IPv6 und Clients von außen erreichbar: Meinungsbild?

[freifunk at beibecks.de]

Hallo zusammen,

das Thema lag nun etwas, ich möchte es aber noch einmal aufgreifen, da hier offensichtlich Klärungsbedarf besteht.

Die wichtigsten Punkte waren:

1) Sollen Benutzer des Freifunknetzes mit den Public IPv6 Adressen aus dem Internet erreichbar sein
-> Ich meine die Mehrheit sprach sich für ja aus

2) Welche Geräte sind Teil des FFF Netzes, welche nicht mehr
-> Netze, die als Client angeschlossen sind und keine Freifunk SSID ausstrahlen, sind kein Teil mehr
-> Sind v2-Knoten / AccessPoints noch Teil des Netzes?

3) Dürfen als Client angeschlossene Netze den Namen Freifunk tragen, wenn diese vom PPA abweichen, Filter implementieren, Verschlüsselt sind, etc.
-> Siehe Punkt 4
-> Siehe Punkt 5
-> Was ist die Bedingung, sich Freifunk nennen zu dürfen?

-> Tendenz war wohl eher "Nein", wenn die unscharfen Bedingungen nicht gegeben sind
4) Auf welche Bereiche trifft das PPA zu
-> Diskussion "allgemeiner Transit" vs. "Peering"
-> Gilt das PPA nur zwischen peerenden Gateways oder darüber hinaus auch für die Versorgung der angeschlossenen Clients?

-> Gibt es einen Unterschied bei Meshing?

5) Freifunk Memorandum of Understanding <https://github.com/freifunk/MoU/blob/master/FreifunkMemorandumofUnderstanding.md>-> Ich hab mir das eben auch erst angeschaut und muss mich noch tiefer damit beschäftigen, bevor ich eine Meinung abgebe, schicke die Mail aber dennoch schon mal raus.
Hier liegen viele wichtige Infos, die sich lohnen genau gelesen zu werden.
-> Aber ein Zitat hab ich schon mal daraus:
"Unsere Knoten bilden untereinander ein Maschennetzwerk. Mit Freifunk-Netz meinen wir dieses vermaschte Netz, das zwischen den Routern entsteht. Es endet dort, wo das Internet beginnt, also dort, wo ein Router den Datenverkehr ins Internet leitet. Und es endet dort, wo das private Heimnetz beginnt."
-> IMHO sind die v2-Knoten / APs somit ein teil des Freifunk Franken Netzes. offen bleibt immer noch, ob das PPA für die angeschlossenen Clients gilt.

-> Was sind eure Meinungen zum diesem FFMoU? Sollte FFF dies unterschreiben?

Meine Idee wäre, wenn wir keine Einigkeit hier bei uns finden, schieben wir das eine Etage höher und diskutieren es auf Bundesebene, bzw. fragen explizit den Förderverein in Berlin, bzw. die PPA Mailingliste zu ihrer Meinung.
-> Was wäre das beste Medium für so eine bundesweite Diskussion? Die WLANtalk ML? Das Freifunk Forum?

Grüße,
Sebastian
Am 1. Mai 2019 um 23:17:35 +02:00, hat Tim Niemeyer <tim at tn-x.org> geschrieben:

> Moin Sebastian
> 
> Am Mittwoch, den 01.05.2019, 21:43 +0200 schrieb SebaBe:
> 
> > Guten Abend,
> > 
> > Hmm, ich bin damit nicht so recht glücklich.
> > 
> Natürlich, kann ich verstehen. Ehrlich gesagt ist das auch ein schweres
> Thema. Und trotzdem ist es immer wieder wichtig sich das immer wieder
> klar zu machen und auch mit Menschen darüber zu sprechen.
> 
> 
> > 
> > Transit beschreibt dass Daten von A nach B durchgeleitet werden.
> > Du meinst sicher das richtige:
> Transit beschreibt, dass Routen-Informationen (und natürlich auch
> Daten) für A von B nach C durchgeleitet werden.
> 
> > Peering ist etwas anderes.
> > 
> Ja, es ist der Austausch von Routen-Informationen (und natürlich auch
> Daten) von A und B.
