[WLANware] Netzzensur in .de. => public IP space squatten: der erste moment, wo ich mit elektra d'accord gehe!

[Florian Teply]

Am Friday 19 June 2009 14:35:05 schrieb L. Aaron Kaplan:
[snip]
>
> 1) ihr sucht euch eine vertrauenswuerdige Gruppe intern aus, die setzt
> ein paar DNS Server auf

Wieso aussuchen? Zum Aufsetzen eines DNS-Servers brauchts nur ein ganz klein 
wenig Fachwissen, und 'n Resolving Proxy (das ist exakt das, was die 
DNS-Server bei $ISP machen) aufzusetzen ist nochmal 'n bischen einfacher. Ist 
ja nicht so wie bei Mailservern, wo man höllisch aufpassen muß, nicht ein 
Open Relay draus zu machen. Nen kompletten bind will man zwar nicht auf nen 
WRT basteln, aber alle Router, die auf nem stinknormalen Rechner basieren 
(wie bei mir zuhause) sind recht bequem in der Lage, Namensauflösung nebenbei 
mitzuerledigen. Inkl. direktem Befragen der Root-Server und Caching. Das hat 
hier ne ganze Zeit lang ein 75er Pentium erledigt. Von der benötigten 
Rechenleistung her wäre also auch ein WRT grad noch ausreichend, allerdings 
will man dann etwas mehr Speicher haben...

Aber: das Aufsetzen alleine reicht nicht, man muß die Resolver dann auch 
benutzen. Ist ja nicht besonders hilfreich, wenn aufgrund älterer 
Konfigurationen die User-Rechner trotzdem den Nameserver von T-Offline fragen 
#-)

> 2) ihr announced per HNA die public IP Addressen der DNS server der
> ISPs innerhalb des Freifunk Netzes und lasst sie auf die internen
> (recursive) DNS server zeigen. Somit umgehen die clients die
> gefilterten DNS server der ISPs.
>
Das ist bestenfalls unelegant. und zwar, weil 
a) Unter den entsprechenden IP-Adressen auch andere Dienste laufen können, die 
dann nicht mehr zugänglich sind.
b) Dem Nutzer dann garnicht die eigentliche Problematik klar ist
c) Im Fehlerfalle ("Internet geht nicht...") nicht immer klar ist, wo der 
Fehler zu suchen ist.

Insbesondere c) kenn' ich ganz gut: irgendein Kollege schreit mal wieder "Das 
Internet geht hier nicht, geht's bei Dir?" In 99% dieser Fälle ging's bei mir 
noch, lediglich der interne Nameserver hat die Hufe hochgerissen. Hat mich 
nie gestört, auf meinem Laptop läuft lokal ein Resolver ;-) Das macht auch 
unabhängig von ständig wechselnden und oft halbkaputten Netzwerkumgebungen...
Wenn aber beispielsweise auf den Uplinks nur die IP-Adressen (die durchaus 
auch gelegentlich wechseln können -> ständiger Arbeitsaufwand, die Liste 
aktuell zu halten) umgebogen werden, kann man als Endnutzer nie sagen, ob es 
nun der ursprünglich gefragte Nameserver ist, der Mist macht, oder die 
Umleitung auf nen eigenen Nameserver nicht hinhaut oder einfach der eigene 
Nameserver Mist zurückliefert. Mit einer solchen Maßnahme ist nämlich die 
Eindeutigkeit von IP-Adressen dahin. Mit den 104ern ging das vielleicht noch 
halbwegs, weil bislang der Bereich nicht anderweitig genutzt wird, aber wenn 
die Adressen tatsächlich benutzt werden, kann das die allerfeinsten Probleme 
mit sich bringen (Routing loops und schwarze Löcher z.B.), die richtig fies 
zu debuggen sind.
Mal ganz davon abgesehen, daß die Nutzer dann darauf angewiesen sind, daß "die 
Fachleute" das dann schon richtig machen, aber keine Möglichkeit haben, diese 
Annahme zu verifizieren, und auch sonst keine Wahl haben als damit zu leben. 
Das heißt, den Teufel mit dem Beelzebub austreiben...

> Frei nach dem Motto "wenn das Internet (die ISP DNS server) mir
> Bloedsinn erzaehlen, route ich rundherum und finde die richtige
> Antwort selber".
>
Das ist das Ziel, doch man erreicht das auf mehreren Wegen, von denen nicht 
alle wirklich schlau sind.
Ich finde, man muß dem Nutzer die Wahl lassen, und das schließt die meisten 
Lösungswege aus (IP-basierte Umleitung, portbasierte Umleitung, 
Content-basierte Umleitung), im wesentlichen bleibt nur noch das Angebot, 
unabhängige Resolver zu betreiben, übrig.

Gruß,
Florian