[Berlin-wireless] Anfrage Fab Lab Berlin

Bastian fly
Sa Okt 31 14:16:37 CET 2015 

Hallo Sven-Ola,

+1 für diese echt coole Idee! Scheint ja nur ein Shell-Script entfernt
zu sein. Go for it!

Cheers,
Bastian

On 10/31/2015 02:13 PM, Sven-Ola Tuecke wrote:
> Hey,
> 
> vermutlich, weil es manuell authentifiziert werden muss (über 'ne feste
> IP-Zuordnung o.ä). In dem Zusammenhang: GRE in Zusammenspiel mit SSH
> wäre mein $Kandidat, um OpenVPN auf Dauer abzulösen. Stell' ich mir etwa
> so vor:
> 
>  1. Router meldet sich per SSH bei Gatway. Ist ein begrenztes SSH mit
>     dem keine Kommandos ausgeführt werden können, vllt eine Abwandlung
>     von RSSH <http://www.pizzashack.org/rssh/>.
>  2. Solange die SSH-Verbindung steht (Stichwort: SSH-Keepalive) wird zur
>     selben Quell-IP ein GRE-Tunnelaufbau möglich. SSH- weg - Tunnel weg.
>  3. Für die "Client-wechselt Gateway, Routing auf dem Server zieht
>     sofort nach"-Mechanik müsste wohl noch etwas iptables-Basteln sein.
>     Zur Erinnerung: [Openvpn-devel] [PATCH] dynamic-Iroute config option
>     for automatic iroutes
>     <https://groups.google.com/forum/#%21topic/openvpn-devel/guD9HK_k5ck>
> 
> Möglicherweise könnte man sogar die bereits ausgestellten OpenVPN-Keys
> für's SSH-Auth weiterverwenden - die Technik ist dieselbe AFAICT, ggf
> wäre Key/CA/CRT-Umkodieren nötig.
> 
> Äh - ja: sowas wäre nicht 100% spoof-sicher, z.B. könnte vllt $jemand
> mit einer gefakten Source-IP den Tunnel übernehmen / mitnutzen. Wenn man
> das sicherer sein muss, dann IPSec. IPSec wäre sicher ein Spielwiese für
> Nerds. Es gibt garantiert ein duzend Leute hier, die IPSec prima können.
> Alle anderen aber nicht. Da die Resource "VPN" aber nur bedingt
> schützenswert ist hätte ich lieber was mit KISS, was in erster Linie
> Tempo bringt.
> 
> Gruß // Sven-Ola
> 
> Am 31.10.2015 um 13:26 schrieb Bastian:
>> warum bekommt nur Fab Lab das schnelle VPN?


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151031/3dcc56e4/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin