[Berlin-wireless] Anfrage Fab Lab Berlin

Sven-Ola Tuecke sven-ola
Sa Okt 31 14:13:44 CET 2015


Hey,

vermutlich, weil es manuell authentifiziert werden muss (über 'ne feste
IP-Zuordnung o.ä). In dem Zusammenhang: GRE in Zusammenspiel mit SSH
wäre mein $Kandidat, um OpenVPN auf Dauer abzulösen. Stell' ich mir etwa
so vor:

 1. Router meldet sich per SSH bei Gatway. Ist ein begrenztes SSH mit
    dem keine Kommandos ausgeführt werden können, vllt eine Abwandlung
    von RSSH <http://www.pizzashack.org/rssh/>.
 2. Solange die SSH-Verbindung steht (Stichwort: SSH-Keepalive) wird zur
    selben Quell-IP ein GRE-Tunnelaufbau möglich. SSH- weg - Tunnel weg.
 3. Für die "Client-wechselt Gateway, Routing auf dem Server zieht
    sofort nach"-Mechanik müsste wohl noch etwas iptables-Basteln sein.
    Zur Erinnerung: [Openvpn-devel] [PATCH] dynamic-Iroute config option
    for automatic iroutes
    <https://groups.google.com/forum/#%21topic/openvpn-devel/guD9HK_k5ck>

Möglicherweise könnte man sogar die bereits ausgestellten OpenVPN-Keys
für's SSH-Auth weiterverwenden - die Technik ist dieselbe AFAICT, ggf
wäre Key/CA/CRT-Umkodieren nötig.

Äh - ja: sowas wäre nicht 100% spoof-sicher, z.B. könnte vllt $jemand
mit einer gefakten Source-IP den Tunnel übernehmen / mitnutzen. Wenn man
das sicherer sein muss, dann IPSec. IPSec wäre sicher ein Spielwiese für
Nerds. Es gibt garantiert ein duzend Leute hier, die IPSec prima können.
Alle anderen aber nicht. Da die Resource "VPN" aber nur bedingt
schützenswert ist hätte ich lieber was mit KISS, was in erster Linie
Tempo bringt.

Gruß // Sven-Ola

Am 31.10.2015 um 13:26 schrieb Bastian:
> warum bekommt nur Fab Lab das schnelle VPN?

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151031/22b66489/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151031/22b66489/attachment.pgp>



Mehr Informationen über die Mailingliste Berlin