Administration und Monitoring von entfernten Freifunk-Knoten

Welche Möglichkeiten benutzt ihr um Freifunk-Knoten zu administrieren, wenn der Netzwerkstecker erstmal gezogen ist und der Router in der freien Wildbahn?

Da ich den Gastzugang der Fritz!Box für den Uplink benutze, komme ich ja jetzt schon nicht mehr einfach so aus meinem normalen Heimnetzwerk an die Kiste - zu einem Knoten in einem Ladenlokal müsste man da auch jedesmal mit dem Laptop hinfahren.

  1. Ich richte einen SSH Zugang ein
  2. Speichere mir privat Router Namen und SSH Zugang
  3. Bei Bedarf hole ich mir die IPv6 von dem Router aus dieser Liste und logge mich per SSH ein: http://map.freifunk-ruhrgebiet.de/alfred/alfred.html
3 Likes

Oh, so einfach. :smiley:

1 Like

Wie verkauft man den Leuten dann, dass man Zugriff auf ihr Netzwerk, Freigaben usw. hat? Bis jetzt hatten da Leute die wissen was ein SSH Key ist Bedenken, wenn sie den auf einem Gerät in ihrem Netzwerk gefunden haben.

LG JJX

@jjx Es geht schlicht nicht anders, wenn einzelne Router an kritischen Stellen stehen. Also „SPF“: Wo deren Ausfall gleich alles dunkel werden lässt mangel Redundanz. Denn 100% stabil ist das Gluon und die Hardware nicht.
Und wenn dann immer wieder Fragen kommen „warum ging es denn gerade nicht“, dann bleibt einem nichts weiter übrig als nachzuschauen…

Was man tun kann:
a) Den FF-Router in eine DMZ / an ein Gastlan hängen, welches vom restlichen Netz separiert ist und das evtl. mit reduziertem Portbereich arbeitet (53/UDP, 80/TCP, 10000/UDP sollten reichen)
b) man lässt den „Kunden“ das ssh-Passwort setzen und auf einen Zettel notieren. Diesen dann per Klebeband (verschlossen) unter den Router. Dann kann man sich später immernoch („wenn’s denn klemmt und nach Hilfe gerufen wird“) darüber unterhalten, dass er jetzt das PW vom Zettel herausgibt… und evtl selbst hinterher das PW wieder ändert und hofft, dass der Remote-Admin nicht in der Zwischenzeit seinen ssh-Key plus drei weitere Backdoors eingebaut hat… was er ja vor Auslieferung des FF-Routers auch hätte tun können)

Da ist wieder das Problem mit dem Datenbankadmin, der nicht wissen soll, was in der Datenbank steht. :wink:

Die Vorschläge von @adorfer mit dem „Einsperren“ und Keyübergabe finde ich einen guten Kompromiss. Viel mehr kann man leider nicht machen.

1 Like

Ich finde das eine interessante Problemstellung, die wir in unserer Community auch noch nicht entschieden haben.

Bei von mir „privat“ aufgestellten Nodes habe ich meist kein Problem damit, meinen SSH-Key einzutragen und den Leuten das auch zu sagen (selbstverständlich immer!). Das Vertrauen ist da vorhanden, an die Nodes käme ich aber meist auch physikalisch problemlos dran.

Anders sieht’s bei Nodes aus, die bei fremden Anschlussspendern (z.B. Gastronomen) aufgestellt und prinzipiell von der ganzen Community betreut werden. Hier ist der physikalische Zugang schwieriger, SSH würde sich also lohnen. Gleichzeitig ist aber das „sichere“ Aufstellen in einem Gäste-LAN schwieriger und das Vertrauen in Freifunker nicht immer vorhanden. Das verstehe ich, ich mag’s auch nicht, dass Unitymedia meine Fritzbox nach belieben fernkonfigurieren kann.

In solchen Nodes möchte ich keinesfalls meinen persönlichen SSH-Key hinterlegen, sonst muss ich mich hinterher rechtfertigen, wenn im Netz des Anschlussspenders irgendetwas passiert (z.B. Kassensystem gehackt, …).

