[Berlin-wireless] FF GruneWWWald Vpn03

Sven-Ola Tuecke sven-ola
Di Apr 22 06:42:26 CEST 2014 

Hey,

bei noch unerfahrenen Heimanwendern (oder bei erfahrenden Netzchaoten)
wird NAT gerne eingesetzt, um Rückrouten zu vermeiden. Nimm mal
folgenden Fall:

RechnerA --- (hopps1) ---> RechnerB --- (hopps2) ---> RechnerC.

RechnerA sendet (meist über die Default-Route) an RechnerB und der
wiederum sendet (meinetwegen wieder über die Default-Route) an RechnerC.
Und woher kennt RechnerC jetzt den Rückweg? Richtig: gar nicht, keine
Antwort, nix geht. Da liegt es nahe, einfach mal ein NAT auf RechnerB
aufzusetzen. Dann gehen die Pakete mit der Quelladresse von RechnerB an
RechnerC. Der kennt damit den Rückweg (direkter Nachbar, 1 Hopps) und
alles ist fein. Im Konkreten Fall: A=dein Lapptop, B=dein FFRouter, C=vpn03.

Dieser "Lösungansatz für Faule" hat 2 Nachteile. Erstens kann RechnerC
nix direkt an RechnerA senden. Ist OK sagt sich der Mensch an RechnerA:
ich will ja nur sowas wie "TV glotzen". Ist also nicht schlimm, geh weg
mit dem Mist. Schon richtig, aber jetzt kommt Nachteil 2: Nehmen wir an,
da sind RechnerA(1) bis RechnerA(20). Alle 20 User sind dann von
RechnerC aus mit der IP-Adresse von RecherB sichtbar. Bei RechnerA(13)
wurde mal wieder der laufende Torrent vergessen. Und RechnerC sagt: hey,
der RechnerB kontaktet 500 verschiedene externe IP-Adressen pro Minute.
So haben wir nicht gewettet. Ich werf' mich mal auf die Leitung. Und das
betrifft dann alle 20 RechnerA(x). Und darum willst du erstens kein NAT
auf dem Vpn03-Tunnel und zweitens willst du für die 20 User-Rechner
jeweils ein IPv4-Adresse, die in dem Zusammenhang von niemand anderem
gleichzeitig verwendet wird. Jaja - ist Klickarbeit unter
https://ip.berlin.freifunk.net, aber die rechtfertigt sich genau so.

HTH // Sven-Ola

Am 22.04.2014 03:12, schrieb Private Organisation:
> Leider verstehe ich die Warnungen auf der Wikiseite Vpn03 nicht recht,
> was bedeutet kein genatte auf dem ovpn router und warum? wan lan wlan
> = 104.er netz ? Die pberg freifunk firmware, geschmacksrichtung "/vpn"
> haelt genatte zwischen wan/lan/radio als vorgabe fuer geeignet - und
> bietet sogar das Haeckchen "zugriff auf das Heimnetz verhindern"
> bereit!? Waer aber kein problem da ich mehrere router fuer eine
> router-kaskade bzw DMZ haette. 


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140422/eef77b4f/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin