[Berlin-wireless] public IPs fuer Berlin

[Daniel Paufler]

Hallo Sven-Ola

> Alex will kein NAT. Kann ich verstehen. Gar kein NAT heisst: die offzizelle 
> IP muss jedenfalls auf dem Notebook/Rechner konfiguriert sein. Der Rechner, 
> an dem die Teilnehmerin sitzt. Der Zwischenweg ist eigentlich egal - das 
> koennte man auch mit IPv6-Maserlinks machen.
Ich denke auch, dass wir NAT nicht vollständig loswerden, weil viele
Leute das Thema auch nicht verstehen. Das schöne ist, dass wir es könnten.

> [...]

 > Offene Fragen:
> ---------------
> 
> Jeder Tunnel braucht einen Endpunkt - es ist aber noch nicht klar wer/wo das 
> sein soll. Das ist ausserdem ein SPOF (Single Point of Failure) - sowat 
> wollten wir eigentlich nicht. Kennt jemand ein selbstkonfigurierendes 
> Tunnel-Overlay-Programm mit dynamischer Endpunkt-Suche? Sowas wie ein 
> Gnutella der Tunnelei?
SPOF ist es eh, da wir (noch) kein eigenes AS mit meherern Uplinks
haben. Darum kümmern wir uns, wenn wir mehr wissen, was wir tun. Somit
leben wir damit und wissen darum. Von Alex wurde schon tinc
angesprochen, welches seit 2 Wochen in Berlin läuft. Testphase, um die
"mesh"-Fähigkeiten zu untersuchen und das OLSR/Batman-Routing auf den
Links zu versuchen.

> Wie identifzieren wir unbenutzte IPs? Wulf sagt: Es gibt bereits einen 
> "Klick alle paar Monate hier oder die IP ist weg" auf olsrexperiment.de. 
> Aaaron sagt: Sie tun unbenutzte IPs erst nach einer "Karenzzeit" wieder in 
> den Pool.
Hier finden wir eine "Lösung". Evtl. muss das Gerät einfach x-Tage
"offline" sein (last seen - siehe ffsomething) und wenn der Betreiber
nicht per eMail wieder aktiviert wird das Teil in den Topf zurück
gepackt. Der Fantasie sind keine Grenzen gesetzt. KISS würde ich sagen.

> Gibt es eine Reverse-DNS-Moeglichkeit? Und wie ist es mit Vorwaerts-DNS? 
> Ginge das auch?
Ja. DNS geht super in beide Richtungen. Die Reverse-Sachen sind im RIPE
eingetragen und unter Kontrolle(tm). Die IP-Vergabe kann die NS
automatisch Updaten (nsupdate + TSIG-key). Mag ich eh einrichten und
läuft schon auf div. Servern.

> Wollen wir tatsaechlich Nodes mit der offiziellen IP strahlen lassen? Oder 
> vllt reicht eine einfache HNA-Ankuendigung aus? Jedenfalls brauchen wir 
> nicht unbedingt fuer alle Zwischenstationen solche IPs, aber eine pro 
> Kirche/BBB/Relay waer' aber fein um es besser von auszen administrieren zu 
> koennen.
Hierzu folgendes: Wie wäre es, das mesh auf 10.77.x.x umzustellen? Wir
mappen z.B. die 10.77.49.6 auf 77.87.48.6 per $whatever-Tunnel nach
draußen bzw. packen die als Alias-Iface drauf. Damit ist Erreichbarkeit
vorhanden und Verschwendung vorgebeugt.

> Sicherheit: Haben wir alles schon im Sack? Wegen der taeglichen 
> SSH-Woerterbuchattacke auf meine Server wuerde ich jedenfalls sagen: Nee - 
> noch nicht. Da fehlt noch was (z.B. Begrenzung der Verbindungen / Min auf 
> alle Services/Ports eines Nodes, Sperrung der Web-UI fuer Kontakte von 
> aussen etc).
Das sollte imo jeder selbst regeln. Die FW-Einstellungen der FFF könnten
diesbezgl. nochmal durchgesehen werden. Klar können wir an den
BGP-Uplinks firewallen - aber wer will das und wer will das aktuell
halten. Hier wäre ich dagegen.

Grüße

Daniel

-- 
Dipl. Inf. (FH) Daniel Paufler
Angewandte Informatik - Computer Aided Facility Management

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 254 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20070601/c7833461/attachment.pgp>