Re: IPv6 und Clients von außen erreichbar: Meinungsbild?
SebaBe
freifunk at beibecks.de
Mi Mai 1 21:43:14 CEST 2019
Guten Abend,
Hmm, ich bin damit nicht so recht glücklich.
Transit beschreibt dass Daten von A nach B durchgeleitet werden.
Peering ist etwas anderes.
Im Fall eines dezentralen GWs, peert der Betreiber mit jemand anderem um sein dezentrales mit unserem Freifunk Netz zu verbinden.
-> dadurch gilt für dieses dezentrale das PPA.
Dort ist wieder beschrieben, dass der freie, unveränderte Transit gewährt werden muss, eine Einschränkung gibt es dafür nicht.
Also sollte der Traffic der Clients dadurch mit abgedeckt werden.
Dass das dezentrale kein Teil des Freifunk Netzes ist, finde ich auch nicht logisch.
Die Daten fließen direkt in unserem Netz, werden durchgeleitet, die Clients bekommen IPs aus unseren Bereichen,...
Wie sollte es somit kein Teil des Freifunk Netzes sein?
Wenn man hinter das dezentrale ein weiteres Netz hängt, gebe ich Tim Recht, allerdings sollte das Netz dann eben auch nicht Freifunk heißen.
Ansonsten ist auch ein Access Point der im Freifunk Netz hängt Teil dessen, so wie alle v2 Knoten eben.
Zum Thema NAT bei v4, ja das ist streng genommen eine Verletzung des PPAs, allerdings eine technische Notwendigkeit, die man einfach nicht zu umgehen ist, genau wie TCP MSS Clamping.
Dazu gibt's übrigens einen netten Thread im Freifunk Forum, dort wird diese Meinung auch allgemein Vertreten.
Grüße Sebastian
Am 1. Mai 2019 00:17:43 MESZ schrieb Tim Niemeyer <tim at tn-x.org>:
>Moin
>
>Am Dienstag, den 30.04.2019, 18:06 +0200 schrieb florian at fam-
>pankerl.de:
>> Hi!
>>
>> Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA
>> explizit
>> auf "Transit": http://picopeer.net/PPA-de.shtml.
>>
>> Übrigens - du überlegst jetzt hier nur zwischen deinem AP und den
>> Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du
>> auch
>Beim "Mesh" muss man unterscheiden. Handelt es sich um ein Mesh-Netz,
>was aus Peerings besteht darf laut PPA nicht gefiltert werden.
>
>Handelt es sich um ein System, was primär gedacht ist um ein lokales
>Layer-2 Netz zu "vergrößern", dann stellt das so entstandene Netz am
>Ende eine Einheit dar. Anders ausgedrückt bilden alle "Mesh-Knoten"
>zusammen einen großen (virtuellen) Accesspoint. Wer innerhalb eines
>Accesspoints div. filter installieren möchte kann das tun, weil in dem
>Accesspoint drinnen ist ja kein Peering. Diese Einheit ist _kein_
>Freifunk Netz sondern sie ist nur ein Accesspoint welcher am Freifunk
>Netz angeschlossen wurde.
>
>Grüße
>Tim
>
>>
>> Transit, der eindeutig keine AP-Client-Beziehung ist und müsstest
>> Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook
>> ist
>> ^^).
>>
>> Viele Grüße,
>> Florian
>>
>>
>>
>> Zitat von Robert Langhammer <rlanghammer at web.de>:
>>
>> > Das ist doch ein Peering Agreement. Mit einem Client gehe ich doch
>> > kein
>> > Peering ein. Er ist in dem Moment mein Klient (
>> > https://www.duden.de/rechtschreibung/Klient ) Nennt sich ja auch
>> > so.
>> >
>> > Am 30.04.2019 um 17:32 schrieb McUles:
>> > > Naja, du bietest dem Client aber Transit streng genommen, also
>> > > würde
>> > > ich da eigentlich schon auch das PPA anwenden.
>> > >
>> > > Gruß,
>> > > McUles
>> > > Am 30. Apr. 2019, um 17:28, robert <rlanghammer at web.de
>> > > <mailto:rlanghammer at web.de>> schrieb:
>> > >
>> > > Hi, s. inline.
>> > >
>> > > Am 30.04.19 um 14:28 schrieb SebaBe:
>> > >
>> > > Hallo Robert, Meine Auffassung des PPAs ist, dass der dort
>> > > beschriebene freie Transit in alle Richtungen gilt.
>> > >
>> > > Ja, das sehe ich auch so. Ein Client bietet mir allerdings
>> > > keinen Transit.
>> > >
>> > > Wenn also ein Client sich mit deinem dezentralen Freifunk
>> > > Gateway verbindet, sollte er erwarten können, dass dort
>> > > das
>> > > PPA erfüllt ist.
>> > >
>> > >
>> > > Da das Gateway Peerings eingegangen ist, sollte es auch das
>> > > PPA
>> > > erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN.
>> > > Gilt also nur
>> > > zwischen den Peeringpartnern. Ich erlaube den Peeringpartnern
>> > > uneingeschränkten Transit nach PPA.
>> > >
>> > > Ich denke, da muss man schon zwischen Clients und Peerings
>> > > unterscheiden.
>> > >
>> > > Der Client kann nicht erwarten, dass in einem fremden
>> > > LAN/WLAN
>> > > uneingeschränkter Datenverkehr möglich ist. Er kann es sich
>> > > wünschen.
>> > > Wenn ich ein freies WLAN auf mache, bin ich dafür
>> > > verantwortlich. Und
>> > > wenn da ursächlich aus meinem Wlan böse Sachen passieren, ist
>> > > meine
>> > > Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk SSID
>> > > ist.
>> > >
>> > >
>> > > Wenn dein dezentrales das PPA nicht erfüllt, wäre es IMHO
>> > > ein
>> > > nicht Freifunk Netz, das Traffic durch das Freifunk Netz
>> > > leitet. Das ist ja auch OK so, aber das dezentrale wäre
>> > > somit
>> > > kein Freifunk mehr. Bitte korrigiert mich, aber das
>> > > sollten
>> > > wir wohl noch mal für alle klären ;)
>> > >
>> > >
>> > > Ich wäre da auch an weiteren Meinungen interessiert.
>> > > Vielleicht lieg ich
>> > > da ja falsch.
>> > >
>> > > Ach ja, am Rande bemerkt: Ich würde kein Netz einschränken.
>> > > Das sind nur
>> > > grundlegende Betrachtungen.
>> > >
>> > > Robert
>> > >
>> > > Grüße Sebastian Am 30. April 2019 09:03:30 MESZ schrieb
>> > > robert
>> > > <rlanghammer at web.de>:
>> > >
>> > > Hallo Sebastian, Clients sind keine Peeringpartner. Es
>> > > gilt kein Agreement. Wie auch, die sind ja anonym.
>> > > Wenn
>> > > ich eine freies Wlan auf mache, ist das ein Angebot,
>> > > das
>> > > Clients nutzen können. Dieses Angebot kann ich
>> > > gestalten,
>> > > wie ich möchte. Dabei ist es egal, ob ich den Traffic
>> > > übers Freifunknetz oder anders ausleite. Auch wenn ich
>> > > eine irgendwie freifunk SSID ausstrahle, ist der
>> > > Router
>> > > kein institutionelles Gerät, das Regularien
>> > > unterliegt.
>> > > Der Router ist in meiner alleinigen Verantwortung. Und
>> > > wenn ich da z.B Facebook blocke, dann ist es eben ein
>> > > Wifi
>> > > Angebot ohne Facebook. Also, wenn jemand unbedingt in
>> > > seinem LAN eingehenden Traffic sperren will, dann kann
>> > > er
>> > > das tun. Aber nur dort. Grüße Robert Am 30.04.19 um
>> > > 01:12
>> > > schrieb SebaBe:
>> > >
>> > > Hallo Robert, vielleicht habe ich das jetzt falsch
>> > > verstanden, aber das PPA greift
>> > >
>> > > schon auch auf deinem dezentralen.
>> > >
>> > > Es geht ja nicht nur um die Meshverbindungen
>> > > sondern
>> > > auch um deine
>> > >
>> > > Clients.
>> > >
>> > > Und auch denen sichert du an deinem dezentralen
>> > > das
>> > > PPA zu, also
>> > >
>> > > sollte auch dort nichts manipuliert werden.
>> > >
>> > > Generell denke ich, ist inzwischen doch bekannt,
>> > > dass
>> > > öffentliche
>> > >
>> > > WLAN Netze tendenziell unsicherer sind als
>> > > geschlossene.
>> > >
>> > > Das ging zwar teilweise zu weit, dass Panikmache
>> > > vor
>> > > Honeypots etc
>> > >
>> > > betrieben wurde, aber inzwischen wird doch recht gut
>> > > aufgeklärt, wie man sich sicher in solchen Netzen
>> > > bewegen
>> > > kann (VPN, Clients Firewall, etc.)
>> > >
>> > > Wir sollten hier wohl nicht das Rad neu erfinden
>> > > sondern uns auf
>> > >
>> > > unsere Kernkompetenz als Infrastrukturbetreiber
>> > > beschränken.
>> > >
>> > > Es gibt genügend Initiativen die die User
>> > > informieren
>> > > und ihnen
>> > >
>> > > helfen.
>> > >
>> > > Wer sich nicht informieren will, sry... Ich erleb
>> > > es
>> > > auch viel zu oft, dass Menschen die Technik
>> > > benutzen
>> > >
>> > > ohne sich nur ein bisschen damit auseinander zu
>> > > setzen,
>> > > wie will man solchen Leuten denn helfen?!
>> > >
>> > > Wer Informationen sucht, sollte sie finden können,
>> > > der
>> > > Rest fliegt
>> > >
>> > > leider zu recht auf die Nase...
>> > >
>> > > ...wenn etwas passieren sollte. Grüße Sebastian Am
>> > > 29.
>> > > April 2019 08:28:29 MESZ schrieb robert
>> > > <rlanghammer at web.de>:
>> > >
>> > > Hallo, ich bin mit meinem Gateway Peerings mit
>> > > einigen Peeringpartnern eingegangen. Diese
>> > > verlassen sich darauf, dass ich mich an das
>> > > PPA
>> > > halte. Nur so kann ein freies und
>> > > funktionierendes
>> > > Netz entstehen. Ein Filter ist immer eine
>> > > Beeinträchtigung des Transits. Anders sieht es
>> > > bei
>> > > einem dezentralen Gateway aus, bei dem es
>> > > nicht
>> > > möglich ist, dass sich Dritte z.B. via Mesh,
>> > > mit
>> > > dem Netz verbinden. Das PPA endet meines
>> > > Erachtens
>> > > an der Broadcastdomain, falls diese
>> > > geschlossen
>> > > ist. Bei einem offenem Meshnetzwerk muss das
>> > > PPA
>> > > gelten. Viele Grüße Robert Am 28.04.19 um
>> > > 18:12
>> > > schrieb Michael Fritscher:
>> > >
>> > > Hallo ihr, durch die fortschreitende
>> > > Einführung von IPv6 im Freifunk Netz ist
>> > >
>> > > es
>> > >
>> > > ja
>> > >
>> > > zumindest technisch möglich, den Clients
>> > > öffentlich erreichbare
>> > >
>> > > IPv6
>> > >
>> > > zu
>> > >
>> > > vergeben. Dies wird auch getan. Aus
>> > > rechtlichen Gründen sperren
>> > >
>> > > aber
>> > >
>> > > u.a. die Border-Router von f3n eingehenden
>> > > Traffic (siehe https://sub.f3netze.de/ ).
>> > > Die
>> > > rechtlichen Probleme werden
>> > >
>> > > anscheinend
>> > >
>> > > derzeit geklärt. Ich sehe aber noch ein
>> > > anderes Problem, wenn eingehende
>> > >
>> > > Verbindungen
>> > >
>> > > möglich werden: Bislang waren die Clients
>> > > nur
>> > > im Freifunk-Netz
>> > >
>> > > direkt
>> > >
>> > > zugänglich. Das ist doch noch ein etwas
>> > > geschützterer Raum als das "normale"
>> > > Internet.