> 
> 
> > Im Fall eines dezentralen GWs, peert der Betreiber mit jemand anderem
> > um sein dezentrales mit unserem Freifunk Netz zu verbinden.
> > Japp, er bekommt von seinem Peering-Partner Transit (vermutlich auf
> Grund des PPA), weil er sonst das Freifunk Netz nicht erreichen würde.
> Sofern er andere Peerings hat, verpflichtet er sich nun auch selber
> Transit zu gewähren.
> 
> > -> dadurch gilt für dieses dezentrale das PPA.
> > 
> Nein! Das PPA gilt nicht für das dezentrale Gateway sondern es gilt für
> genau das Peering.
> 
> Vielleicht liegt genau an dieser Stelle auch die Verwirrung:
> 
> Das PPA ist kein Router oder Gateway Agreement!
> 
> Das PPA ist ein Agreement, was für das Peering gilt. Es wird immer
> zwischen zwei Parteien vereinbart.
> 
> 
> > Dort ist wieder beschrieben, dass der freie, unveränderte Transit
> > gewährt werden muss, eine Einschränkung gibt es dafür nicht.
> > Genau das ist das schöne am PPA. So bald ich ein Peering auf der
> Grundlage des PPA's eingehe, bekomme (und gebe) ich Transit.
> 
> > Also sollte der Traffic der Clients dadurch mit abgedeckt werden.
> > 
> Nein, weil die Clients kein Agreement mit dem Gateway-Betreiber
> abgeschlossen haben. Es gibt ja an der Stelle auch gar kein Peering,
> weil keine Routen-Informationen ausgetauscht werden, es ist ein reiner
> Zugang.
> 
> 
> > Dass das dezentrale kein Teil des Freifunk Netzes ist, finde ich auch
> > nicht logisch.
> > Wenn das so verstanden wurde, dann habe ich mich da wohl nicht richtig
> ausgedrückt. Die Accesspoints sind nur an das Freifunk Netz
> angeschlossen. Sie gehören natürlich also auch irgendwie dazu, aber da
> nicht die Möglichkeit besteht dort Routen-Informationen auszutauschen
> (also kein Peering möglich ist), sehe ich die Accesspoints nicht
> wirklich als das Freifunk Netz. Die Accesspoints sind sehr wichtig für
> das Freifunk Netz! Sie bilden die Benutzerschnittstelle zum einem Netz,
> was am Freifunk Netz angeschlossen ist.
> 
> Es gab schon lange ein unausgesprochenes Gesetz, was inzwischen
> offenbar sogar ins FMoU gewandert ist: Wer sich mittels Peering mit dem
> Freifunk Netz verbindet, muss seine anderen Peerings auch auf Grundlage
> des PPA machen. "Das Pico Peering Agreement ist die Grundlage unserer
> Netzwerke."[1].
> 
> Ein dezentrales Gateway ist häufig ein Router mit einem Accesspoint in
> Kombination. Für den Peering Teil gilt dann das PPA, für den
> Accesspoint Teil nicht. Die Accesspoints sind wie ein privates Netz zu
> behandeln, was an das Freifunk Netz angeschlossen wurde. Das "Mesh"
> (sofern eins da ist), ist nur die Vergrößerung des Accesspoint-Bereichs
> und stellt kein Peering dar, weil keine Routen ausgetauscht werden.
> 
> Das FMoU[1] gibt es noch nicht so lange und ich glaube wir haben uns
> als Gruppe da bis heute nicht zu bekannt. Einige Punkte sind sehr gut!
> 
> Was leider weiterhin etwas unklar bleibt ist:
> 
> * Was ist das Mesh Netz? Ist es die Magie, die die Accesspoints
> vergrößert? Oder ist es eigentlich doch (wie das Internet auch) eher
> das L3-Netz?
> 
> Für mich ist das ganz klar, dass es sich nur um das L3 Netz handeln
> kann, weil das batman-adv-Mesh eben keine richtigen Routen austauscht
> und daher kein vollwertigen Zugang darstellt. Es ist nur ein Werkzeug
> um den Funkbereich eines Accesspoints zu vergrößern.
