[Berlin-wireless] Anfrage Fab Lab Berlin
Bastian
fly
Sa Okt 31 14:16:37 CET 2015
Hallo Sven-Ola,
+1 für diese echt coole Idee! Scheint ja nur ein Shell-Script entfernt
zu sein. Go for it!
Cheers,
Bastian
On 10/31/2015 02:13 PM, Sven-Ola Tuecke wrote:
> Hey,
>
> vermutlich, weil es manuell authentifiziert werden muss (über 'ne feste
> IP-Zuordnung o.ä). In dem Zusammenhang: GRE in Zusammenspiel mit SSH
> wäre mein $Kandidat, um OpenVPN auf Dauer abzulösen. Stell' ich mir etwa
> so vor:
>
> 1. Router meldet sich per SSH bei Gatway. Ist ein begrenztes SSH mit
> dem keine Kommandos ausgeführt werden können, vllt eine Abwandlung
> von RSSH <http://www.pizzashack.org/rssh/>.
> 2. Solange die SSH-Verbindung steht (Stichwort: SSH-Keepalive) wird zur
> selben Quell-IP ein GRE-Tunnelaufbau möglich. SSH- weg - Tunnel weg.
> 3. Für die "Client-wechselt Gateway, Routing auf dem Server zieht
> sofort nach"-Mechanik müsste wohl noch etwas iptables-Basteln sein.
> Zur Erinnerung: [Openvpn-devel] [PATCH] dynamic-Iroute config option
> for automatic iroutes
> <https://groups.google.com/forum/#%21topic/openvpn-devel/guD9HK_k5ck>
>
> Möglicherweise könnte man sogar die bereits ausgestellten OpenVPN-Keys
> für's SSH-Auth weiterverwenden - die Technik ist dieselbe AFAICT, ggf
> wäre Key/CA/CRT-Umkodieren nötig.
>
> Äh - ja: sowas wäre nicht 100% spoof-sicher, z.B. könnte vllt $jemand
> mit einer gefakten Source-IP den Tunnel übernehmen / mitnutzen. Wenn man
> das sicherer sein muss, dann IPSec. IPSec wäre sicher ein Spielwiese für
> Nerds. Es gibt garantiert ein duzend Leute hier, die IPSec prima können.
> Alle anderen aber nicht. Da die Resource "VPN" aber nur bedingt
> schützenswert ist hätte ich lieber was mit KISS, was in erster Linie
> Tempo bringt.
>
> Gruß // Sven-Ola
>
> Am 31.10.2015 um 13:26 schrieb Bastian:
>> warum bekommt nur Fab Lab das schnelle VPN?
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 473 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151031/3dcc56e4/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin