[Berlin-wireless] Inbound-Filter vs. PPA

[Martin Hübner]

> On 7/28/21 3:14 PM, Philipp Borgers wrote:
>
>> Was mich auch leicht stört, dass manche Einstellungen jetzt einfach ausgerollt
>> wurden ohne sie vorher zu diskutieren. Die Reihenfolge sollte anders ein.
> Ich hab die HDS-Config gemacht und tatsächlich wusste ich nicht, dass
> hier inbound beim DHCP nicht gefiltert wird.
> Das aber ganz schnell durch nen flag wieder abwählbar indem hier inbound
> auf false gesetzt wird. Also ja ich hätte natürlich dann vorher etwas
> gesagt, aber ich wusste tatsächlich nicht, dass leute hier irgendwas
> dagegen haben und das das so eine große Sache ist. Für mich ist es
> anders herum aber auch eine mega große Sache dies abzuschaten... ;)
>
> Es ist jetzt aber auch nicht irgendwie im Hinterzimmer passiert, da
> alles einfach public im Git dokumentiert ist. Man kann sich dort einfach
> den log angucken und sehen was passiert, und wenn etwas nicht gefällt
> das entsprechend bemängeln. Finde das eigentlich ne ganze gute Sache die
> bei anderen opensource projekten ja auch funktioniert? Entsprechend kann
> man auch Sachen einfach wieder reverten.
>
Der Punkt ist hier nicht, dass etwas im "Hinterzimmer" passierte,
sondern eher, dass plötzlich gefiltert wird, obwohl der
Community-Konsens bisher "nicht Filtern" lautete.


> Ich sehe es ein, so ein breaking change in der freifunk architektur
> besser kommunizieren hätte zu müssen. Ich weiß allerdings tatsächlich
> nicht, wie wir hier auf nen guten Nenner kommen können. Ich kann es mir
> nicht vorstellen, standardmäßig die Leute in ein unsichereres Netz zu
> packen, bzw. den standorten zu raten, den inbound traffic nicht zu
> filtern oder client isolation nicht zu betreiben.

Deine Aussage, dass berlin.freifunk.net unsicher sei (was übrigens nicht
klar definiert ist, was ist schon "sicher"?) impliziert, dass das andere
Netz sicher sei. Das ist aber auch nicht der Fall.
Freifunk ist einfach kein Heim-WLAN und sollte auch nicht so behandelt
werden. Ich sage jedem, dass er/sie Freifunk wie einen öffentlichen
Hotspot betrachten soll: potentiell unsicher.

Es wird niemals, nirgendwo, Sicherheit geben. Gerade wir, die wir
Verteilte Systeme und Netzwerke aufbauen wissen das am besten. Die
Offenheit vom Freifunknetz aufzugeben, nur um ein (subjektives) Gefühl
von Sicherheit zu befriedigen finde ich deshalb nicht richtig.

Bei einem Wohnprojekt hier in Brandenburg haben wir das stattdessen so
gelöst, dass es für sensible Bürosachen ein eigenes, verschlüsseltes
WLAN gibt. Dieser Ansatz gefällt mir besser. Denn Freifunk war und
sollte auch weiterhin offen bleiben.

> Der Standard ist keine Isolation und keine Filterung auf allen
> Interfaces. Das wurde im Ermessen von Nick und mir explizit auf dem DHCP
> network aktiviert.

Das ist super. Das ist ja genau dass, was ich vorgeschlagen hatte.
Bleibt eigentlich nur noch zu klären, wie man mit den großen
BBB-Standorten (Emma, HdS, Sama, etc) verfährt. Ich denke, auch hier
sollte es diese Features nicht geben.

Für Hausprojekte ist dieser opt-in eine gute Lösung.

Viele Grüße
Martin