befürchte aber, dass
>>> das Filtern dort etwas schwierig wird, da er
>>> ja erstmal nur ein Switch ist. Könnte aber
>>> trotzdem machbar sein. Ansonsten gäbe es noch
>>> die Möglichkeit, die
>>>
>>> Hoods
>>>
>>> zu doppeln - jeweils eine Variante mit und
>>> ohne Filter. Dann könnte
>>>
>>> man
>>>
>>> entweder am Router einstellen, zu welcher
>>> Variante man sich
>>>
>>> verbinden
>>>
>>> möchte (technische Umsetzung lasse ich jetzt
>>> absichtlich außen
>>>
>>> vor),
>>>
>>> oder die Router sind technisch in 2 Netze und
>>> strahlen z.B. auch 2
>>>
>>> SSIDs
>>>
>>> wie z.B. "wuerzburg.freifunk-franken.de
>>> <http://wuerzburg.freifunk-franken.de>" und
>>> "server.wuerzbuerg.freifunk-franken" aus.
>Dann
>>> könnte jeder Client selbst entscheiden, ob er
>>> eingehende Verbindungen haben möchte oder
>>>
>>> nicht.
>>>
>>> Meinungen? Viele Grüße, Michael Fritscher
>>>
>>>
Mehr Informationen über die Mailingliste franken