<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p>Hallo Ihr fleissigen Programmierer,</p>

    <p>Hallo Sven,<br>

    </p>

    <p>vielen Dank für Eure fleissige Arbeit an der neuen Firmware und

      Euer Denken auch an die Knotenbetreiber, die ihren Knoten ohne VPN

      lieber nicht betreiben möchten. Für mich klingt Euer Entwurf nach

      einem sehr brauchbaren Plan. Sobald es eine Installationsroutine

      gibt, die auch für nicht mit Programmierkenntnissen gesegnete

      Leute nutzbar ist, spiele ich das gerne mal zum Test auf (Ich hab

      noch einen TP-Link WR1043ND rumzuliegen, den ich noch in Betrieb

      nehmen möchte) .</p>

    <p>Ich überlege allerdings, ist in wie weit die 1x jährliche

      Erneuerung der Zertifikate zu ungewolltem Mehraufwand auf der

      Seite der Knotenbetreiber als auch auf der Seite der

      Zertifizierungsstelle führen würde. Ich kann mir vorstellen, daß

      es immer nach Ablauf des Jahres unnötige Rückfragen gibt, weil der

      "gemeine" Knotenbetreiber dann schon wieder vergessen hat, daß er

      was machen muß und nach dem Jahr auch schon wieder vergessen hat,

      was er wie machen muß. Eleganter wäre eine Lösung, die die

      Zertifikate von Knoten, die einmal manuell eingerichtet wurden und

      online sind automatisch vor dem Ablauf erneuert. Knoten, die dann

      nicht (mehr) online sind, kann man ja "ausknipsen", um nicht

      sinnlos Zertifikate für nicht mehr vorhandene Knoten bereitstellen

      zu müssen. Ist soetwas technisch realisierbar und als sicher zu

      betrachten? Ist soetwas mit dem Freifunk-Gedanken vereinbar? Ich

      meine, daß es vielleicht nicht jeder mag oder es grundsätzlich

      Eurer Phiosophie widerspricht, wenn auf einen Knoten überhaupt

      irgend etwas automatisch hochgeladen wird - und sei es auch nur

      ein erneuertes Zertifikat. Im Moment kann ich mir aber auch nicht

      vorstellen, wie das mit dem Link zur Erneuerung funktionieren

      soll. Vielleicht ist es ja einfacher als es sich anhört.</p>

    <p><br>

    </p>

    <p>Zu den unten stehenden Links habe ich noch folgende Fragen:</p>

    <p>1.) Ich muß offensichtlich für den neuen Community VPN für jeden

      Knoten wieder ein neues Zertifikat anfordern. Das hab ich eben

      über [1] getan. Seltsamerweise bekomme ich dann vom VPN03 eine

      Eingangsbestätigung. Ist das richtig? Vom VPN03 hab ich doch

      bereits Zertifikate für meine(n) Knoten. Müßte ich nicht vom neuen

      Community VPN ein Zertifikat bekommen?</p>

    <p>2.) Ich erinnere mich irgendwo gelesen zu haben, daß man die FW

      für Erstinstallation verwenden muß (also nicht update), auch wenn

      man bereits eine Freifunk-FW (Kathleen basiert) auf dem Router

      hat? Ist das richtig? Das wäre in meinem Fall dann <b>SAm0815_uplink</b>

      (<a

href="https://buildbot.berlin.freifunk.net/builders/ar71xx-generic/builds/418">418</a>)

      vom 2017-08-25 05:00:38vpn03 (<a

        href="https://wiki.freifunk.net/Berlin:Firmware#Image-Typen">?</a>)

      - <a

href="http://buildbot.berlin.freifunk.net/buildbot/unstable/ar71xx-generic/418/vpn03/freifunk-berlin-1.0.0-sam0815-ffuplink-11a1bc0-tl-wr1043nd-v1-factory.bin">Erstinstallation</a>???</p>

    <p>3.) Da ich weiter unten in der Liste noch einen <b>lede-wizard</b>

      (<a

href="https://buildbot.berlin.freifunk.net/builders/ar71xx-generic/builds/410">410</a>)

      vom 2017-08-21 10:54:19default-legacy (<a

        href="https://wiki.freifunk.net/Berlin:Firmware#Image-Typen">?</a>)

