Backboneschonung durch Ausleitung safen Traffics auf den Supernodes

Freifunk wurde dann also, in welcher Art auch immer, Filtern oder eine Datenautobahn für „Premiumdienste“ schaffen?!?

Auch wenn dem nicht so sein würde, aber die Deutung haben wir dann mal schnell. :wink:

2 „Gefällt mir“

Aber was spricht dagegen z.b. videodienste (z.b. zdf,ard,3. mediatheken. …) direkt fallen zu lassen damit einfach so was nicht uebers rffrl backbone muss. Alles andere geht ja auch halt nur durch den backbone. Wir verkürzen nur den weg dahin.

2 „Gefällt mir“

Was ist wenn nun der Nutzer von Freifunk eben bei diesen Diensten versucht den Server zu hacken.
Dann ist der Betreiber doch wieder in der Haftung…

Der Betreiber des Knotens vor Ort ist weiterhin abgesichert.

Der Betreiber des Supernodes steht dann natürlich in vorderster Front.

Server Hacken über Port 80 erscheint mit allerdings auch sehr konstruiert.

Ganz davon abgesehen ist solch eine Handlung eine Straftat, da greift die Störerhaftung nicht.

3 „Gefällt mir“

Es geht nicht um die lokale Ausleitung am Freifunk-Router, sondern auf der Supernode. Der Knotenbetreiber bleibt weiter geschützt, auch für vorausgeleitete Dienste.

3 „Gefällt mir“

Machen wir bei uns so.
Wir leiten HTTP, HTTPS, SSH und SIP direkt am Gateway über die jeweilige ISP Adresse (OVH, Hetzner, myLoc, YouNameIt) raus. UDP und sonstiger TCP Traffic landet im Auslands VPN.
Damit erschlagen wir aktuell so 95% des Traffics.

Abuse = 0

5 „Gefällt mir“

ich nominiere euch damit fuer den „balls of steel award 2015 !“.

8 „Gefällt mir“

Ähm, sorry. Ich hab gerade nochmal geschaut und gemerkt ich habe gelogen.

Abuse = 1

BSI warnt uns, dass von unserer IP Adresse aus Anfragen an eine IP Adresse gemacht werden, die früher ein Botnet Control Server war und jetzt vom BSI gemonitort wird.

Aus meiner Sicht kein wirklicher Abuse.
Da die IP Adressen aber teilanonymisiert (wie bescheuert ist das denn?) waren konnten wir da außer kurz zu LOLen auch nix unternehmen.

Naja, für uns macht es keinen Unterschied ob wir direkt über unser eigenes AS exiten und die Behörden direkt auf uns zukommen oder halt erst bei unseren Upstreams anklopfen und dann bei uns landen.

Meiner Meinung nach geht das doch nicht ohne DPI?

Also nach Ports zu trennen ist blöd, weil man Torrents auf so ziemlich allen Ports betreiben kann. Und auch Webserver mit Inhalten, zu deren Verbreitung man nicht berechtigt ist.

Daher bliebe nur nach Anwendung zu filtern und das geht doch nicht ohne DPI. Fände ich daher sehr fraglich.

2 „Gefällt mir“

Grundsätzlich hast du da recht. Man müsste per DPI in Erfahrung bringen welche Anwendung da hintersteckt um nach Anwendungen getrennt den Traffic zu routen bzw. auszuleiten. Wird im Internet täglich so gemacht, ob das gut und sinnvoll ist möchte ich an dieser Stelle nicht bewerten.
Wir machen das jedenfalls nicht. Wir sortieren tatsächlich stupide nach Port. Stellst du deinen Torrent Client also auf Port 80 oder 443 und TCP statt UDP um dann exitest du direkt über unsere IPs und nicht über Holland (o.Ä.).
Der Missbrauch hier ist aus unserer Sicht nonexistent oder zumindest nicht messbar, da kein Abuse bei uns landet.
Grundsätzlich glauben wir an das Gute im Menschen. Sollte sich aber zeigen, dass der Missbrauch stattfindet bzw. ansteigt werden auch wir Konsequenzen ziehen müssen.
Jedenfalls glauben wir dem Nutzer mit dem Direktexit einen Mehrwert zu bieten weil sowohl Latenz als auch Bandbreite spür- und messbar besser ist wenn wir den Traffic nicht durch noch einen Tunnel pressen.

2 „Gefällt mir“

Ich würde da ja nach rd. einem Jahr in die gleiche Kerbe schlagen wollen. Wir machen seit Oktober 2014 lokalen Exit mit auf den Förderverein, nach Absprache, eingetragenen Adressen. Sprich: formal hat der Förderverein die IPs gemietet, über die wir den Exit machen. Wir tauchen natürlich als AC/TC im RIPE-Datensatz auf. Weitergeleitet wurde bislang nichts, direkt kam auch nichts, und ich gehe auch davon aus, daß die, die Abmahnungen als Broterwerb betreiben, mittlerweile von Freifunkern die Finger lassen – einfach, um kein »doofes Urteil« zu kassieren und weil bekannt ist, daß jene vermeintlichen Opfer sich durchaus zu wehren und Widerstand zu organisieren wissen.

Anders als unsere abzuberufene Verwaltungscheffin befüchte ich auch nicht, daß ein Bürger sich die Zeit vor der Beantragung des Dokuments XYZ im Wartebereich im Rathaus via Freifunk mit YouPorn vertreibt oder einen Torrent-Download beendet … dazu ist ein privater Knoten zu Hause viel praktischer. Insofern warte ich gespannt auf die Bildung der ersten Terrorzelle über unseren Freifunk, Traffic im verteilten Mesh zu finden würde bestimmt spannend :wink:

5 „Gefällt mir“

wir experimentieren da aktuell ein wenig mit rum, aktueller Stand ist:

Vorschläge, Hinweise, Kommentare?

3 „Gefällt mir“

Die Methode hat einen entscheidenden Nachteil: Wer damit eine Seite wie http://wieistmeineip.de/ aufsucht wird nicht mehr die eine IP Adresse mit Auflösung auf den Verein angezeigt bekommen.

Du benötigst noch Ausnahmen wenn das Ziel im 10.0.0.0/8 liegt, sonst wird vermutlich das ICVPN Routing zerschossen.

2 „Gefällt mir“

die Ausnahmen sind da schon drin " ! -d 10.0.0.0/8 " … Pakete zum 10.0.0.0/8 werden dadurch nicht markiert …

1 „Gefällt mir“

wir leiten seit März lokal aus. abuse 0.

freifunk=provider, Ende

1 „Gefällt mir“

Freut mich zu hören, dass unsere Pläne überhaupt nicht so neu sind wie ich zunächst dachte

Auf wen sind eure Gateways registriert?

Chris icmp würde ich noch dazu nehmen… sieht schöner aus :wink:

1 „Gefällt mir“

Man bräucht halt einen Debug-Modus für IP-Auskunftdienste, Traceroutes etc. über den Backbone

Könnt ihr messen, wie viel Prozent des Verkehrs jetzt lokal rausgeht und wie viel Prozent über’s Rheinland?

1 „Gefällt mir“