[Berlin-wireless] Tunnelbroker und VPN-Server

Alina Friedrichsen x-alina
Do Dez 3 23:03:45 CET 2009 

Hallo Daniel,

es geht voran, zumindest bei nosys alter Bude gibs jetzt IPv6:
http://www.heise.de/newsticker/meldung/Dedizierte-Server-mit-IPv6-und-VLAN-875685.html
Ich denke die anderen muessen im naechsten Jahr nachziehen.

> Nun - z.b. kann RA auch auf openvpn-tap, tinc, etc interfaces gemacht
> werden. OK - aber das ist imo die Frage nach der mesh-ipv6 autoconfig.
> Für die Verteilung der public-IPs (ipv4 + ipv6) denke ich in die
> Richtung Tunnel-Foo + autoconfig (DHCP + RA).

Du sprichts von der Konfiguration des Tunnels? (Ich sprach von der
Autoconfig im Mesh.) Autokonfiguration von einer link-local Adresse habe
ich bis jetzt nur bei IPv6 PPPoE gesehen. Normale Tunnel-Broker lassen
Dich die IP entweder manuell konfigurieren, oder geben sie Dir ueber
deren Tunnel-Einrichtungsprotokoll bekannt.

> > Verschluesselung ist normalerweise nicht noetig, da die Pakete ja
> > sowieso vom Tunnel-Broker unverschluesselt ins Internet gelassen werden,
> > so das es nicht viel bringt, wenn sie auf dem Weg vom Uplink zum
> > Tunnel-Broker verschluesselt sind. Aber eine simple
> > Challenge-Response-Authentifizierung fuer die Password-Uebergabe waere
> > schon sinnvoll, um zu verhindern das der Tunnel gekapert wird.
> Openvpn geht auch ohne chiper. Das ist eine Möglichkeit, neben ipip6,
> ipv6 über ipv4 zu tunneln.

Ich wuerde es erstmal ganz normal mit einen 6in4 Tunnel wie die anderen
Tunnel-Broker auch implementieren. Verschluesselung kann auch spaeter
noch als Option nachgeruestet werden.

> Allerdings finde ich das Setup recht "teuer"
> und kam so auf SIIT/NIIT.

Das sind keine End-to-End Tunnel. Haette bei der Verteilung der
IPv6-Adressen an folgendes Szenario gedacht.

Node <---> Uplink <---> Tunnel-Broker

Wobei die erste Verbindung z.B. ein 6in6-Tunnel (ip6ip6) automatisch
eingereicht vom Tunnel-Daemon waere und die zweite Verbindung z.B. ein
6in4-Tunnel (sit).

Auf dem Server vom Tunnel-Broker muesste dann z.B. ein CGI laufen, das
die dynamischen IPv4-Adressen nach Authentifizierung updaten kann.

> >>  Die "Tunnel-Broker"
> >> können dann auch cloudVPN, n2n, l2gvpn, etc sein. ;)
> > 
> > Das sind keine Tunnel-Broker, sonder Programme. ;)
> Schon klar, darum auch "". Aber damit kann ich die Funktionalität eines
> Tunnelbrokers herstellen. Imo machen die "richtigen" Broker auch nix
> anders - halt nur in ihrem eigenen Client / RFC.

Machen diese Crypto-Tools auch das dynamische IPv4-Adressen update? Wenn
ja, muesstest Du da nur fuer jeden Tunnel einen eigenen Account
einrichten.

Liebe Gruesse
Alina

Mehr Informationen über die Mailingliste Berlin