"Dolphin-Hotspot" Managed Devices inkl. SSH Key der Devs

Äh. Ja. Und? Daß Ihr kein Gateway betreiben wollt, ist schon grenzwertig; dann sich darüber zu echauffieren, daß Ihr ohne Kontrolle über Eure notwendigen Ressourcen seid, hingegen schon fast frech.

Gegen Sponsoring spricht ja nichts, aber das hier hat doch nichts mehr mir Freifunk zu tun?!

… und der Voraussetzung, daß Ihr selbst bzgl. Gateway keinen Finger krümmt?

Puh. »Alle funktionierenden Knoten (grün in der Karte) wurden bereits automatisiert umgestellt« heißt es auf Facebook; Ihr zieht also alle Knoten, die Euch das automatisierte Updaten erlaubt haben, von einer Infrastruktur in eine andere — und in letzterer gibt’s auch ›erstmal‹ keine lokale Konfigurationsmöglichkeit (was ja schon zu Irritationen geführt hat)‽

2 „Gefällt mir“

Zuerst einmal finde ich es gut, das jemand die Dinge in die Hand nimmt und was tut.

Das dies oft nicht so läuft habe ich selbst bereits zu Hauf erlebt und auch MVs/Stammtische an denen keiner kommt, kenne ich aus eigener Erfahrung.

Zu kritisieren, erlaube ich mir zum einen ganz klar, die Zurückhaltung von Code und das abschotten nach außen. Kann man gerne machen, aber das hat ganz klar nichts mehr mit Freifunk zu tun. Nehmt das einfach aus eurer Namensgebung raus und gut. Wenn ihr aber mit „Freifunk werben“ wollt, dann müßt ihr euch aber auch mit den Werten die dort hinter stecken identifizieren. Tut ihr das nicht dann streicht Freifunk bitte aus eurem Wortschatz.

Stärker missfällt mir, dass ihr einen SSH Zugang zu den Knoten fest hinterlegt.

Um es klar zu sagen, das ist ein Backdoor der vollständigen Zugang zum Netz des Aufstellers ermöglicht. Meinem Rechtsverständnis nach weist ihr auf diesen Umstand nur unzureichend hin.

Ein Hinweis, dass ihr einen Management Zugang zum Knoten habt reicht imho nicht. Besser wäre es wenn ihr prominent klarstellt, was die Einwilligung dazu alles mit sich bringt.

Ich persönlich empfinde das als absolutes NO-GO! Das kann man mal als Ausnahme machen, um Menschen zu helfen die an eine Unifi oder CPE auf dem Dach sonst nicht mehr ran kämen aber nicht generell. Auch würde ich die Verantwortung, Zugang zu so vielen privaten Netzen zu haben, gar nicht haben wollen.

Wenn ihr die site.conf und co nicht offenlegt, ist denn eurer VPN Port irgendwo dokumentiert, so dass man zumindest ein VLAN für die Knoten machen kann?

4 „Gefällt mir“

Dazu hätte ich zwei Fragen:

  1. Die „Lizenz“ für Gluon liegt hier. Wo finde ich den Hinweis darauf, dass ich meine Konfiguration veröffentlichen muss?

  2. Die Dinge die an der Firmware verändert wurden, waren jederzeit öffentlich einsehbar - seit Anfang an. Volle Sourcen inkl. Historie.

Es fängt ja schon damit an, dass Gluon selbst gar keine übergeordnete Lizenz erwähnt, egal ob man die GPL vererben muss oder nicht.

Kritik angenommen und umgesetzt.

Bitte zieh in Betracht, dass es eben Communities gibt, die von der Technik nicht genügend Ahnung haben und sich stattdessen darum kümmern, Leuten die Philosophie (teilen) weiter zu geben. Die Einzige Alternative wäre hier, dass die Leute ihre Arbeit einstellen, wenn sich keiner um die Technik kümmern kann. Eine schlecht laufende Infrastruktur ist außerdem ein Punkt, bei dem die freiwillige Arbeit, bzw. die Motivation sehr leidet. Dem wurde alles in einem Zuge Sorge getragen.

Ja und der bekannte Config-Mode wird auch nicht zurück kommen, weil er durch eine andere Lösung ersetzt wurde. Es muss nicht in jeder Community das exakt gleiche Setup laufen. Wer sich mal in GITs diverser kleinerer Communities oder den PRs bei Gluon umsieht, wird feststellen, dass sehr viel eigenes gebastelt wird. Das ein entsprechendes Changelog fehlt, ist bekannt, das wird noch geliefert auch wenn es nicht notwendig wäre.

Das stimmt nicht ganz, denn es ist und war zu jeder Zeit alles öffentlich - lediglich modules, site.mk und site.conf sind nicht öffentlich. Dazu hatte ich in diesem Beitrag bereits Fragen gestellt.

Die gleiche Möglichkeit hat man auch per Auto-Updater, doch dort wurde der PR, der diese These unterstützt, eher abgelehnt.
Die Person die diese Änderung aus genau diesen Gründen implementieren wollte, wurde vergrault. In einem längeren IRC-Gespräch mit dem Author habe ich die Gründe dafür erfahren und ich kann sie nachvollziehen.

