[Berlin-wireless] Tunnelalternative der Community

hefrimu erkner1.ffb at arcor.de
Di Aug 29 09:03:30 CEST 2017 

Hallo Ihr fleissigen Programmierer,

Hallo Sven,

vielen Dank für Eure fleissige Arbeit an der neuen Firmware und Euer 
Denken auch an die Knotenbetreiber, die ihren Knoten ohne VPN lieber 
nicht betreiben möchten. Für mich klingt Euer Entwurf nach einem sehr 
brauchbaren Plan. Sobald es eine Installationsroutine gibt, die auch für 
nicht mit Programmierkenntnissen gesegnete Leute nutzbar ist, spiele ich 
das gerne mal zum Test auf (Ich hab noch einen TP-Link WR1043ND 
rumzuliegen, den ich noch in Betrieb nehmen möchte) .

Ich überlege allerdings, ist in wie weit die 1x jährliche Erneuerung der 
Zertifikate zu ungewolltem Mehraufwand auf der Seite der Knotenbetreiber 
als auch auf der Seite der Zertifizierungsstelle führen würde. Ich kann 
mir vorstellen, daß es immer nach Ablauf des Jahres unnötige Rückfragen 
gibt, weil der "gemeine" Knotenbetreiber dann schon wieder vergessen 
hat, daß er was machen muß und nach dem Jahr auch schon wieder vergessen 
hat, was er wie machen muß. Eleganter wäre eine Lösung, die die 
Zertifikate von Knoten, die einmal manuell eingerichtet wurden und 
online sind automatisch vor dem Ablauf erneuert. Knoten, die dann nicht 
(mehr) online sind, kann man ja "ausknipsen", um nicht sinnlos 
Zertifikate für nicht mehr vorhandene Knoten bereitstellen zu müssen. 
Ist soetwas technisch realisierbar und als sicher zu betrachten? Ist 
soetwas mit dem Freifunk-Gedanken vereinbar? Ich meine, daß es 
vielleicht nicht jeder mag oder es grundsätzlich Eurer Phiosophie 
widerspricht, wenn auf einen Knoten überhaupt irgend etwas automatisch 
hochgeladen wird - und sei es auch nur ein erneuertes Zertifikat. Im 
Moment kann ich mir aber auch nicht vorstellen, wie das mit dem Link zur 
Erneuerung funktionieren soll. Vielleicht ist es ja einfacher als es 
sich anhört.


Zu den unten stehenden Links habe ich noch folgende Fragen:

1.) Ich muß offensichtlich für den neuen Community VPN für jeden Knoten 
wieder ein neues Zertifikat anfordern. Das hab ich eben über [1] getan. 
Seltsamerweise bekomme ich dann vom VPN03 eine Eingangsbestätigung. Ist 
das richtig? Vom VPN03 hab ich doch bereits Zertifikate für meine(n) 
Knoten. Müßte ich nicht vom neuen Community VPN ein Zertifikat bekommen?

2.) Ich erinnere mich irgendwo gelesen zu haben, daß man die FW für 
Erstinstallation verwenden muß (also nicht update), auch wenn man 
bereits eine Freifunk-FW (Kathleen basiert) auf dem Router hat? Ist das 
richtig? Das wäre in meinem Fall dann *SAm0815_uplink* (418 
<https://buildbot.berlin.freifunk.net/builders/ar71xx-generic/builds/418>) 
vom 2017-08-25 05:00:38vpn03 (? 
<https://wiki.freifunk.net/Berlin:Firmware#Image-Typen>) - 
Erstinstallation 
<http://buildbot.berlin.freifunk.net/buildbot/unstable/ar71xx-generic/418/vpn03/freifunk-berlin-1.0.0-sam0815-ffuplink-11a1bc0-tl-wr1043nd-v1-factory.bin>???

3.) Da ich weiter unten in der Liste noch einen *lede-wizard* (410 
<https://buildbot.berlin.freifunk.net/builders/ar71xx-generic/builds/410>) 
vom 2017-08-21 10:54:19default-legacy (? 
<https://wiki.freifunk.net/Berlin:Firmware#Image-Typen>) - 
Erstinstallation 
<http://buildbot.berlin.freifunk.net/buildbot/unstable/ar71xx-generic/410/default-legacy/freifunk-berlin-1.0.0-alpha-d92a2c0-tl-wr1043nd-v1-factory.bin>, 
sehe, vermute ich, daß der *SAm0815_uplink* noch ohne Wizard auskommt 
und mich somit vermutlich noch vor erhöhte Anforderungen stellt und 
detaillierte Installationskenntnisse abverlangt. Ist dem so?