>> > > Typische Router wie die Fritzbox sperren
>> > > auch
>> > >
>> > > bei
>> > >
>> > > IPv6 eingehenden Traffic, um die Clients
>> > > zu
>> > > schützen. Ein typischer Freifunk-User wird
>> > > nicht vermuten, dass er, wenn er sich ins
>> > > Freifunknetz einbucht, plötzlich direkt
>> > > von
>> > > außen erreichbar ist -
>> > >
>> > > mit
>> > >
>> > > allen Konsequenzen, gerade auch
>> > > sicherheitstechnischen. Ich möchte an
>> > > dieser
>> > > Stelle davor warnen, übereilt diese Filter
>> > > zu
>> > > deaktivieren, bevor wir uns vorher
>> > > Gedanken
>> > > über die Konsequenzen gemacht haben. Ich
>> > > habe
>> > > jedenfalls keine allzugroße Lust auf ein
>> > > PR-Disaster ala "Freifunk ist unsicher,
>> > > die
>> > > Clients waren
>> > >
>> > > ungeschützt
>> > >
>> > > im
>> > >
>> > > Netz und wurden dadurch gehackt!!!""
>> > > mitsamt
>> > > dem Ärger zu haben.
>> > >
>> > > Ich
>> > >
>> > > glaube z.B. nicht, dass uns sowas in der
>> > > öffentlichen Wahrnehmung
>> > >
>> > > und
>> > >
>> > > z.B. das Gewähren von Standorten für
>> > > Antennen
>> > > etc. helfen wird...
>> > >
>> > > Ja,
>> > >
>> > > technisch wären nicht wir, sondern die
>> > > Clients
>> > > schuld, aber das
>> > >
>> > > wird
>> > >
>> > > in
>> > >
>> > > diesem Moment keine Sau interessieren
>> > > fürchte
>> > > ich. Aber ich weiß auch, dass viele nur
>> > > darauf
>> > > warten, einen der
>> > >
>> > > größeren
>> > >
>> > > Vorteile von IPv6 - direkte Ende-zu-Ende
>> > > Verbindungen ohne Filter
>> > >
>> > > und
>> > >
>> > > ähnlichen Quatsch - ausspielen zu können.
>> > > Wie
>> > > gehen wir damit um? Mir wäre es zumindest
>> > > wichtig, dass die Router-Betreiber mit
>> > >
>> > > einigem
>> > >
>> > > Vorlauf vorgewarnt werden, damit sie ggf.
>> > > ihr
>> > > Nutzungszenario
>> > >
>> > > überdenken
>> > >
>> > > können. Vielleicht misten sie dann auch
>> > > mal
>> > > das ein oder ander
>> > >
>> > > bekannt
>> > >
>> > > unsichere Gerät aus. Soweit ich weiß gibt
>> > > es
>> > > auch einige Dienste,
>> > >
>> > > die
>> > >
>> > > absichtlich nur im Freifunk-Netz
>> > > erreichbar
>> > > sind. Aus meiner persönlichen Sicht wäre
>> > > es
>> > > vermutlich am besten, wenn
>> > >
>> > > man
>> > >
>> > > das
>> > >
>> > > am Router (anscheinend wird dieses Drum
>> > > mittlerweile eher Node
>> > >
>> > > genannt)
>> > >
>> > > einstellen könnte. Ich befürchte aber,
>> > > dass
>> > > das Filtern dort etwas schwierig wird, da
>> > > er
>> > > ja erstmal nur ein Switch ist. Könnte aber
>> > > trotzdem machbar sein. Ansonsten gäbe es
>> > > noch
>> > > die Möglichkeit, die
>> > >
>> > > Hoods
>> > >
>> > > zu doppeln - jeweils eine Variante mit und
>> > > ohne Filter. Dann könnte
>> > >
>> > > man
>> > >
>> > > entweder am Router einstellen, zu welcher
>> > > Variante man sich
>> > >
>> > > verbinden
>> > >
>> > > möchte (technische Umsetzung lasse ich
>> > > jetzt
>> > > absichtlich außen
>> > >
>> > > vor),
>> > >
>> > > oder die Router sind technisch in 2 Netze
>> > > und
>> > > strahlen z.B. auch 2
>> > >
>> > > SSIDs
>> > >
>> > > wie z.B. "wuerzburg.freifunk-franken.de
>> > > <http://wuerzburg.freifunk-franken.de>"
>> > > und
>> > > "server.wuerzbuerg.freifunk-franken" aus.
>> > > Dann
>> > > könnte jeder Client selbst entscheiden, ob
>> > > er
>> > > eingehende Verbindungen haben möchte oder
>> > >
>> > > nicht.
>> > >
>> > > Meinungen? Viele Grüße, Michael Fritscher
>> > >
>> > >
>>
>>
>>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190501/be0423e3/attachment-0001.html>
Mehr Informationen über die Mailingliste franken