[Berlin-wireless] Foo-over-UDP (FoU) als Alternative zu OpenVPN für VPN03, c-base morgen

[Justus Philipp Beyer]

Hi Bastian,

> On 24.02.2016, at 11:53, Bastian <fly at d00m.org> wrote:

> Ich kann leider heute nicht in die base kommen und stell deswegen meine
> Fragen einfach hier:
> 
> *) Funktionieren FoU auch mit einer MTU < 1280 Bytes?

Ja, mit IPv4 schon.

> *) Setzt FoU das DF Bit?

Ja.

> *) Lassen sich FoU-interfaces bridgen? Das würde das "ein iface pro
> client" Problem lösen und ggf. sogar DHCP erlauben.

Nein. Bridge ist Layer 2, FoU kapselt direkt Protokolle auf Layer 3 - z.B. IP oder IPv6.
Alternativ gibt es auch die Spielart Generic UDP Encapsulation (GUE) bei der Ethernet-Frames per UDP verpackt verschickt werden. Damit gehen dann Bridges, DHCP, BATMAN und mehr.

> *) What about IPv6?

Geht, erfordert bei FoU aber einen separaten Tunnel da in den Headern kein Feld vorhanden ist um das transportierte Layer-3-Protokoll zu vermerken. 

> *) Schon eine Idee für Authentifizierung/Autorisierung bzw.
> "Notfall-Blacklist”?

Ja, eine Idee: Für jeden Tunnel teilen sich Tunnelbroker (VPN03) und Client ein Shared Secret. Mit diesem Geheimnis kann der Client eine Umkonfiguration (also Peer-IP und -Port) seitens des Brokers anstoßen.

> Ohne von FoU abzulenken möchte ich an dieser Stelle nochmal auf L2TP +
> Tunneldigger hinweisen. Auch hier ist das NAT-Problem gelöst, wir
> bekommen bridgeable interfaces, native Hooks und sogar Loadbalancing auf
> Applikation layer.

Das ist ein wichtiger Hinweis. Wir haben am Mittwoch auch Tunneldigger besprochen. Abgesehen davon, dass für den VPN03-Use-Case ein Layer-2-Tunnel ineffizienter ist, verleitet Tunneldigger mit seiner sparsamen Dokumentation nicht gerade zu Experimenten.

> Cheers, Bastian

Viele Grüße
Justus