[Berlin-wireless] falter-Konfiguration nur per WAN?

[Nick]

On 2/6/22 17:08, Carsten Schiefner wrote:

> Meine Frage is nunt, wie ich dem Ding jetzt beibringe, dass es mit
> seinem Webserver nur auf der WAN-Seite  - die, die mit meinem LAN
> verbunden ist - lauscht.
Vorweg wichtig ist es, die Software aktuell zu halten und gute 
Passwörter zu benutzen bzw. am besten nur ssh-keys. Das schützt dich vor 
root-access.

Lustigerweise haben wir uns heute erst darüber unterhalten, wie wir die 
Tunnel Sachen machen. Eine kleine Gruppe hat letztens an einer WireGuard 
Implementierung gearbeitet, die genau das Problem angehen. Die bisherige 
Tunneldigger-Lösung setzt auf verschiedene routing table lookups und 
unreachable rules. Die kannst du mit "ip rule" sehen. Die entsprechenden 
Regeln werden automatisch per hotplug script gesetzt.

Die andere Gruppe, zu der ich Mitgehöre, hat einen WireGuard Tunnel 
implementiert. Wir setzen daruf, dass WireGuard das Umherschieben in 
verschiedenen Linux Namespaces unterstützt. Wir starten das 
"wan-interface" in einem seperaten Network-Namespace, bauen einen 
WireGuard-Tunnel auf und schieben ihn dann in den Default Namespace 
zurück. Somit sieht kein einziger Prozess auf dem Freifunk-Router dein 
Heimnetzwerk, sondern alle nur den Tunnel-Endpoint. Damit laufen die 
ganzen Webserver-Komponenten nicht auf deinem Heimnetzwerk, und das 
Freifunk sieht auch nicht dein Heimnetz. Wie ich finde, eine sehr 
saubere Trennung zwischen Heimnetz und Freifunk.
Das ist alles noch in Entwicklung, und manche Leute sind dagegen und 
wollen lieber weiter Tunnel-Digger benutzen, weswegen ich nicht weiß, ob 
das in Falter standard wird. Bis jetzt laufen schon ein paar Nodes mit 
diesem Setup, das sind aber nicht die Standard Falter Nodes. Ich denke 
aber, dass das genau das ist, was du willst?

Viele Grüße
Nick