[Berlin-wireless] Dezentralität / Dienste

[Harald Stürzebecher]

Am 29.01.2015 20:57 schrieb "cholin" <cholin at spline.de>:
>
> N'abend.
>
> Im Zuge der Debatte um "Server Admins" auf dem MABB-Treffen wurde
> angemerkt, dass es Verbesserungsbedarf in Sachen Transparenz,
> Wissenshierachien und Zugang zu Ressourcen gibt. Hierzu wird gerade
> versucht den derzeitigen Status besser zu dokumentieren. Am Rande der
> Diskussion konnte festgehalten werden, dass wir Dezentralität in
> technisch sowie sozialer Art höher priorisieren sollten. An sich
> sozusagen ein wenig die Freifunk-Philosophie wieder verstärken bei
> Freifunk Berlin. Konkret würden wir gerne Dienste von unserem
> VServer-Host weg in die Community migrieren. An sich am besten sie
> gleich ins Mesh zu holen. Die Idee wäre auch, dass nicht immer die
> gleichen Menschen diese dann verwalten, sondern wir dies auf andere
> ausweiten möchten, sowie mehr Menschen mit Zugang ausstatten wollen.

Ich bleibe weiterhin bei meiner Meinung, dass Zugriff nur an Personen
vergeben werden sollte, die damit auch umgehen können. Die Beurteilung
überlasse ich dem Konsens derjenigen, die bereits Zugriff haben. Ich hoffe
z.B., dass an den BGP-Routern nur Leute schrauben, die davon Ahnung haben.
Beim VPN-Server könnte ich mir vorstellen, dass die CA ausgelagert wird.
Damit könnten die Keys auch von Leuten erstellt und verwaltet werden, die
sich eher mit sozialen Aspekten beschäftigen.

> Es wäre schön wenn nun einzelne Dienste von unserem VM-Host-Servern ins
> Mesh zurückgeholt werden.

Stimme ich Dir zu, der Zugriff aus dem Internet sollte aber IMHO unbedingt
erhalten bleiben. Sonst kommen wir selbst beim Freifunktreffen bei
Wikimedia oder in der c-base nicht mehr an die Dienste.

> Via IPv6 wären diese ja dann auch
> aus dem Internet erreichbar. Für IPv4 könnten wir diese evtl über
> Portmapping oder öffentlicher IP erreichbar machen. Sicherheit ist
> natürlich hierbei nochmal ein ganz anderes Thema. Aber auch das
> Experimentieren mit Technik ist Teil von Freifunk!

IPv6-only reicht nicht! Ich bin sicher nicht der einzige Nutzer, der nicht
überall IPv6 zur Verfügung hat.

Ein erster Schritt in diese Richtung könnte IMHO die Einrichtung eines
Gateways sein, das den Zugriff auf ausgewählte Freifunkadressen/Ports aus
dem Internet ermöglicht. Ohne ein solches Gateway, das den Zugriff über
IPv4 steuert, erscheint mir eine Umstellung der vorhandenen VMs auf
Freifunk-IPs nicht ratsam.

Mit dieser Infrastruktur als Basis könnten später auch neue Freifunkdienste
einfach im Internet angeboten werden. Hosting könnte zunächst an jedem
beliebigen Freifunkstandort erfolgen.

> Anmerkung: Die ISP-Dienste vom Förderverein freie Netzwerke sowie unser
> Störerhaftungs-VPN lassen sich leider schwer ins Mesh selbst migrieren.
> Ich würde sogar dazu tendieren, diese eher beim Förderverein selbst zu
> verorten und so vlt den DNS von berlin.freifunk.net zum Beispiel zu
> freie-netzwerke.de ändern (so in etwas wie isp at freie-netzwerke.de).

Die ISP-Dienste des Fördervereins sind AFAICT am sinnvollsten an einer
Stelle untergebracht, an der sich Freifunk-Mesh und Internet räumlich nah
sind. ;-)

Das Störerhaftungs-VPN würde ich lieber durch ein verbessertes BBB-VPN
ersetzt sehen, in dem die Clients "gleichberechtigt" neben den über WLAN
verbundenen Knoten stehen. Der Zugang zum Internet könnte dann AFAICT über
die vorhandenen Gateways erfolgen. Es würde aus "kostenloses Internet ohne
Abmahnungen" einen "Zugang zum Freifunknetz" mit "ach so, ja, wir haben
darüber natürlich auch Internet" machen. IMHO ändert sich dadurch der
Charakter des VPN, auch wenn die meisten Nutzer keinen Unterschied erkennen
würden.

> Es wäre schön wenn ihr euch über die Idee mal Gedanken machen würdet und
> wir so vlt wieder mehr Dezentralität fördern könnten. Außerdem könnten
> wir versuchen somit Hierachien abzubauen und so dem Anspruch einer
> Grassroots-Bewegung wieder näher kommen!

Ein gewisses Maß an Professionalität wird weiterhin notwendig sein. Mit
einem Dienst, der jede zweite Woche down ist und einmal im Monat gehackt
wird, ist IMHO niemandem geholfen.
AFAICT spricht aber nichts dagegen, neue Dinge in der Entwicklungsphase bei
jemandem zu Hause laufen zu lassen. Ein Gateway+Nameserver, bei dem man
sich einfach selber (oder auf Zuruf) ein Portforwarding und eventuell eine
Subdomain schalten (lassen) kann, wäre dabei IMHO eine große Hilfe. Ich
schlage mal *.users.freifunk.net vor.
Schade, dass SRV records anscheinend nicht von den Browsern[1] unterstützt
werden. Das hätte hier hilfreich sein können.

Harald

[1] http://forums.xkcd.com/viewtopic.php?f=20&t=107380
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20150130/301a6b0f/attachment.html>