[Berlin-wireless] vpn - ipv6
cholin
cholin
So Jan 25 15:54:09 CET 2015
Nach ein wenig Rücksprache mit Basti, denk ich das es hier vlt ein
Missverständnis oder vlt auch falsche Annahmen gab. Bisher war mir nicht
klar, dass auf BBB-VPN absichtlich Internetverkehr gefiltert wird. Im
Folgenden die anscheinend derzeitig gültige Abgrenzung zwischen den
VPN-Diensten:
* vpn03: nur Anti-Störerhaftung, kein Mesh, öffentliche Addressn, tun
* bbb-vpn: nur Mesh, keine Anti-Störerhaftung, nur private Adressen,
tap (mit OLSRd fürs Routing)
Es scheint als sei hier auch der OLSRd auf bbb-vpn gepatched zu sein, so
dass keine Gateway-HNAs (0.0.0.0/0) durchkommen, sondern gefiltert
werden. Das war mir bisher nicht bewußt. Dennoch finde ich IPv6 auf
bbb-vpn wichtig und wir können als Kompromiss wenigstens site-local
Adressen verteilen. Dadurch wären die BBB-Endnutzerinnen auch via IPv6
lokal angebunden. Ob wir ein Problem darin sehen, dass sich Menschen
anonym eine VPN-Konfiguration klicken können und wir deswegen diese
Aufteilung von (lokal und global) haben, ist natürlich eine andere Frage.
Gruß
Nico
Am 25.01.2015 um 15:27 schrieb Bastian:
> Bei BBB-VPN gilt eigentlich der Grundsatz: keine default-route
>
> Das stell ich mir mit global-IPv6 schwierig vor...
>
> On 01/25/2015 03:22 PM, cholin wrote:
>> Bei BBB-VPN würde eine BBB-Endnutzerin einfach nur IPv6-Connectivity
>> erhalten und selbst dann einen vorher registrierten IPv6-Präfix mittels
>> OLSR announcen. Hin- und Rückrouten sollten via OLSRd gesichert sein.
>> Wie das bei VPN03 aussieht ist ne andere Sache, aber denke das die
>> Diskussion hierzu auch eingeschlafen ist und vlt mal wieder auf die
>> Agenda gesetzt werden sollte. :)
>>
>> Gruß
>> Nico
>>
>> Am 25.01.2015 um 15:18 schrieb Bastian:
>>> Hallo Nico,
>>>
>>> IPv6 finde ich auch immer ganz toll - sofern es das macht was es soll.
>>> Bei IPv6 mit unseren VPN-Gateways verstehe ich aber das Konzept nicht ganz:
>>> Soll eine VPN03-Endnutzer mit z.B. nativer T-Com IPv6-Adresse eine
>>> Verbindung zu VPN03 aufbauen? Also außen v6 und innen v4?
>>>
>>> Soll ein VPN03-Endnutzer ohne natives IPv6 durch VPN03 ein global
>>> geroutetes IPv6-Subnetz erhalten? Also außen v4 und innen v6?
>>>
>>> Die Kombination VPN03 und Backbone funktioniert für IPv4 momentan *nur*
>>> wegen NAT weil damit eine klare Trennung zwischen Mesh-IP und
>>> "Public-IP" entsteht. Mit IPv6 bei VPN03 bekommen wir arge Probleme bei
>>> Endnutzern, deren 2001:bf7er IPv6-Adresse im Mesh (und somit auf den
>>> BGP-Routern) bekannt ist, aber über einen VPN-Uplink online gehen. Hin
>>> und Rück-Route sind dann sehr unangenehm asymmetrisch.
>>>
>>> Gruß
>>> Bastian
>>>
>>> On 01/25/2015 02:38 PM, cholin wrote:
>>>> Ich fände es schön wenn unsere vpn-Dienste (vpn03(a|b) und bbbvpn) auch
>>>> IPv6 unterstützen würden. Leider scheint erst OpenVPN 2.3 Support dafür
>>>> zu haben [1]. Denkt ihr wir hätten Kapazitäten hierhin zu migrieren? Ich
>>>> könnte mal bbb-vpn versuchen aber vlt macht es auch mehr Sinn dies via
>>>> puppet zu konfigurieren? Problematisch ist an sich leider auch, dass wir
>>>> größtenteils noch Debian Squeeze verwenden und dort nur 2.1 verfügbar
>>>> ist (squeeze backports ist 2.2.1 und erst wheezy-backports hat 2.3.2).
>>>>
>>>> [1] https://github.com/OpenVPN/openvpn/blob/master/README.IPv6
>>>
>
>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 473 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20150125/aa202647/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin