IPv6 und Clients von außen erreichbar: Meinungsbild?
Tim Niemeyer
tim at tn-x.org
Mi Mai 1 00:17:43 CEST 2019
Moin
Am Dienstag, den 30.04.2019, 18:06 +0200 schrieb florian at fam-
pankerl.de:
> Hi!
>
> Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA
> explizit
> auf "Transit": http://picopeer.net/PPA-de.shtml.
>
> Übrigens - du überlegst jetzt hier nur zwischen deinem AP und den
> Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du
> auch
Beim "Mesh" muss man unterscheiden. Handelt es sich um ein Mesh-Netz,
was aus Peerings besteht darf laut PPA nicht gefiltert werden.
Handelt es sich um ein System, was primär gedacht ist um ein lokales
Layer-2 Netz zu "vergrößern", dann stellt das so entstandene Netz am
Ende eine Einheit dar. Anders ausgedrückt bilden alle "Mesh-Knoten"
zusammen einen großen (virtuellen) Accesspoint. Wer innerhalb eines
Accesspoints div. filter installieren möchte kann das tun, weil in dem
Accesspoint drinnen ist ja kein Peering. Diese Einheit ist _kein_
Freifunk Netz sondern sie ist nur ein Accesspoint welcher am Freifunk
Netz angeschlossen wurde.
Grüße
Tim
>
> Transit, der eindeutig keine AP-Client-Beziehung ist und müsstest
> Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook
> ist
> ^^).
>
> Viele Grüße,
> Florian
>
>
>
> Zitat von Robert Langhammer <rlanghammer at web.de>:
>
> > Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch
> > kein
> > Peering ein. Er ist in dem Moment mein Klient (
> > https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch
> > so.
> >
> > Am 30.04.2019 um 17:32 schrieb McUles:
> > > Naja, du bietest dem Client aber Transit streng genommen, also
> > > würde
> > > ich da eigentlich schon auch das PPA anwenden.
> > >
> > > Gruß,
> > > McUles
> > > Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
> > > <mailto:rlanghammer at web.de>> schrieb:
> > >
> > > Hi, s. inline.
> > >
> > > Am 30.04.19 um 14:28 schrieb SebaBe:
> > >
> > > Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
> > > beschriebene freie Transit in alle Richtungen gilt.
> > >
> > > Ja, das sehe ich auch so. Ein Client bietet mir allerdings
> > > keinen Transit.
> > >
> > > Wenn also ein Client sich mit deinem dezentralen Freifunk
> > > Gateway verbindet, sollte er erwarten können, dass dort
> > > das
> > > PPA erfüllt ist.
> > >
> > >
> > > Da das Gateway Peerings eingegangen ist, sollte es auch das
> > > PPA
> > > erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN.
> > > Gilt also nur
> > > zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
> > > uneingeschränkten Transit nach PPA.
> > >
> > > Ich denke, da muss man schon zwischen Clients und Peerings
> > > unterscheiden.
> > >
> > > Der Client kann nicht erwarten, dass in einem fremden
> > > LAN/WLAN
> > > uneingeschränkter Datenverkehr möglich ist. Er kann es sich
> > > wünschen.
> > > Wenn ich ein freies WLAN auf mache, bin ich dafür
> > > verantwortlich. Und
> > > wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist
> > > meine
> > > Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID
> > > ist.
> > >
> > >
> > > Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO
> > > ein
> > > nicht Freifunk Netz, das Traffic durch das Freifunk Netz
> > > leitet. Das ist ja auch OK so, aber das dezentrale wäre
> > > somit
> > > kein Freifunk mehr. Bitte korrigiert mich, aber das
> > > sollten
> > > wir wohl noch mal für alle klären ;)
> > >
> > >
> > > Ich wäre da auch an weiteren Meinungen interessiert.
> > > Vielleicht lieg ich
> > > da ja falsch.
> > >
> > > Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken.
> > > Das sind nur
> > > grundlegende Betrachtungen.
> > >
> > > Robert
> > >
> > > Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb
> > > robert
> > > <rlanghammer at web.de>:
> > >
> > > Hallo Sebastian, Clients sind keine Peeringpartner. Es
> > > gilt kein Agreement. Wie auch, die sind ja anonym.
> > > Wenn
> > > ich eine freies Wlan auf mache, ist das ein Angebot,
> > > das
> > > Clients nutzen können. Dieses Angebot kann ich
> > > gestalten,
> > > wie ich möchte. Dabei ist es egal, ob ich den Traffic
> > > übers Freifunknetz oder anders ausleite. Auch wenn ich
> > > eine irgendwie freifunk SSID ausstrahle, ist der
> > > Router
> > > kein institutionelles Gerät, das Regularien
> > > unterliegt.
> > > Der Router ist in meiner alleinigen Verantwortung. Und
> > > wenn ich da z.B Facebook blocke, dann ist es eben ein
> > > Wifi
> > > Angebot ohne Facebook. Also, wenn jemand unbedingt in
> > > seinem LAN eingehenden Traffic sperren will, dann kann
> > > er
> > > das tun. Aber nur dort. Grüße Robert Am 30.04.19 um
> > > 01:12
> > > schrieb SebaBe:
> > >
> > > Hallo Robert, vielleicht habe ich das jetzt falsch
> > > verstanden, aber das PPA greift
> > >
> > > schon auch auf deinem dezentralen.
> > >
> > > Es geht ja nicht nur um die Meshverbindungen
> > > sondern
> > > auch um deine
> > >
> > > Clients.
> > >
> > > Und auch denen sichert du an deinem dezentralen
> > > das
> > > PPA zu, also
> > >
> > > sollte auch dort nichts manipuliert werden.
> > >
> > > Generell denke ich, ist inzwischen doch bekannt,
> > > dass
> > > öffentliche
> > >
> > > WLAN Netze tendenziell unsicherer sind als
> > > geschlossene.
> > >
> > > Das ging zwar teilweise zu weit, dass Panikmache
> > > vor
> > > Honeypots etc
> > >
> > > betrieben wurde, aber inzwischen wird doch recht gut
> > > aufgeklärt, wie man sich sicher in solchen Netzen
> > > bewegen
> > > kann (VPN, Clients Firewall, etc.)
> > >
> > > Wir sollten hier wohl nicht das Rad neu erfinden
> > > sondern uns auf
> > >
> > > unsere Kernkompetenz als Infrastrukturbetreiber
> > > beschränken.
> > >
> > > Es gibt genügend Initiativen die die User
> > > informieren
> > > und ihnen
> > >
> > > helfen.
> > >
> > > Wer sich nicht informieren will, sry... Ich erleb
> > > es
> > > auch viel zu oft, dass Menschen die Technik
> > > benutzen
> > >
> > > ohne sich nur ein bisschen damit auseinander zu
> > > setzen,
> > > wie will man solchen Leuten denn helfen?!
> > >
> > > Wer Informationen sucht, sollte sie finden können,
> > > der
> > > Rest fliegt
> > >
> > > leider zu recht auf die Nase...
> > >
> > > ...wenn etwas passieren sollte. Grüße Sebastian Am
> > > 29.
> > > April 2019 08:28:29 MESZ schrieb robert
> > > <rlanghammer at web.de>:
> > >
> > > Hallo, ich bin mit meinem Gateway Peerings mit
> > > einigen Peeringpartnern eingegangen. Diese
> > > verlassen sich darauf, dass ich mich an das
> > > PPA
> > > halte. Nur so kann ein freies und
> > > funktionierendes
> > > Netz entstehen. Ein Filter ist immer eine
> > > Beeinträchtigung des Transits. Anders sieht es
> > > bei
> > > einem dezentralen Gateway aus, bei dem es
> > > nicht
> > > möglich ist, dass sich Dritte z.B. via Mesh,
> > > mit
> > > dem Netz verbinden. Das PPA endet meines
> > > Erachtens
> > > an der Broadcastdomain, falls diese
> > > geschlossen
> > > ist. Bei einem offenem Meshnetzwerk muss das
> > > PPA
> > > gelten. Viele Grüße Robert Am 28.04.19 um
> > > 18:12
> > > schrieb Michael Fritscher:
> > >
> > > Hallo ihr, durch die fortschreitende
> > > Einführung von IPv6 im Freifunk Netz ist
> > >
> > > es
> > >
> > > ja
> > >
> > > zumindest technisch möglich, den Clients
> > > öffentlich erreichbare
> > >
> > > IPv6
> > >
> > > zu
> > >
> > > vergeben. Dies wird auch getan. Aus
> > > rechtlichen Gründen sperren
> > >
> > > aber
> > >
> > > u.a. die Border-Router von f3n eingehenden
> > > Traffic (siehe https://sub.f3netze.de/ ).
> > > Die
> > > rechtlichen Probleme werden
> > >
> > > anscheinend
> > >
> > > derzeit geklärt. Ich sehe aber noch ein
> > > anderes Problem, wenn eingehende
> > >
> > > Verbindungen
> > >
> > > möglich werden: Bislang waren die Clients
> > > nur
> > > im Freifunk-Netz
> > >
> > > direkt
> > >
> > > zugänglich. Das ist doch noch ein etwas
> > > geschützterer Raum als das "normale"
> > > Internet.
