[Berlin-wireless] Tunnelalternative der Community - Zertifikat zeitliche Gültigkeit in versch. Längen oder kein Zertifikat

Daniel Molenda d-molenda at gmx.de
So Sep 10 12:58:46 CEST 2017


Hallo!

Erst einmal ein verspätetes Danke! für die Schaffung des Community-VPN. 
Für mich ist es ein Instrument, guten Gewissens Freifunk anbieten und 
empfehlen zu können.

Ich tendiere zu a) (2 Jahre), weil ich es als durchaus zumutbar 
empfinde, jedes andere Jahr ein neues Zertifikat zu beantragen. Ich sehe 
die Schwierigkeit für Menschen, die für eine Aktualisierung aufs Land zu 
betreuten Anschlüssen fahren müssten. Vorschläge hierfür: Alle zwei 
Jahre Bekannte zu besuchen, ist doch kein schlechtes Anliegen - falls 
doch, wäre dies die Gelegenheit, zumindest diese administrative Aufgabe 
zu deligieren an den/die Anschlussinhaber/in.

Ein Kontrollproblem sehe ich ebenfalls nicht - wir arbeiten mit viel 
Vertrauen gemeinsam an einem Projekt. Natürlich kann Vertrauen immer 
missbraucht werden, doch ich sehe derzeit keinen Anlass, dies anzunehmen.

Stichwort Vertrauen: Ich hätte ein sehr schlechtes Gefühl, ganz ohne 
Zertifikat den FF-Anschluss zu betreiben. Ich vertraue der neuen 
Gesetzeslage (noch) nicht und würde - aufgrund schlechter und teurer 
Erfahrungen - nur sehr ungern meinen Anschluss ohne VPN-Tunnel teilen.

Schönen Sonntag!
Daniel

Am 10.09.2017 um 02:42 schrieb Holger:
> Hej community,
> 
> Übertreibung macht anschaulich, im Moment finde ich, klingt es sehr nach 
> Einzelmeinungen! ;)
> 
> Da es uns alle angeht, fände ich es schön, noch ein wenig mehr 
> Diskussionsbeiträge zu lesen.
> 
> Um mal die Positionen nach meiner Sicht zusammenzufassen:
> 
> a) rel. kurze Zertifikat-Gültigkeit 1-2 Jahre
> 
> b) Zertifikat-Gültigkeit 10 Jahre
> 
> c) Zertifikat-Gültigkeit unbegrenzt aka kein Zertifikat
> 
> a) kann man als Kontrolle über irgendwas sehen oder als Ermunterung, 
> sich ab und an mit "dem" Freifunk-Router auseinanderzusetzen, weil z.B. 
> die firmware krass veraltet ist und sich darin verschiedene 
> security-flaws wie in Kathleen 0.1.2 und älter befinden.
> 
> Die "Kontrolle" sehe ich nicht, ist entweder beliebig oder mit 
> geheimdienstlichem Aufwand, beides nicht erstrebenswert also könnte es 
> weiter "automatisiert" laufen.
> 
> b) Sorglos-Zertifikat, läuft! Hab bei Freunden (...) in der Uckermark 
> nen Freifunk-Router installiert und bin gering motiviert, alle Nese (1-2 
> Jahre) hinzufahren, und das Zertifikat zu erneuern.
> 
> c) kein Zertifikat, auch ne kewle Lösung, vor allem, wenn in DE kurz 
> nach Nordkorea 2028 endlich die Störerhaftung abgeschafft wird.
> 
> Wie gesagt, etwas überspitzt aber ich hoffe, es trifft ne grobe Linie.
> 
> Was meint Ihr?
> 
> cheerio Holger
> 
> Am 31.08.2017 um 12:34 schrieb Philipp Borgers:
>> die Mail ist ein Vorschlag zur Diskussion wie eine 
>> Tunnel-Infrastruktur aussehen
>> kann, die von der Community betrieben wird. Es gibt noch einige offene 
>> Punkte
>> und Baustellen.
>>
>> Langfristig sollten wir die Zertifikate ganz abschaffen. Wir sind eine 
>> der
>> wenigen Communities, die Zertifikate herausgibt um die Tunnelnutzung zu
>> "kontrollieren". Unser Prozess der Zertifikatsvergabe hat nichts in einer
>> offenen Infrastruktur an der alle teilhaben sollen zu suchen. Wir 
>> entscheiden
>> auf Basis einer ID und E-Mail, ob ein Nutzer in Zukunft ein illegitime 
>> Nutzung
>> durchführt und schüchtern dadurch neue Nutzer_innen ein bzw. zeigen ein
>> Machtverhältnis zwischen Tunnel-Betreibern und Tunnel-Nutzern auf, das 
>> es so
>> nicht geben sollte oder nur im äußersten Notfall.
>>
>> Alle Tunnellösungen bieten uns die Möglichkeit im Nachhinein einen 
>> Tunnel-Nutzer
>> auf Basis der IP oder anderer Merkmale zu blockieren. Wir sollten den
>> Nutzerinnen erstmal vertrauen und dann ggf. Missbrauch verhindern.
>>
>> Im Übrigen ist uns kein wesentlicher Missbrauch der 
>> Tunnelinfrastruktur bekannt.
>>
>> Bis zum Übergang zu einer neuen Tunnel-Technologie, sollten wir 
>> Zertifikate mit
>> einer langen Lebensdauer herausgeben. Ich würde vorschlagen, dass wir 
>> die 10
>> Jahre beibehalten, die zur Zeit konfiguriert sind. Wir haben kein 
>> Interesse daran
>> Tunnel-Nutzer_innen unnötige Arbeit aufzuerlegen.
>>
>> Eine automatische Erneuerung von Zertifikaten ist sicher denkbar, aber 
>> mit
>> unnötigem Aufwand verbunden.
>>
>> Langfristig sollten für jeden Router ein neues Zertifikat beantragt 
>> werden, da
>> die alten Zertifikate des VPN03s irgendwann ihre Gültigkeit verlieren 
>> werden
>> bzw. nicht mehr von den neuen Server akzeptiert werden.
>>
>> Da wir uns noch in der Diskussion befinden, würde ich vorschlagen, 
>> dass man sich
>> erst die Mühe macht neue Zertifikate zu beantragen, wenn alle offenen 
>> Fragen
>> geklärt sind.
>>
>> Es sollte eigentlich reichen den Wizard nochmal auszuführen und bei den
>> Zertifikaten, die neuen zu wählen. Im Nachgang muss dann noch die Url 
>> zu den
>> Gateways in der openvpn-Konfiguration angepasst werden.
>>
>> Gruß Philipp
>>
>> On Tue, Aug 29, 2017 at 09:03:30AM +0200, hefrimu wrote:
>>> Hallo Ihr fleissigen Programmierer,
>>>
>>> Hallo Sven,
>>>
>>> vielen Dank für Eure fleissige Arbeit an der neuen Firmware und Euer 
>>> Denken
>>> auch an die Knotenbetreiber, die ihren Knoten ohne VPN lieber nicht
>>> betreiben möchten. Für mich klingt Euer Entwurf nach einem sehr 
>>> brauchbaren
>>> Plan. Sobald es eine Installationsroutine gibt, die auch für nicht mit
>>> Programmierkenntnissen gesegnete Leute nutzbar ist, spiele ich das 
>>> gerne mal
>>> zum Test auf (Ich hab noch einen TP-Link WR1043ND rumzuliegen, den 
>>> ich noch
>>> in Betrieb nehmen möchte) .
>>>
>>> Ich überlege allerdings, ist in wie weit die 1x jährliche Erneuerung der
>>> Zertifikate zu ungewolltem Mehraufwand auf der Seite der 
>>> Knotenbetreiber als
>>> auch auf der Seite der Zertifizierungsstelle führen würde. Ich kann mir
>>> vorstellen, daß es immer nach Ablauf des Jahres unnötige Rückfragen 
>>> gibt,
>>> weil der "gemeine" Knotenbetreiber dann schon wieder vergessen hat, 
>>> daß er
>>> was machen muß und nach dem Jahr auch schon wieder vergessen hat, was 
>>> er wie
>>> machen muß. Eleganter wäre eine Lösung, die die Zertifikate von 
>>> Knoten, die
>>> einmal manuell eingerichtet wurden und online sind automatisch vor dem
>>> Ablauf erneuert. Knoten, die dann nicht (mehr) online sind, kann man ja
>>> "ausknipsen", um nicht sinnlos Zertifikate für nicht mehr vorhandene 
>>> Knoten
>>> bereitstellen zu müssen. Ist soetwas technisch realisierbar und als 
>>> sicher
>>> zu betrachten? Ist soetwas mit dem Freifunk-Gedanken vereinbar? Ich 
>>> meine,
>>> daß es vielleicht nicht jeder mag oder es grundsätzlich Eurer Phiosophie
>>> widerspricht, wenn auf einen Knoten überhaupt irgend etwas automatisch
>>> hochgeladen wird - und sei es auch nur ein erneuertes Zertifikat. Im 
>>> Moment
>>> kann ich mir aber auch nicht vorstellen, wie das mit dem Link zur 
>>> Erneuerung
>>> funktionieren soll. Vielleicht ist es ja einfacher als es sich anhört.
>>>
> ...
>>> Am 28.08.2017 um 09:39 schrieb Sven Roederer:
>>>> Hallo Freifunkas,
>>>>
>>>> die Störerhaftung ist inzwischen auf einem Weg abgeschafft zu 
>>>> werden. Noch
>>>> ist aber nicht klar, ob das auch wirklich jede Abmahnkanzlei 
>>>> begriffen hat.
>>>> Aus diesem Grund sind viele FreifunkerInnen noch skeptisch, ihren 
>>>> Freifunk-
>>>> Datenstrom direkt über den eigenen Anschluss auszuleiten. Um dem Wunsch
>>>> nachzukommen, nicht zwangsläufig selbst auszuleiten, haben sich ein 
>>>> paar
>>>> Mitglieder der Berliner Community in den letzten Wochen 
>>>> zusammengesetzt und
>>>> in überschaubarer Zeit eine Alternative zum bekannten VPN03 geschaffen.
>>>>
>>>> Die wesentlichen Fakten möchten wir vermitteln und das Ergebnis der 
>>>> Community
>>>> übergeben - zum weiteren Betrieb und Ausbau.
>>>>
>>>> Der neue Community-Tunnel heißt “Tunnel Berlin” und ähnelt in vielen 
>>>> Punkten
>>>> der VPN03-Lösung. Das Angebot richtet sich an Betreiber von 
>>>> Freifunk-Routern
>>>> der Berliner-Community und Communities mit abgeleiteter Firmware 
>>>> (Potsdam,
>>>> Cottbus, Grünheide, Eberswalde, ...)
>>>> Der B2Social e.V. - ein Verein, der der Berliner Community nahe steht -
>>>> unterstützt unsere Aktivitäten und steht uns als Vertragspartner für 
>>>> die
>>>> Servermiete, Spendengelder und ähnliches beiseite.
>>>>
>>>> Wir haben folgendes vorgeschlagen und umgesetzt:
>>>> - Tunneltechnologie: OpenVPN, bis auf weiteres
>>>> - Authentifizierung via X.509-Zertifikat
>>>>     - Beantragung unter tunnel.berlin.freifunk.net
>>>>     - Gültigkeit des Zertifikates: 1 Jahr
>>>>       - 30 Tage und dann nochmal 7 Tage vor Ablauf wird eine 
>>>> Benachrichtigung an
>>>>         die hinterlegte Kontaktadresse gesendet, mit Link zur 
>>>> Verlängerung
>>>>       - Key-grösse: 2048 bits RSA, damit kann OpenVPN-mbedTLS 
>>>> genutzt werden
>>>> - die Bandbreite pro Tunnelverbindung ist auf 10 MBit/s begrenzt, 
>>>> was für den
>>>>     üblichen Router keine Einschränkung darstellt
>>>>     - da es im Moment auch nur einen Gateway-server gibt, kann so 
>>>> einer Überlastung
>>>>       entgegengewirkt werden
>>>> - es gibt eine angepasste Firmware, die diese Tunnellösung 
>>>> unterstützt [1]
>>>>     - alternativ wird auch Nutzung ohne Tunnel und VPN03 unterstützt
>>>>
>>>>
>>>> Für den Betrieb ist die Unterstützung der Community in folgenden 
>>>> Bereichen
>>>> erforderlich:
>>>> - Administration der Server (Webseite und Tunnel-GWs)
>>>> - Bearbeitung der Nutzungsanträge
>>>>     - hier sollte noch abgestimmt werden, unter welchen 
>>>> Voraussetzungen ein
>>>>       Zertifikat ausgestellt wird
>>>> - Bereitstellung weiterer Gateway-Maschinen
>>>> - Sponsoring zum Einkauf von Hardware, zusätzlicher Kapazitäten
>>>>
>>>> Im Wiki gibt es eine rudimentäre Seite [2], die noch mit Leben 
>>>> gefüllt werden muss.
>>>> Sie beinhaltet hauptsächlich, den o.g. dargestellten technischen 
>>>> Rahmen und wird
>>>> wohl in Zukunft die aktuellen Fakten enthalten.
>>>>
>>>>
>>>> Was denkt ihr über diese Lösung?
>>>>
>>>>
>>>> Andre, Holger, Kaya, Malte, Perry, Philipp, Sven1.0, Sven2.0
>>>>
>>>>
>>>> [1] - https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router; hier 
>>>> dem Router-modell
>>>> folgen, dann auf “Auch alte Releases und Development-Branches 
>>>> anzeigen” klicken und
>>>> dann im Branch “SAm0815_uplink” umsehen
>>>> [2] - https://wiki.freifunk.net/Berlin:Community-Tunnel
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv



Mehr Informationen über die Mailingliste Berlin