[Berlin-wireless] public IPs fuer Berlin
Sven-Ola Tuecke
mail2news
Fr Jun 1 11:45:05 CEST 2007
Hi Aaron,
das Wort "Peering" hoer' ich natuerlich gern :) Ich versuch mich mal an
einer Zusammenfassung dessen, was ich bisher mitbekommen habe.
Alex will kein NAT. Kann ich verstehen. Gar kein NAT heisst: die offzizelle
IP muss jedenfalls auf dem Notebook/Rechner konfiguriert sein. Der Rechner,
an dem die Teilnehmerin sitzt. Der Zwischenweg ist eigentlich egal - das
koennte man auch mit IPv6-Maserlinks machen.
Wir haben nur 2048 IPs. Wir _muessen_ also sparsam sein. Anfangen mit zwei
IPs fuer jeden Standort/Nodebetreiber. Dann kann man a) den Node mit
offizieller IP von draussen erreichen und b) wahlweise einen Laptop mit so
einer IP da dranhaengen und ohne Portforwarding / SNAT kommunizieren.
Damit die Nodes/Laptops tatsaechlich von aussen erreichbar sind, brauchen
wir fuer die DSL-Uplinks eine Tunnelloesung. Alles einfach ueber einen
fetten Uplink via IN-Berlin in der Mitte machen verbietet sich schon aus
topologischen Gruenden. Tunnel gibts mit oder ohne Verschluesselung. IPIP,
cipe, Tinc, OpenVpn, IPSec-mit-Nat-Traveral (aufsteigende Programmgroesze /
Komplexitaet, Reihenfolge ist Subjektiv).
Offene Fragen:
---------------
Jeder Tunnel braucht einen Endpunkt - es ist aber noch nicht klar wer/wo das
sein soll. Das ist ausserdem ein SPOF (Single Point of Failure) - sowat
wollten wir eigentlich nicht. Kennt jemand ein selbstkonfigurierendes
Tunnel-Overlay-Programm mit dynamischer Endpunkt-Suche? Sowas wie ein
Gnutella der Tunnelei?
Wie identifzieren wir unbenutzte IPs? Wulf sagt: Es gibt bereits einen
"Klick alle paar Monate hier oder die IP ist weg" auf olsrexperiment.de.
Aaaron sagt: Sie tun unbenutzte IPs erst nach einer "Karenzzeit" wieder in
den Pool.
Gibt es eine Reverse-DNS-Moeglichkeit? Und wie ist es mit Vorwaerts-DNS?
Ginge das auch?
Wollen wir tatsaechlich Nodes mit der offiziellen IP strahlen lassen? Oder
vllt reicht eine einfache HNA-Ankuendigung aus? Jedenfalls brauchen wir
nicht unbedingt fuer alle Zwischenstationen solche IPs, aber eine pro
Kirche/BBB/Relay waer' aber fein um es besser von auszen administrieren zu
koennen.
Sicherheit: Haben wir alles schon im Sack? Wegen der taeglichen
SSH-Woerterbuchattacke auf meine Server wuerde ich jedenfalls sagen: Nee -
noch nicht. Da fehlt noch was (z.B. Begrenzung der Verbindungen / Min auf
alle Services/Ports eines Nodes, Sperrung der Web-UI fuer Kontakte von
aussen etc).
// Sven-Ola
"Aaron Kaplan" <aaron at lo-res.org> schrieb im Newsbeitrag
news:69AA9BE3-39CD-4309-8838-C3C2E6EC3D35 at lo-res.org...
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
peering peering peering !
> Ich bin hochinteressiert an anderen Möglichkeiten. Bitte ! - nur
> zu. Ich
> will lernen ;)
am besten geht das bei einem beering in Wien oder Berlin ;-)
lg,
a.
PS: achja und das kabel wien-berlin koennen wir am weg gleich
verlegen ;-)
- ---
there's no place like 127.0.0.1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)
iD8DBQFGXygexEgyMttZ8YwRArL3AJ9q19fgCFvFeVtRtG0prvmO7FGjMgCfYufK
XvJpq6jhyIqgMKtDKWfT01g=
=DIKX
-----END PGP SIGNATURE-----
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
http://lists.olsrexperiment.de/cgi-bin/mailman/listinfo/berlin
Mehr Informationen über die Mailingliste Berlin