> > > Typische Router wie die Fritzbox sperren
> > > auch
> > >
> > > bei
> > >
> > > IPv6 eingehenden Traffic, um die Clients
> > > zu
> > > schützen. Ein typischer Freifunk-User wird
> > > nicht vermuten, dass er, wenn er sich ins
> > > Freifunknetz einbucht, plötzlich direkt
> > > von
> > > außen erreichbar ist -
> > >
> > > mit
> > >
> > > allen Konsequenzen, gerade auch
> > > sicherheitstechnischen. Ich möchte an
> > > dieser
> > > Stelle davor warnen, übereilt diese Filter
> > > zu
> > > deaktivieren, bevor wir uns vorher
> > > Gedanken
> > > über die Konsequenzen gemacht haben. Ich
> > > habe
> > > jedenfalls keine allzugroße Lust auf ein
> > > PR-Disaster ala "Freifunk ist unsicher,
> > > die
> > > Clients waren
> > >
> > > ungeschützt
> > >
> > > im
> > >
> > > Netz und wurden dadurch gehackt!!!""
> > > mitsamt
> > > dem Ärger zu haben.
> > >
> > > Ich
> > >
> > > glaube z.B. nicht, dass uns sowas in der
> > > öffentlichen Wahrnehmung
> > >
> > > und
> > >
> > > z.B. das Gewähren von Standorten für
> > > Antennen
> > > etc. helfen wird...
> > >
> > > Ja,
> > >
> > > technisch wären nicht wir, sondern die
> > > Clients
> > > schuld, aber das
> > >
> > > wird
> > >
> > > in
> > >
> > > diesem Moment keine Sau interessieren
> > > fürchte
> > > ich. Aber ich weiß auch, dass viele nur
> > > darauf
> > > warten, einen der
> > >
> > > größeren
> > >
> > > Vorteile von IPv6 - direkte Ende-zu-Ende
> > > Verbindungen ohne Filter
> > >
> > > und
> > >
> > > ähnlichen Quatsch - ausspielen zu können.
> > > Wie
> > > gehen wir damit um? Mir wäre es zumindest
> > > wichtig, dass die Router-Betreiber mit
> > >
> > > einigem
> > >
> > > Vorlauf vorgewarnt werden, damit sie ggf.
> > > ihr
> > > Nutzungszenario
> > >
> > > überdenken
> > >
> > > können. Vielleicht misten sie dann auch
> > > mal
> > > das ein oder ander
> > >
> > > bekannt
> > >
> > > unsichere Gerät aus. Soweit ich weiß gibt
> > > es
> > > auch einige Dienste,
> > >
> > > die
> > >
> > > absichtlich nur im Freifunk-Netz
> > > erreichbar
> > > sind. Aus meiner persönlichen Sicht wäre
> > > es
> > > vermutlich am besten, wenn
> > >
> > > man
> > >
> > > das
> > >
> > > am Router (anscheinend wird dieses Drum
> > > mittlerweile eher Node
> > >
> > > genannt)
> > >
> > > einstellen könnte. Ich befürchte aber,
> > > dass
> > > das Filtern dort etwas schwierig wird, da
> > > er
> > > ja erstmal nur ein Switch ist. Könnte aber
> > > trotzdem machbar sein. Ansonsten gäbe es
> > > noch
> > > die Möglichkeit, die
> > >
> > > Hoods
> > >
> > > zu doppeln - jeweils eine Variante mit und
> > > ohne Filter. Dann könnte
> > >
> > > man
> > >
> > > entweder am Router einstellen, zu welcher
> > > Variante man sich
> > >
> > > verbinden
> > >
> > > möchte (technische Umsetzung lasse ich
> > > jetzt
> > > absichtlich außen
> > >
> > > vor),
> > >
> > > oder die Router sind technisch in 2 Netze
> > > und
> > > strahlen z.B. auch 2
> > >
> > > SSIDs
> > >
> > > wie z.B. "wuerzburg.freifunk-franken.de
> > > <http://wuerzburg.freifunk-franken.de>"
> > > und
> > > "server.wuerzbuerg.freifunk-franken" aus.
> > > Dann
> > > könnte jeder Client selbst entscheiden, ob
> > > er
> > > eingehende Verbindungen haben möchte oder
> > >
> > > nicht.
> > >
> > > Meinungen? Viele Grüße, Michael Fritscher
> > >
> > >
>
>
>
Mehr Informationen über die Mailingliste franken