> Vielleicht wäre das früher, als wir nur ein großes L2 Netz hatten, mal
> so zu argumentieren gewesen, aber da haben wir uns mMn schon lange raus
> entwickelt. Das Netz hat sich deutlich zum guten gewandelt, so dass
> auch hier die Definition besser passt und es auch vergleichbar mit dem
> Stand der Technik ist.
> 
> * Sind die Accesspoints wie private Netze zu behandeln?
> 
> Das ist mir unklar: sie bilden kein Netz nach dem PPA, es gibt dort
> keine Routing-Informationen, und trotzdem sind es die offenen
> Accesspoints, die das Netz für die aller meisten Menschen erst nutzbar
> macht. Insofern ist es gut und wichtig die Regeln des FMoU (abgesehen
> des PPA natürlich) auch auf die Accesspoints zu beziehen, jedoch fehlt
> mir da die Abgrenzung zu den privaten Heimnetzen, welche ja natürlich
> auch gern an das FF Netz angeschlossen werden dürfen. Das wäre ja quasi
> eine Zensur oder ein Filter, wenn das private WLAN ein Passwort hätte.
> Auf der anderen Seite wäre es möglich alle Freifunk Accesspoints jetzt
> als privates Netz zu deklarieren, jedoch verlieren wir dann massiv die
> Kontrolle uns über Zugangspasswörter, Filter, ESSIDs etc zu beschweren.
> Es ist also sehr kompliziert. :(
> 
> 
> 
> > Die Daten fließen direkt in unserem Netz, werden durchgeleitet, die
> > Clients bekommen IPs aus unseren Bereichen,...
> > Es sind nicht "unsere" Bereiche! Das sind nicht mal öffentliche IP
> Adressen.. Du kannst dir von einem LIR IP Adressen zuteilen lassen,
> diese kannst du dann direkt in unserem Netz bekannt machen und mein
> Ziel ist es, dass diese dann auch über das Internet erreichbar sind.
> 
> > Wie sollte es somit kein Teil des Freifunk Netzes sein?
> > 
> Jetzt habe ich leider den Faden verloren.. :(
> 
> Wenn man Freifunk aus dem PPA definiert, dann sind Accesspoints kein
> Teil vom Freifunk Netz (weil kein Peering möglich). Wenn man nach FMoU
> definiert, dann gehören die Accesspoints teilweise dazu, nämlich wenn
> diese nicht privat (???) sind. Unklar bleibt also, welcher dieser
> Accesspoints als private Netze gelten und damit keine Regeln wie
> Datenschutz, keine Zensur usw einhalten müssen,.. Mir ist das noch
> nicht klar.
> 
> 
> > Wenn man hinter das dezentrale ein weiteres Netz hängt, gebe ich Tim
> > Recht, allerdings sollte das Netz dann eben auch nicht Freifunk
> > heißen.
> > Verstehe was du meinst. Ich bin da ganz bei dir. Ich möchte auch nicht,
> dass jemand ein verschlüsseltes/verkratzes Netz an Freifunk anbindet
> und es dann auch noch Freifunk nennt. Aber ich glaube mehr und mehr,
> dass alle Accesspoints hinter einem Freifunk Router (z.B. dezentrales
> Gateway) eigentlich private Netze sind. Ich würde den Menschen am
> liebsten vorschreiben, wie Sie ihre privaten Netze öffentlich
> zugänglich zu machen haben wenn sie eine Freifunk Anbindung haben, aber
> kann ich ja nicht. Genausowenig wie ich jemanden vorschreiben kann, wo
> eine zentrale Hood entsteht, welche IP Ranges dort verwendet werden und
> wie die ESSID ist.
> 
> Da sind wir nämlich am wichtige Punkt: Die zentralen Hoods sind
> eigentlich solche privaten(?) Netze, die an das Freifunk angeschlossen
> sind.
> 
> 
> > Ansonsten ist auch ein Access Point der im Freifunk Netz hängt Teil
> > dessen, so wie alle v2 Knoten eben.
> > 
> Meinst du jetzt "Teil des privaten Netzes"? Dann vermutlich ja, aber
> wie gesagt, ich bin mir noch uneinig.