      - <a

href="http://buildbot.berlin.freifunk.net/buildbot/unstable/ar71xx-generic/410/default-legacy/freifunk-berlin-1.0.0-alpha-d92a2c0-tl-wr1043nd-v1-factory.bin">Erstinstallation</a>,

      sehe, vermute ich, daß der <b>SAm0815_uplink</b> noch ohne Wizard

      auskommt und mich somit vermutlich noch vor erhöhte Anforderungen

      stellt und detaillierte Installationskenntnisse abverlangt. Ist

      dem so? </p>

    <p>Viele Grüße<br>

      hefrimu<br>

    </p>

    <div class="moz-cite-prefix">Am 28.08.2017 um 09:39 schrieb Sven

      Roederer:<br>

    </div>

    <blockquote type="cite"

      cite="mid:18e1c78e-410b-5a3d-80d9-1929453ed6e7@it-solutions.geroedel.de">

      <pre wrap="">Hallo Freifunkas,

die Störerhaftung ist inzwischen auf einem Weg abgeschafft zu werden. Noch

ist aber nicht klar, ob das auch wirklich jede Abmahnkanzlei begriffen hat.

Aus diesem Grund sind viele FreifunkerInnen noch skeptisch, ihren Freifunk-

Datenstrom direkt über den eigenen Anschluss auszuleiten. Um dem Wunsch

nachzukommen, nicht zwangsläufig selbst auszuleiten, haben sich ein paar

Mitglieder der Berliner Community in den letzten Wochen zusammengesetzt und

in überschaubarer Zeit eine Alternative zum bekannten VPN03 geschaffen.

Die wesentlichen Fakten möchten wir vermitteln und das Ergebnis der Community

übergeben - zum weiteren Betrieb und Ausbau.

Der neue Community-Tunnel heißt “Tunnel Berlin” und ähnelt in vielen Punkten

der VPN03-Lösung. Das Angebot richtet sich an Betreiber von Freifunk-Routern

der Berliner-Community und Communities mit abgeleiteter Firmware (Potsdam,

Cottbus, Grünheide, Eberswalde, ...)

Der B2Social e.V. - ein Verein, der der Berliner Community nahe steht -

unterstützt unsere Aktivitäten und steht uns als Vertragspartner für die

Servermiete, Spendengelder und ähnliches beiseite.

Wir haben folgendes vorgeschlagen und umgesetzt:

- Tunneltechnologie: OpenVPN, bis auf weiteres

- Authentifizierung via X.509-Zertifikat

  - Beantragung unter tunnel.berlin.freifunk.net

  - Gültigkeit des Zertifikates: 1 Jahr

    - 30 Tage und dann nochmal 7 Tage vor Ablauf wird eine Benachrichtigung an

      die hinterlegte Kontaktadresse gesendet, mit Link zur Verlängerung

    - Key-grösse: 2048 bits RSA, damit kann OpenVPN-mbedTLS genutzt werden

- die Bandbreite pro Tunnelverbindung ist auf 10 MBit/s begrenzt, was für den

  üblichen Router keine Einschränkung darstellt

  - da es im Moment auch nur einen Gateway-server gibt, kann so einer Überlastung

    entgegengewirkt werden

- es gibt eine angepasste Firmware, die diese Tunnellösung unterstützt [1]

  - alternativ wird auch Nutzung ohne Tunnel und VPN03 unterstützt

Für den Betrieb ist die Unterstützung der Community in folgenden Bereichen

erforderlich:

- Administration der Server (Webseite und Tunnel-GWs)

- Bearbeitung der Nutzungsanträge

  - hier sollte noch abgestimmt werden, unter welchen Voraussetzungen ein

    Zertifikat ausgestellt wird

- Bereitstellung weiterer Gateway-Maschinen

- Sponsoring zum Einkauf von Hardware, zusätzlicher Kapazitäten

Im Wiki gibt es eine rudimentäre Seite [2], die noch mit Leben gefüllt werden muss.

Sie beinhaltet hauptsächlich, den o.g. dargestellten technischen Rahmen und wird

wohl in Zukunft die aktuellen Fakten enthalten.

Was denkt ihr über diese Lösung?

Andre, Holger, Kaya, Malte, Perry, Philipp, Sven1.0, Sven2.0

[1] - <a class="moz-txt-link-freetext" href="https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router">https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router</a>; hier dem Router-modell

folgen, dann auf “Auch alte Releases und Development-Branches anzeigen” klicken und

dann im Branch “SAm0815_uplink” umsehen

[2] - <a class="moz-txt-link-freetext" href="https://wiki.freifunk.net/Berlin:Community-Tunnel">https://wiki.freifunk.net/Berlin:Community-Tunnel</a>

_______________________________________________

Berlin mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Berlin@berlin.freifunk.net">Berlin@berlin.freifunk.net</a>

<a class="moz-txt-link-freetext" href="http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin">http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin</a>

Diese Mailingliste besitzt ein ffentlich einsehbares Archiv</pre>

    </blockquote>

    <br>

  </body>

</html>