[Berlin-wireless] public IPs fuer Berlin

Sven-Ola Tuecke mail2news
Fr Jun 1 11:45:05 CEST 2007 

Hi Aaron,

das Wort "Peering" hoer' ich natuerlich gern :) Ich versuch mich mal an 
einer Zusammenfassung dessen, was ich bisher mitbekommen habe.

Alex will kein NAT. Kann ich verstehen. Gar kein NAT heisst: die offzizelle 
IP muss jedenfalls auf dem Notebook/Rechner konfiguriert sein. Der Rechner, 
an dem die Teilnehmerin sitzt. Der Zwischenweg ist eigentlich egal - das 
koennte man auch mit IPv6-Maserlinks machen.

Wir haben nur 2048 IPs. Wir _muessen_ also sparsam sein. Anfangen mit zwei 
IPs fuer jeden Standort/Nodebetreiber. Dann kann man a) den Node mit 
offizieller IP von draussen erreichen und b) wahlweise einen Laptop mit so 
einer IP da dranhaengen und ohne Portforwarding / SNAT kommunizieren.

Damit die Nodes/Laptops tatsaechlich von aussen erreichbar sind, brauchen 
wir fuer die DSL-Uplinks eine Tunnelloesung. Alles einfach ueber einen 
fetten Uplink via IN-Berlin in der Mitte machen verbietet sich schon aus 
topologischen Gruenden. Tunnel gibts mit oder ohne Verschluesselung. IPIP, 
cipe, Tinc, OpenVpn, IPSec-mit-Nat-Traveral (aufsteigende Programmgroesze / 
Komplexitaet, Reihenfolge ist Subjektiv).

Offene Fragen:
---------------

Jeder Tunnel braucht einen Endpunkt - es ist aber noch nicht klar wer/wo das 
sein soll. Das ist ausserdem ein SPOF (Single Point of Failure) - sowat 
wollten wir eigentlich nicht. Kennt jemand ein selbstkonfigurierendes 
Tunnel-Overlay-Programm mit dynamischer Endpunkt-Suche? Sowas wie ein 
Gnutella der Tunnelei?

Wie identifzieren wir unbenutzte IPs? Wulf sagt: Es gibt bereits einen 
"Klick alle paar Monate hier oder die IP ist weg" auf olsrexperiment.de. 
Aaaron sagt: Sie tun unbenutzte IPs erst nach einer "Karenzzeit" wieder in 
den Pool.

Gibt es eine Reverse-DNS-Moeglichkeit? Und wie ist es mit Vorwaerts-DNS? 
Ginge das auch?

Wollen wir tatsaechlich Nodes mit der offiziellen IP strahlen lassen? Oder 
vllt reicht eine einfache HNA-Ankuendigung aus? Jedenfalls brauchen wir 
nicht unbedingt fuer alle Zwischenstationen solche IPs, aber eine pro 
Kirche/BBB/Relay waer' aber fein um es besser von auszen administrieren zu 
koennen.

Sicherheit: Haben wir alles schon im Sack? Wegen der taeglichen 
SSH-Woerterbuchattacke auf meine Server wuerde ich jedenfalls sagen: Nee - 
noch nicht. Da fehlt noch was (z.B. Begrenzung der Verbindungen / Min auf 
alle Services/Ports eines Nodes, Sperrung der Web-UI fuer Kontakte von 
aussen etc).

// Sven-Ola

"Aaron Kaplan" <aaron at lo-res.org> schrieb im Newsbeitrag 
news:69AA9BE3-39CD-4309-8838-C3C2E6EC3D35 at lo-res.org...
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


peering peering peering !

> Ich bin hochinteressiert an anderen Möglichkeiten. Bitte ! - nur
> zu. Ich
> will lernen ;)

am besten geht das bei einem beering in Wien oder Berlin ;-)

lg,
a.

PS: achja und das kabel wien-berlin koennen wir am weg gleich
verlegen ;-)


- ---
there's no place like 127.0.0.1


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)

iD8DBQFGXygexEgyMttZ8YwRArL3AJ9q19fgCFvFeVtRtG0prvmO7FGjMgCfYufK
XvJpq6jhyIqgMKtDKWfT01g=
=DIKX
-----END PGP SIGNATURE-----
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
http://lists.olsrexperiment.de/cgi-bin/mailman/listinfo/berlin

Mehr Informationen über die Mailingliste Berlin