> 
> 
> > 
> > Zum Thema NAT bei v4, ja das ist streng genommen eine Verletzung des
> > PPAs,
> > Nein ist es nicht. Weil ja mit dem Uplink Provider kein PPA eingegangen
> wurde. Allerdings kommt hier jedoch unser ungeschriebenes Gesetz zum
> Spiel, wobei das FMoU hier ja explizit die Ausnahme vorsieht. Das ist
> auch gut so, weil sonst wäre der Uplink-Provider ja auch an das PPA
> gebunden und das würde sich dann schnell durch das ganze Internet
> infizieren.. Jippi.. :) Insofern kann man wohl davon ausgehen, dass das
> allgemein als geklärt gilt:
> Die Verbindung Freifunk/Internet fällt nicht unter das PPA!
> 
> 
> > allerdings eine technische Notwendigkeit, die man einfach nicht zu
> > umgehen ist, genau wie TCP MSS Clamping.
> > Dazu gibt's übrigens einen netten Thread im Freifunk Forum, dort wird
> > diese Meinung auch allgemein Vertreten.
> > 
> Tim
> 
> 1: <https://github.com/freifunk/MoU/blob/master/FreifunkMemorandumofUnderstanding.md>
> 
> 
> > Grüße Sebastian
> > 
> > 
> > Am 1. Mai 2019 00:17:43 MESZ schrieb Tim Niemeyer <<tim at tn-x.org>>:
> > 
> > > Moin
> > > 
> > > Am Dienstag, den 30.04.2019, 18:06 +0200 schrieb florian at fam-
> > > pankerl.de:
> > > 
> > > > Hi!
> > > > 
> > > > Auf wenn es "Peering" im Namen trägt, so bezieht sich das PPA
> > > > explizit
> > > > auf "Transit": <http://picopeer.net/PPA-de.shtml.>
> > > > 
> > > > Übrigens - du überlegst jetzt hier nur zwischen deinem AP und
> > > > den
> > > > Clients... aber wie sieht es im Bereich Mash aus? Dann hättest du
> > > > auch
> > > > Beim "Mesh" muss man unterscheiden. Handelt es sich um ein Mesh-
> > > Netz,
> > > was aus Peerings besteht darf laut PPA nicht gefiltert werden.
> > > 
> > > Handelt es sich um ein System, was primär gedacht ist um ein
> > > lokales
> > > Layer-2 Netz zu "vergrößern", dann stellt das so entstandene Netz
> > > am
> > > Ende eine Einheit dar. Anders ausgedrückt bilden alle "Mesh-Knoten"
> > > zusammen einen großen (virtuellen) Accesspoint. Wer innerhalb eines
> > > Accesspoints div. filter installieren möchte kann das tun, weil in
> > > dem
> > > Accesspoint drinnen ist ja kein Peering. Diese Einheit ist _kein_
> > > Freifunk Netz sondern sie ist nur ein Accesspoint welcher am
> > > Freifunk
> > > Netz angeschlossen wurde.
> > > 
> > > Grüße
> > > Tim
> > > 
> > > 
> > > > 
> > > > 
> > > > Transit, der eindeutig keine AP-Client-Beziehung ist und
> > > > müsstest
> > > > Datenverkehr ungefiltert passieren lassen (auch wenn es Facebook
> > > > ist
> > > > ^^).
> > > > 
> > > > Viele Grüße,
> > > > Florian
> > > > 
> > > > 
> > > > 
> > > > Zitat von Robert Langhammer <<rlanghammer at web.de>>:
> > > > 
> > > > 
> > > > > Das ist doch ein Peering Agreement. Mit einem Client gehe ich
> > > > > doch
> > > > > kein
> > > > > Peering ein. Er ist in dem Moment mein Klient (
> > > > > <https://www.duden.de/rechtschreibung/Klient> ) Nennt sich ja
> > > > > auch
> > > > > so.
> > > > > 
> > > > > Am 30.04.2019 um 17:32 schrieb McUles:
> > > > > 
> > > > > > Naja, du bietest dem Client aber Transit streng genommen,
> > > > > > also
> > > > > > würde
> > > > > > ich da eigentlich schon auch das PPA anwenden.
> > > > > > 
> > > > > > Gruß,
> > > > > > McUles
> > > > > > Am 30. Apr. 2019, um 17:28, robert <<rlanghammer at web.de>
> > > > > > <mailto:<rlanghammer at web.de>>> schrieb:
> > > > > > 
> > > > > > Hi, s. inline.
> > > > > > 
> > > > > > Am 30.04.19 um 14:28 schrieb SebaBe:
> > > > > > 
> > > > > > Hallo Robert, Meine Auffassung des PPAs ist, dass der
> > > > > > dort
> > > > > > beschriebene freie Transit in alle Richtungen gilt.
> > > > > > 
> > > > > > Ja, das sehe ich auch so. Ein Client bietet mir
> > > > > > allerdings
> > > > > > keinen Transit.
> > > > > > 
> > > > > > Wenn also ein Client sich mit deinem dezentralen
> > > > > > Freifunk
> > > > > > Gateway verbindet, sollte er erwarten können, dass
> > > > > > dort
> > > > > > das
> > > > > > PPA erfüllt ist.
> > > > > > 
> > > > > > 
> > > > > > Da das Gateway Peerings eingegangen ist, sollte es auch
> > > > > > das
> > > > > > PPA
> > > > > > erfüllen. Das sehe ich allerdings unabhängig vom LAN/WLAN.
> > > > > > Gilt also nur
> > > > > > zwischen den Peeringpartnern. Ich erlaube den
> > > > > > Peeringpartnern
> > > > > > uneingeschränkten Transit nach PPA.
> > > > > > 
> > > > > > Ich denke, da muss man schon zwischen Clients und Peerings
> > > > > > unterscheiden.
> > > > > > 
> > > > > > Der Client kann nicht erwarten, dass in einem fremden
> > > > > > LAN/WLAN
> > > > > > uneingeschränkter Datenverkehr möglich ist. Er kann es
> > > > > > sich
> > > > > > wünschen.
> > > > > > Wenn ich ein freies WLAN auf mache, bin ich dafür
> > > > > > verantwortlich. Und
> > > > > > wenn da ursächlich aus meinem Wlan böse Sachen passieren,
> > > > > > ist
> > > > > > meine
> > > > > > Wohnungstür als erstes kaputt. Auch wenn es eine Freifunk
> > > > > > SSID
> > > > > > ist.
> > > > > > 
> > > > > > 
> > > > > > Wenn dein dezentrales das PPA nicht erfüllt, wäre es
> > > > > > IMHO
> > > > > > ein
> > > > > > nicht Freifunk Netz, das Traffic durch das Freifunk
> > > > > > Netz
> > > > > > leitet. Das ist ja auch OK so, aber das dezentrale
> > > > > > wäre
> > > > > > somit
> > > > > > kein Freifunk mehr. Bitte korrigiert mich, aber das
> > > > > > sollten
> > > > > > wir wohl noch mal für alle klären ;)
> > > > > > 
> > > > > > 
> > > > > > Ich wäre da auch an weiteren Meinungen interessiert.
> > > > > > Vielleicht lieg ich
> > > > > > da ja falsch.
> > > > > > 
> > > > > > Ach ja, am Rande bemerkt: Ich würde kein Netz
> > > > > > einschränken.
> > > > > > Das sind nur
> > > > > > grundlegende Betrachtungen.
> > > > > > 
> > > > > > Robert
> > > > > > 
> > > > > > Grüße Sebastian Am 30. April 2019 09:03:30 MESZ
> > > > > > schrieb
> > > > > > robert
> > > > > > <<rlanghammer at web.de>>:
> > > > > > 
> > > > > > Hallo Sebastian, Clients sind keine
> > > > > > Peeringpartner. Es
> > > > > > gilt kein Agreement. Wie auch, die sind ja anonym.
> > > > > > Wenn
> > > > > > ich eine freies Wlan auf mache, ist das ein
> > > > > > Angebot,
> > > > > > das
> > > > > > Clients nutzen können. Dieses Angebot kann ich
> > > > > > gestalten,
> > > > > > wie ich möchte. Dabei ist es egal, ob ich den
> > > > > > Traffic
> > > > > > übers Freifunknetz oder anders ausleite. Auch wenn
> > > > > > ich
> > > > > > eine irgendwie freifunk SSID ausstrahle, ist der
> > > > > > Router
> > > > > > kein institutionelles Gerät, das Regularien
> > > > > > unterliegt.