Viele Grüße
hefrimu

Am 28.08.2017 um 09:39 schrieb Sven Roederer:
> Hallo Freifunkas,
>
> die Störerhaftung ist inzwischen auf einem Weg abgeschafft zu werden. Noch
> ist aber nicht klar, ob das auch wirklich jede Abmahnkanzlei begriffen hat.
> Aus diesem Grund sind viele FreifunkerInnen noch skeptisch, ihren Freifunk-
> Datenstrom direkt über den eigenen Anschluss auszuleiten. Um dem Wunsch
> nachzukommen, nicht zwangsläufig selbst auszuleiten, haben sich ein paar
> Mitglieder der Berliner Community in den letzten Wochen zusammengesetzt und
> in überschaubarer Zeit eine Alternative zum bekannten VPN03 geschaffen.
>
> Die wesentlichen Fakten möchten wir vermitteln und das Ergebnis der Community
> übergeben - zum weiteren Betrieb und Ausbau.
>
> Der neue Community-Tunnel heißt “Tunnel Berlin” und ähnelt in vielen Punkten
> der VPN03-Lösung. Das Angebot richtet sich an Betreiber von Freifunk-Routern
> der Berliner-Community und Communities mit abgeleiteter Firmware (Potsdam,
> Cottbus, Grünheide, Eberswalde, ...)
> Der B2Social e.V. - ein Verein, der der Berliner Community nahe steht -
> unterstützt unsere Aktivitäten und steht uns als Vertragspartner für die
> Servermiete, Spendengelder und ähnliches beiseite.
>
> Wir haben folgendes vorgeschlagen und umgesetzt:
> - Tunneltechnologie: OpenVPN, bis auf weiteres
> - Authentifizierung via X.509-Zertifikat
>    - Beantragung unter tunnel.berlin.freifunk.net
>    - Gültigkeit des Zertifikates: 1 Jahr
>      - 30 Tage und dann nochmal 7 Tage vor Ablauf wird eine Benachrichtigung an
>        die hinterlegte Kontaktadresse gesendet, mit Link zur Verlängerung
>      - Key-grösse: 2048 bits RSA, damit kann OpenVPN-mbedTLS genutzt werden
> - die Bandbreite pro Tunnelverbindung ist auf 10 MBit/s begrenzt, was für den
>    üblichen Router keine Einschränkung darstellt
>    - da es im Moment auch nur einen Gateway-server gibt, kann so einer Überlastung
>      entgegengewirkt werden
> - es gibt eine angepasste Firmware, die diese Tunnellösung unterstützt [1]
>    - alternativ wird auch Nutzung ohne Tunnel und VPN03 unterstützt
>
>
> Für den Betrieb ist die Unterstützung der Community in folgenden Bereichen
> erforderlich:
> - Administration der Server (Webseite und Tunnel-GWs)
> - Bearbeitung der Nutzungsanträge
>    - hier sollte noch abgestimmt werden, unter welchen Voraussetzungen ein
>      Zertifikat ausgestellt wird
> - Bereitstellung weiterer Gateway-Maschinen
> - Sponsoring zum Einkauf von Hardware, zusätzlicher Kapazitäten
>
> Im Wiki gibt es eine rudimentäre Seite [2], die noch mit Leben gefüllt werden muss.
> Sie beinhaltet hauptsächlich, den o.g. dargestellten technischen Rahmen und wird
> wohl in Zukunft die aktuellen Fakten enthalten.
>
>
> Was denkt ihr über diese Lösung?
>
>
> Andre, Holger, Kaya, Malte, Perry, Philipp, Sven1.0, Sven2.0
>
>
> [1] - https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router; hier dem Router-modell
> folgen, dann auf “Auch alte Releases und Development-Branches anzeigen” klicken und
> dann im Branch “SAm0815_uplink” umsehen
> [2] - https://wiki.freifunk.net/Berlin:Community-Tunnel
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20170829/90f7ad30/attachment.html>

Mehr Informationen über die Mailingliste Berlin