[Berlin-wireless] puppets für community tunnel - wo sind die Puppenspieler?

Harald Stürzebecher haralds at metafly.info
Mo Apr 2 13:40:03 CEST 2018 

Hallo Sven

Am 1. April 2018 um 20:50 schrieb Sven Röllig
<roellig at stiftung-freie-software.org>:
> Hallo,
>
> was für einen Sinn soll das Provisonieren mir Puppet machen?
>
> Sollen da Hunderte Maschinen mit Aufgesetzt werden?
>
> Reicht es nicht ein GIT Repo zu haben wo die Konfigurationen
> als Templates liegen?
>
> Soviel muss an der Konfiguration nun doch nicht geschraubt werden.

VPN03 waren AFAICT ungefähr (a-g?) sieben Maschinen. Für den
Community-Tunnel sehe ich mittelfristig ähnliche Anforderungen - zwar
weniger User, aber dafür mehr Traffic je User. Das wird sich eventuell
ausgleichen, mit geringerem Bedarf rechne ich jedenfalls nicht. Bei
der Anzahl von Geräten könnte sich IMHO eine zuverlässige
Automatisierung schon lohnen, z.B. um "mal eben" einen weiteren Server
einzurichten. Oder um eine einheitliche und dokumentierte
Konfiguration aller Instanzen sicherzustellen. Wenn hier und da mal
ein Admin über ssh herumbastelt, läuft das AFAICT sehr schnell
auseinander.

> Die Hetzner Maschine läuft wieder! Ich hab festgestellt das die in
> anderen Communitys ebenfalls mit Hetzner ExitNodes Probleme
> haben weil über die Switche und Router der Traffic erfasst wird.
>
> Es gibt einen Hack, den ich nicht nicht ganz verstanden habe,
> bei dem die FW Dynamisch die Hetzner AS Systeme Filtert und alles
> was dann nicht Hetzner AS ist verwirft und somit auch Portscanns abfängt.

Gut, dass sich Hetzner nur über Port-Scans auf eigene Adressen
Gedanken macht. Wäre für den Freifunk ärgerlich, wenn sie auch den
Rest des Internets so "schützen" würden.

IMHO ist das aber für den üblichen Einsatzfall der Rechner im Hosting
eine sinnvolle Maßnahme. Wenn z.B. ein Rechner, auf dem normalerweise
nur ein Web- oder Mailserver läuft, anfängt, Portscans zu machen,
deutet dass schon darauf hin, dass mit der Maschine etwas nicht
stimmt. Welchen triftigen Grund sollte der Admin des Rechners haben,
großflächig Ports zu scannen? Es ist also vermutlich jemand, der
unbefugt auf der Maschine ist. Da ist Sperren die sichere Lösung. In
den AGB von Hetzner steht bestimmt[1] auch was zu Portscans.

Für den Sonderfall "VPN-Server für öffentliches WLAN" passt das
natürlich nicht. Das ist aber auch - was den potentiellen juristischen
Aufwand für Hetzner angeht - AFAICT kurz vor dem Tor-Exit-Node.

> Ich hab im übrigen auch festgestellt das OpenVPN auf einem WDR4900
> über in einem Testnetz maximal 23 bis 35 MBit macht.
>
> Einen IPSec Tunnel macht bei gleichen Testbedingung ca. 73 bis 85 MBit.
> Vielleicht ist es Sinnvoll einen Paradigmenwechsel gleich mitzumachen
> und OpenVPN zugunsten der Geschwindigkeit und weniger Ressourcenverbrauch
> den Rücken zu kehren.

Interessant. Könnte sicherlich auch erstmal parallel zu OpenVPN
angeboten werden.
Läuft das auf allen üblichen Verdächtigen (IPv6-only, DS-Lite,
Carrier-Nat, Mobilfunk mit privaten IPv4, usw.) ohne große Klimmzüge?
Oder ist das jetzt eher eine High-Performance-Lösung, die nur auf
"Standard-Anschlüssen" läuft?
IIRC gab es in der Vergangenheit schon mal Versuche mit anderen
Tunnel-Lösungen, aber Berlin ist bei OpenVPN geblieben. In 2016 z.B.
wurde AFAICT[3] mal L2TP+Tunneldigger diskutiert. Was ist aus den
Experimenten geworden?


VG
Harald

[1] https://www.hetzner.de/rechtliches/root-server/
[2] https://wiki.freifunk.net/Fastd
[3] https://lists.berlin.freifunk.net/pipermail/berlin/2016-February/032051.html

Mehr Informationen über die Mailingliste Berlin