> > > > > > Der Router ist in meiner alleinigen Verantwortung.
> > > > > > Und
> > > > > > wenn ich da z.B Facebook blocke, dann ist es eben
> > > > > > ein
> > > > > > Wifi
> > > > > > Angebot ohne Facebook. Also, wenn jemand unbedingt
> > > > > > in
> > > > > > seinem LAN eingehenden Traffic sperren will, dann
> > > > > > kann
> > > > > > er
> > > > > > das tun. Aber nur dort. Grüße Robert Am 30.04.19
> > > > > > um
> > > > > > 01:12
> > > > > > schrieb SebaBe:
> > > > > > 
> > > > > > Hallo Robert, vielleicht habe ich das jetzt
> > > > > > falsch
> > > > > > verstanden, aber das PPA greift
> > > > > > 
> > > > > > schon auch auf deinem dezentralen.
> > > > > > 
> > > > > > Es geht ja nicht nur um die Meshverbindungen
> > > > > > sondern
> > > > > > auch um deine
> > > > > > 
> > > > > > Clients.
> > > > > > 
> > > > > > Und auch denen sichert du an deinem
> > > > > > dezentralen
> > > > > > das
> > > > > > PPA zu, also
> > > > > > 
> > > > > > sollte auch dort nichts manipuliert werden.
> > > > > > 
> > > > > > Generell denke ich, ist inzwischen doch
> > > > > > bekannt,
> > > > > > dass
> > > > > > öffentliche
> > > > > > 
> > > > > > WLAN Netze tendenziell unsicherer sind als
> > > > > > geschlossene.
> > > > > > 
> > > > > > Das ging zwar teilweise zu weit, dass
> > > > > > Panikmache
> > > > > > vor
> > > > > > Honeypots etc
> > > > > > 
> > > > > > betrieben wurde, aber inzwischen wird doch recht
> > > > > > gut
> > > > > > aufgeklärt, wie man sich sicher in solchen Netzen
> > > > > > bewegen
> > > > > > kann (VPN, Clients Firewall, etc.)
> > > > > > 
> > > > > > Wir sollten hier wohl nicht das Rad neu
> > > > > > erfinden
> > > > > > sondern uns auf
> > > > > > 
> > > > > > unsere Kernkompetenz als Infrastrukturbetreiber
> > > > > > beschränken.
> > > > > > 
> > > > > > Es gibt genügend Initiativen die die User
> > > > > > informieren
> > > > > > und ihnen
> > > > > > 
> > > > > > helfen.
> > > > > > 
> > > > > > Wer sich nicht informieren will, sry... Ich
> > > > > > erleb
> > > > > > es
> > > > > > auch viel zu oft, dass Menschen die Technik
> > > > > > benutzen
> > > > > > 
> > > > > > ohne sich nur ein bisschen damit auseinander zu
> > > > > > setzen,
> > > > > > wie will man solchen Leuten denn helfen?!
> > > > > > 
> > > > > > Wer Informationen sucht, sollte sie finden
> > > > > > können,
> > > > > > der
> > > > > > Rest fliegt
> > > > > > 
> > > > > > leider zu recht auf die Nase...
> > > > > > 
> > > > > > ...wenn etwas passieren sollte. Grüße
> > > > > > Sebastian Am
> > > > > > 29.
> > > > > > April 2019 08:28:29 MESZ schrieb robert
> > > > > > <<rlanghammer at web.de>>:
> > > > > > 
> > > > > > Hallo, ich bin mit meinem Gateway Peerings
> > > > > > mit
> > > > > > einigen Peeringpartnern eingegangen. Diese
> > > > > > verlassen sich darauf, dass ich mich an
> > > > > > das
> > > > > > PPA
> > > > > > halte. Nur so kann ein freies und
> > > > > > funktionierendes
> > > > > > Netz entstehen. Ein Filter ist immer eine
> > > > > > Beeinträchtigung des Transits. Anders
> > > > > > sieht es
> > > > > > bei
> > > > > > einem dezentralen Gateway aus, bei dem es
> > > > > > nicht
> > > > > > möglich ist, dass sich Dritte z.B. via
> > > > > > Mesh,
> > > > > > mit
> > > > > > dem Netz verbinden. Das PPA endet meines
> > > > > > Erachtens
> > > > > > an der Broadcastdomain, falls diese
> > > > > > geschlossen
> > > > > > ist. Bei einem offenem Meshnetzwerk muss
> > > > > > das
> > > > > > PPA
> > > > > > gelten. Viele Grüße Robert Am 28.04.19 um
> > > > > > 18:12
> > > > > > schrieb Michael Fritscher:
> > > > > > 
> > > > > > Hallo ihr, durch die fortschreitende
> > > > > > Einführung von IPv6 im Freifunk Netz
> > > > > > ist
> > > > > > 
> > > > > > es
> > > > > > 
> > > > > > ja
> > > > > > 
> > > > > > zumindest technisch möglich, den
> > > > > > Clients
> > > > > > öffentlich erreichbare
> > > > > > 
> > > > > > IPv6
> > > > > > 
> > > > > > zu
> > > > > > 
> > > > > > vergeben. Dies wird auch getan. Aus
> > > > > > rechtlichen Gründen sperren
> > > > > > 
> > > > > > aber
> > > > > > 
> > > > > > u.a. die Border-Router von f3n
> > > > > > eingehenden
> > > > > > Traffic (siehe <https://sub.f3netze.de/>
> > > > > > ).
> > > > > > Die
> > > > > > rechtlichen Probleme werden
> > > > > > 
> > > > > > anscheinend
> > > > > > 
> > > > > > derzeit geklärt. Ich sehe aber noch
> > > > > > ein
> > > > > > anderes Problem, wenn eingehende
> > > > > > 
> > > > > > Verbindungen
> > > > > > 
> > > > > > möglich werden: Bislang waren die
> > > > > > Clients
> > > > > > nur
> > > > > > im Freifunk-Netz
> > > > > > 
> > > > > > direkt
> > > > > > 
> > > > > > zugänglich. Das ist doch noch ein
> > > > > > etwas
> > > > > > geschützterer Raum als das "normale"
> > > > > > Internet.
> > > > > > Typische Router wie die Fritzbox
> > > > > > sperren
> > > > > > auch
> > > > > > 
> > > > > > bei
> > > > > > 
> > > > > > IPv6 eingehenden Traffic, um die
> > > > > > Clients
> > > > > > zu
> > > > > > schützen. Ein typischer Freifunk-User
> > > > > > wird
> > > > > > nicht vermuten, dass er, wenn er sich
> > > > > > ins
> > > > > > Freifunknetz einbucht, plötzlich
> > > > > > direkt
> > > > > > von
> > > > > > außen erreichbar ist -
> > > > > > 
> > > > > > mit
> > > > > > 
> > > > > > allen Konsequenzen, gerade auch
> > > > > > sicherheitstechnischen. Ich möchte an
> > > > > > dieser
> > > > > > Stelle davor warnen, übereilt diese
> > > > > > Filter
> > > > > > zu
> > > > > > deaktivieren, bevor wir uns vorher
> > > > > > Gedanken
> > > > > > über die Konsequenzen gemacht haben.
> > > > > > Ich
> > > > > > habe
> > > > > > jedenfalls keine allzugroße Lust auf
> > > > > > ein
> > > > > > PR-Disaster ala "Freifunk ist
> > > > > > unsicher,
> > > > > > die
> > > > > > Clients waren
> > > > > > 
> > > > > > ungeschützt
> > > > > > 
> > > > > > im
> > > > > > 
> > > > > > Netz und wurden dadurch gehackt!!!""
> > > > > > mitsamt
> > > > > > dem Ärger zu haben.
> > > > > > 
> > > > > > Ich
> > > > > > 
> > > > > > glaube z.B. nicht, dass uns sowas in
> > > > > > der
> > > > > > öffentlichen Wahrnehmung
> > > > > > 
> > > > > > und
> > > > > > 
> > > > > > z.B. das Gewähren von Standorten für
> > > > > > Antennen
> > > > > > etc. helfen wird...
> > > > > > 
> > > > > > Ja,
> > > > > > 
> > > > > > technisch wären nicht wir, sondern die
> > > > > > Clients
> > > > > > schuld, aber das
> > > > > > 
> > > > > > wird
> > > > > > 
> > > > > > in
> > > > > > 
> > > > > > diesem Moment keine Sau interessieren
> > > > > > fürchte
> > > > > > ich. Aber ich weiß auch, dass viele
> > > > > > nur
> > > > > > darauf
> > > > > > warten, einen der
> > > > > > 
> > > > > > größeren
> > > > > > 
> > > > > > Vorteile von IPv6 - direkte Ende-zu-
> > > > > > Ende
> > > > > > Verbindungen ohne Filter
> > > > > > 
> > > > > > und
> > > > > > 
> > > > > > ähnlichen Quatsch - ausspielen zu
> > > > > > können.
> > > > > > Wie
> > > > > > gehen wir damit um? Mir wäre es
> > > > > > zumindest
> > > > > > wichtig, dass die Router-Betreiber mit
> > > > > > 
> > > > > > einigem
> > > > > > 
> > > > > > Vorlauf vorgewarnt werden, damit sie
> > > > > > ggf.
> > > > > > ihr
> > > > > > Nutzungszenario
> > > > > > 
> > > > > > überdenken
> > > > > > 
> > > > > > können. Vielleicht misten sie dann
> > > > > > auch
> > > > > > mal
> > > > > > das ein oder ander
> > > > > > 
> > > > > > bekannt
> > > > > > 
> > > > > > unsichere Gerät aus. Soweit ich weiß
> > > > > > gibt
> > > > > > es
> > > > > > auch einige Dienste,
> > > > > > 
> > > > > > die
> > > > > > 
> > > > > > absichtlich nur im Freifunk-Netz
> > > > > > erreichbar
> > > > > > sind. Aus meiner persönlichen Sicht
> > > > > > wäre
> > > > > > es
> > > > > > vermutlich am besten, wenn
> > > > > > 
> > > > > > man
> > > > > > 
> > > > > > das
> > > > > > 
> > > > > > am Router (anscheinend wird dieses
> > > > > > Drum
> > > > > > mittlerweile eher Node
> > > > > > 
> > > > > > genannt)
> > > > > > 
> > > > > > einstellen könnte. Ich befürchte aber,
> > > > > > dass
> > > > > > das Filtern dort etwas schwierig wird,
> > > > > > da
> > > > > > er
> > > > > > ja erstmal nur ein Switch ist. Könnte
> > > > > > aber
> > > > > > trotzdem machbar sein. Ansonsten gäbe
> > > > > > es
> > > > > > noch
> > > > > > die Möglichkeit, die
> > > > > > 
> > > > > > Hoods
> > > > > > 
> > > > > > zu doppeln - jeweils eine Variante mit
> > > > > > und
> > > > > > ohne Filter. Dann könnte
> > > > > > 
> > > > > > man
> > > > > > 
> > > > > > entweder am Router einstellen, zu
> > > > > > welcher
> > > > > > Variante man sich
> > > > > > 
> > > > > > verbinden
> > > > > > 
> > > > > > möchte (technische Umsetzung lasse ich
> > > > > > jetzt
> > > > > > absichtlich außen
> > > > > > 
> > > > > > vor),
> > > > > > 
> > > > > > oder die Router sind technisch in 2
> > > > > > Netze
> > > > > > und
> > > > > > strahlen z.B. auch 2
> > > > > > 
> > > > > > SSIDs
> > > > > > 
> > > > > > wie z.B. "wuerzburg.freifunk-
> > > > > > franken.de
> > > > > > <<http://wuerzburg.freifunk-franken.de>>
> > > > > > "
> > > > > > und
> > > > > > "server.wuerzbuerg.freifunk-franken"
> > > > > > aus.
> > > > > > Dann
> > > > > > könnte jeder Client selbst
> > > > > > entscheiden, ob
> > > > > > er
> > > > > > eingehende Verbindungen haben möchte
> > > > > > oder
> > > > > > 
> > > > > > nicht.
> > > > > > 
> > > > > > Meinungen? Viele Grüße, Michael
> > > > > > Fritscher
> > > > > > 
> > > > > > 
> > > > 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190508/9ed1fe54/attachment-0001.html>