Passwörter halte ich prinzipiell für nicht wünschenswert weil der Grad der Sicherheit doch arg vom gewählten Passwort abhängt.

Ich habe schon überlegt, für solche Knoten z.B. einen SSH-Key auf einer Smartcard zu nutzen. Dieser kann von der Smartcard nicht runterkopiert werden, ein Zugang ist nur mit der/dem richtigen Smartcard bzw. USB-Token in der Hand möglich. Dieses könnte man entsprechend wegsperren und nur nach dem vier-augen Prinzip mit zwei Leuten vor dem Rechner benutzen, um z.B. klemmende Firmwareupdates zu beheben.

Nachteil auch hier ist, dass ein böswilliger Admin mit dem Zugang in der Hand natürlich beliebige weitere Zugänge einrichten kann. Man könnte das irgendwie über Alfred monitoren („Dieser Node hat x SSH-Keys aktiviert“), was aber auch wieder potentiellen Angreifern in die Hände spielt.

Ich habe eigentlich auch ungern einen Zugriff auf fremde Netzwerke, aber grade wenn von mir persönlich eingerichtete Geräte hoch oben auf dem Masten sitzen, ist das schon was feines, wenn man aus der Ferne mal ebend drauf zugreifen kann…

Bei manch anderen Knoten, die nicht von mir kommen, ist es wiederum eine Vertrauenskette. Die Leute, die Freifunk bewerben und potentielle Betreiber überzeugt haben, sind hier jedenfalls, nicht technikinteressiert…sodass man wenig Zeit für den Aufwand betreiben möchte und kann. Zumindest gebe ich demjenigen noch Bescheid, dass ich die Fernwartung übernehme (die feine englische Art wäre es sonst auch nicht…)

1 Like

Hallo,

wenn die Leute wüssten, wer alles Zugriff auf ihre internes Netzwerk hat…
Das fängt schon beim Browser an.

Also:

  • Ruhig einen SSH Zugang für Notfälle aktiveren,
  • Passwort evtl. vom Eigentümer verwalten lassen und
  • ruhig und sachlich kommunizeiren.

Gruß Jörg

1 Like

Eine Frage noch - inzwischen habe ich mir entsprechende Einträge in Putty gemacht, so häufig scheint sich die IP ja nicht zu ändern. Solange mein Laptop im Freifunk hängt, klappt das auch super, wenn ich aber über 1&1 reingehe, scheint es dort nur IPv4 zu geben (Dual Stack ist in der Fritzbox aktiviert).

Gibt es irgendeinen Weg, für diesen einzelnen Fall IPv6 zu nutzen oder muss ich dauerhaft 6to4 oder einen ähnlichen Dienst aktivieren?

Ich träume ja immernoch davon, einen Freifunk-Node in Form einer VM (egal ob nun Virtualbox, VirtualPC, KVM oder Xen) dabei zu haben. Der bekäme dann auch ein wifi-Interface, oder zu mindest zwei NICs, inkl MeshOnWan um mit einem TP-Link „on Air“ gehen zu können.
Vielleicht kommt das ja mal als Gluon-Byzantium

1 Like

Ich benutze seid Jahren https://www.sixxs.net/ - Klappt prima.

wenn sixxs.net nicht so zickig wäre hinsichtlich ihrer Login-Vergabe.
Deren Schnippigkeit und rüde Umgangsformen lassen jeden noch so rabiaten Wikipedia-Admin wie eine Starbucks-Tresenkraft erscheinen.

Oder um es klar zu sagen: Wenn man einen sixxs-Tunnel bekommen hat: Freuen und hoffen, dass es niemals Probleme gbit. Auf die Kooperation von den beiden zwei(?) vollständig überlasteten Adminkräften dort angewiesen zu sein: Himmelfahrtskommando.

Kostenlose Tunnel mit fixem Prefix gibt’s auch bei https://ipv6.he.net/, das habe ich 'ne ganze Zeit lang genutzt, hat gut funktioniert.