[Berlin-wireless] FF-ACCESS Schlossbruecke Charlottenburg

[Sven-Ola Tuecke]

Hallo Schloss,

ja - das reicht natürlich.

Trotzdem ein paar allgemeine Worte. Ich versteh' ja, dass $Leute erstmal
vorsichtig sind und möglichst wenig von sich preisgeben. Entsprechende
Anfragen "bitte einen VPN-Zugang für meinen neuen Freifunk-AP an
bunny at googlemail.de senden" ohne weitere Angaben landen hier ja öfter.
Ich hab' damit regelmäßig bissi Bauchschmerzen und hake nötigenfalls mit
direkten Mails schon mal nach.

Wir haben aus gutem Grund ein mehrstufiges VPN-Netzmodell gewählt.
Faustregeln: wir möchten möglichst nur Freifunker über unser Vpn-Angebot
versorgen. Außerdem: Anonymität und Administrationsmöglichkeiten
schließen sich gegenseitig aus. Oder anders: je mehr
in-die-Daten-anderer-Leute-gucken-können desto weniger Anonym bitte.
Oder noch anders: die mit dem Hut wollen wir auch treten können. Das
sollte möglichst nicht so wie bei den Telekoms laufen, wo sich die Leute
mit den Zugriffsmöglichkeiten hinter info at teledingsbums.com oder
pr at nsa.org verstecken.

Insofern ist unsere VPN-Nutzung dreistufig angelegt (jetzt wird es etwas
technischer):

*Klasse A: Nutzer*. Hängt per DHCP an einem Freifunk-AP. Das soll anonym
sein. Es wird nichts aufgezeichnet. Es werden keine Anmeldedaten oder
ähnliches abgefragt. Gelegentlicher Missbrauch ist zu tolerieren.
Maximal eine Nervseite einblenden mit [OKOK] Button wird toleriert.
Wobei die Verbreitung von Nervseiten für Reklame und Infozwecke in den
letzten Jahren sehr abgenommen hat AFAICT.

*Klasse B: Gateway-Betreiber*. Betreibt ein Gateway-Gerät. Hängt per DSL
/ Kabel am Internet und spendet (einen Teil der)
Datenübertragungskapazität. Ist mögliches Opfer des Abmahn-Unsinns.
Darum werden Daten der Klasse A über unsere VPNs weitergeleitet. Die
Datenübertragungen des Gateway-Gerätes selbst sind Klasse B. Daten
dieser Klasse sind generell über den VPN-Schlüssel identifizierbar und
über auf dem VPN-Server durch die interne IP-Adresse (172.31.240...) von
Daten der Klasse A zu unterscheiden. Das solltet ihr wissen.
Aufzeichnungszeitraum / Logfile-Reichweite: 1 Tag bis eine Woche. Macht
euch nötigenfalls selbst zu Klasse A, indem ihr euch (wie alle anderen
Nutzer auch) per DHCP dranhängt. Damit diese Trennung funktioniert,
bitte *kein NAT* auf die Tunnel und per DHCP allgemeine IP-Adressen (aus
10.xxxx, 6.xxxx) an Klasse A verteilen.

*Klasse C: VPN-Server Admin*. Gar nicht anonym. Jedenfalls nicht die
Personen, die da administrativen Zugriff haben. Es gibt weit
zurückreichende Aufzeichnungen: wer da wann eingeloggt war, welche
Konfiguration dabei geändert wurde, welche Debug-Dinge ausprobiert
wurden. Ihr wollt das so, ich bin sicher ;-) Und es gibt - in gewissen
Grenzen natürlich - eine gegenseitige Kontrolle. Darum sind ja auch
mehrere Admins für die Server zuständig.

Gruß // Sven-Ola

Am 24.12.2014 um 21:11 schrieb Schloss Bruecke:
> zur Erleuterung:
> Wie empfohlen TP-LINK  WDR 3500
> kostet allerdings weit mehr als die 30?. Egal. Es ist da, das Ding.
> Strahl, wenn es denn mal läuft, dann in den Parkabschnitt an der
> Schlossbrücke,rechts  Bonhoefferufer,
> guckst Du da: https://goo.gl/maps/k8dYy
> Das sollte reichen.

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20141226/5dc182f4/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 181 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20141226/5dc182f4/attachment.pgp>