[Berlin-wireless] Anfrage Berliner VPN-Server

lamdo at gmx.net lamdo
Sa Nov 29 11:36:43 CET 2014 

Hallo Sven-Ola,

On 28.11.2014 22:00, Sven-Ola Tuecke wrote:
> Hi,
>
> nix DPI. Ich denk da eher an eine Policy-Routing-Regel, die genau eine
> Udp-Verbindung auf Port 1194 pro interner IP eben nicht über Vpn03
> leitet. Wär ziemlich risikolos für doe Gateway-Betreibende aber eben für
> den Teilnehmer optimaler. Oder so.

Keep it simple.

Der Vorschlag klingt nach einem Albtraum, wenn mal was debugged werden 
muss: Auch wenn es bekanntermaßen eine unzulässige Annahme ist, dass 
ICMP (ping) und $REST gleich geroutet werden, wird sie doch oft 
getroffen, wenn traceroute & Konsorten zum Einsatz gebracht werden. Und 
selbst wenn jemand auf die Idee kommt, ein traceroute über UDP/1194 zu 
machen, ist das Ergebnis nicht mit dem Weg, den der OpenVPN-Tunnel 
nimmt, vergleichbar. Zumindest möglicherweise.
Wenn schon einzelne Verbindungen aus dem Tunnel ausgenommen werden, dann 
sollte das IMHO deterministisch passieren.

Unabhängig davon: Ich denke, die Entscheidung, was über den Tunnel geht 
und was nicht, sollte beim Betreiber des Tunnel-Endpunkts liegen: Wenn 
einfach entsprechende Routen gepushed werden besteht das Risiko, dass 
etwas kaputt geht: Man kann nicht davon ausgehen, dass für 
Freifunk-Adressen abseits des VPN-Tunnels ein funktionierendes Routing 
existiert. Einerseits ist nicht sichergestellt, dass NAT aktiv ist und 
eine Rückroute vom NAT-Gateway existiert, andererseits gibt es Setups, 
in denen explizit konfiguriert ist, Pakete, die nicht in den Tunnel 
gehen, vorsichtshalber ganz zu verwerfen, bevor unerwünschte Dinge 
passieren.

Kannst du sagen, ob die Verbindungen, die nicht unbedingt über einen 
VPN-Tunnel gehen müssten, eher von kleinen Einzelinstallationen kommen 
oder von den über euren Server angebundenen Communities? Mein Gefühl 
sagt mir, dass es sich vom Aufwand her eher lohnen würde, bei 
aggregierenden Gateways anzusetzen. Gefühlt besteht in S diesbezüglich 
momentan kein Leidensdruck, ich lasse mich aber gerne vom Gegenteil 
überzeugen...

Gruß
D.

Mehr Informationen über die Mailingliste Berlin