[Berlin-wireless] public IPs fuer Berlin

[Alexander Morlang]

Sven-Ola Tuecke schrieb:
> Hi Aaron,
> 
> das Wort "Peering" hoer' ich natuerlich gern :) Ich versuch mich mal an 
> einer Zusammenfassung dessen, was ich bisher mitbekommen habe.
> 
> Alex will kein NAT. Kann ich verstehen. Gar kein NAT heisst: die offzizelle 
> IP muss jedenfalls auf dem Notebook/Rechner konfiguriert sein. Der Rechner, 
> an dem die Teilnehmerin sitzt. Der Zwischenweg ist eigentlich egal - das 
> koennte man auch mit IPv6-Maserlinks machen.
> 
> Wir haben nur 2048 IPs. Wir _muessen_ also sparsam sein. Anfangen mit zwei 
> IPs fuer jeden Standort/Nodebetreiber. Dann kann man a) den Node mit 
> offizieller IP von draussen erreichen und b) wahlweise einen Laptop mit so 
> einer IP da dranhaengen und ohne Portforwarding / SNAT kommunizieren.
> 
> Damit die Nodes/Laptops tatsaechlich von aussen erreichbar sind, brauchen 
> wir fuer die DSL-Uplinks eine Tunnelloesung. Alles einfach ueber einen 
> fetten Uplink via IN-Berlin in der Mitte machen verbietet sich schon aus 
> topologischen Gruenden. Tunnel gibts mit oder ohne Verschluesselung. IPIP, 
> cipe, Tinc, OpenVpn, IPSec-mit-Nat-Traveral (aufsteigende Programmgroesze / 
> Komplexitaet, Reihenfolge ist Subjektiv).
> 
> Offene Fragen:
> ---------------
> 
> Jeder Tunnel braucht einen Endpunkt - es ist aber noch nicht klar wer/wo das 
> sein soll. Das ist ausserdem ein SPOF (Single Point of Failure) - sowat 
> wollten wir eigentlich nicht. Kennt jemand ein selbstkonfigurierendes 
> Tunnel-Overlay-Programm mit dynamischer Endpunkt-Suche? Sowas wie ein 
> Gnutella der Tunnelei?

Ja, das ist quasi tinc, da sich bei tinc viele tunnelendpunkte in einer
grossen vpnwolke "vermeshen".

d.h., man kann eine beliebige menge an "vpn-servern" haben und umgeht
damit das single point of failure problem. fehlt also noch ne loesung
fuer den key revoke.

fuers chaosvpn-hamburg gibt es ein skript, was eigentlich schon alles
kann, leider in perl. zu finden unter
https://wiki.hamburg.ccc.de/index.php/ChaosVPN

Ausserdem, mittelfristig, welche provider in berlin können das PI
anouncen und per richtlink ins freifunk schicken, das wuerde ne menge
vpn sparen.

> 
> Wie identifzieren wir unbenutzte IPs? Wulf sagt: Es gibt bereits einen 
> "Klick alle paar Monate hier oder die IP ist weg" auf olsrexperiment.de. 
> Aaaron sagt: Sie tun unbenutzte IPs erst nach einer "Karenzzeit" wieder in 
> den Pool.
> 
> Gibt es eine Reverse-DNS-Moeglichkeit? Und wie ist es mit Vorwaerts-DNS? 
> Ginge das auch?
> 
> Wollen wir tatsaechlich Nodes mit der offiziellen IP strahlen lassen? Oder 
> vllt reicht eine einfache HNA-Ankuendigung aus? Jedenfalls brauchen wir 
> nicht unbedingt fuer alle Zwischenstationen solche IPs, aber eine pro 
> Kirche/BBB/Relay waer' aber fein um es besser von auszen administrieren zu 
> koennen.
> 
> Sicherheit: Haben wir alles schon im Sack? Wegen der taeglichen 
> SSH-Woerterbuchattacke auf meine Server wuerde ich jedenfalls sagen: Nee - 
> noch nicht. Da fehlt noch was (z.B. Begrenzung der Verbindungen / Min auf 
> alle Services/Ports eines Nodes, Sperrung der Web-UI fuer Kontakte von 
> aussen etc).

Der grosse raketenschild, aehm, die grosse firewall to end all firewalls ;-)
wann können wir das beering mit wien machen? und dortmund einladen? was
sagt giessen? Wie sind die erfahrungen der praxis der letzten jahre?
oder muessen wir alle fehler selbst machen?

> 
> // Sven-Ola
> 


Alex