Vom Grundsatz stimme ich deinem Kommentar erst mal zu, dieses Problem ist aber unverändert in allen Communities mit aktiviertem Auto-Updater vorhanden, denn auch diese Keys befinden sich in der Firmware.

Als Netzbetreiber haben wir potentiell Zugang zu vielen Haushalten und Unternehmen. Die Telekom hat das bei gemieteten Speedports auch pauschal und einen wirklichen Hinweis darauf gibt es nicht (außer, dass man diese Schnittstelle nicht abschalten darf, wenn das Gerät gemietet ist).

Wer einen Knoten aufstellt, muss immer damit rechnen, das aufgrund von Sicherheitslücken ein Zugriff auf das Netzwerk darunter stattfinden kann. Die Verlagerung auf einen Gastport oder VLAN ist ausdrücklich empfohlen.

Da die alte FF Solingen Website lange defekt war und ich erst am Wochenende nach und nach alles in Betrieb genommen habe, ist das noch nicht online ersichtlich. Aber ja, diese Infos sind selbstverständlich für die Öffentlichkeit gedacht. Da aber Tunneldigger im Einsatz ist, reicht ein Port pauschal nicht aus, wie es bei Fastd der Fall ist.

Gluon selbst enthält dazu keinen direkten Hinweis, das ist korrekt,könnte aber mal überdacht werden.

Das Gluon Projekt basiert jedoch auf openwrt welches die Offenlegung allen Source Codes in seiner (GNU) Lizenz durchaus vorschreibt. In den Gluon Lizenzbestimmungen wird auch auf die Openwrt Herkunft klar verwiesen.

vgl. https://git.openwrt.org/?p=openwrt/openwrt.git;a=blob;f=LICENSE#l24

iVm.:

Nun aber da widersprichst du dir doch schon selbst. Alles bis auf… Diese Teile sind essenziell zum Nachprüfen bzw zum selber bauen der FF Firmware.

Wenn ihr schon Multidomain macht, dann mach doch einfach eine Sammeldomain für alle die, die selber eine Firmware bauen wollen und können. Den Zugang zu den GWs der restlichen Community last ihr einfach aus der conf weg. Dann kann jeder an der Fw mitwirken. Das hat auch positive Effekte, denn so können Menschen die die Fähigkeiten haben auch aktiv mithelfen. Jemand der lua kann, ist schneller mal gefunden, als jemand der ein GW hochzieht. Gerade wenn man wenig Personal hat sollte man sich dem nicht verschließen.

Dazu kann ich nicht viel sagen, da mir die Zeit fehlt mich da umfassend einzuarbeiten. Lese ich die Diskussion im PR bekomme ich aber nicht den Eindruck, dass @yanosz da vergrault wurde. Ganz im Gegenteil, @rotanid und @anon88999732 haben eher noch motivierend gesprochen.

Tut mir leid, aber das kann ich nicht so stehen lassen.

Man kann kein Feature welches nur die einzige Aufgabe hat einen ssh Zugang mit root Rechten zu ermöglichen mit einem Autoupdater vergleichen, der erst einmal nur die die Firmware aktualisieren kann.

Sicher man könnte jetzt eine Firmware bauen die einen ssh Key enthält und die mit seinem Key einspielen. Das ist aber nicht die Kernaufgabe des Autoupdaters. Das wäre, sofern das nicht klar mit einer Einwilligung abgesegnet wurde, Missbrauch.

Hierfür gibt es mit mehreren Sign-Keys und dem 4,6,8 Augen Prinzip auch sowohl technische als auch menschliche Hürden die genau das verhindern sollen.

Alles zutreffend. Das macht es jedoch nicht weniger „recht“. Muss es sein, dass man generell Zugriff auf fremde Netzwerke hat? Wenn euch der minimierte Administrationsaufwand am Herzen liegt, und nach >1000 Knoten per Hand erst auf Batman 15 und dann auf andere Domänen umzuziehen, weiß ich wovon ich rede, wäre es dann nicht sinnvoller eine einfache Möglichkeit zu schaffen, dass Leute den Remotezugriff erlauben können, statt permanent Zugriff auf ihr Netz zu gestatten?

Erschwerend kommt hinzu, dass man ja gar keine andere Möglichkeit hat, diesen Umstand zu ändern. Entweder man akzeptiert, dass man sich erst mal einen Backdoor ins Haus holt oder nutzt euer WLAN Angebot nicht.

Du kannst doch aber bitte nicht Tatsachen mit Möglichkeiten vergleichen. Sicher kann ein netzwerkfähiges Endgerät durch Schwachstellen einen LAN Zugriff erlauben Das ist aber ein Unterschied zu: „Ich installiere mir einen Knoten mit hinterlegtem root ssh key“.

Sowas habe ich mir schon gedacht, als ich Multisite lass. Daher hatte ich allgemein VPN Port geschrieben.

Könnte man gleich beim Firmware Download drauf hinweisen :slight_smile:

Tut mir leid euer Engagement in aller Ehren aber das hat definitiv nichts mehr mit Freifunk zu tun. Ich mag da sicherlich stark konservativ sein, aber mein „Unrechtsempfinden“ in Bezug auf den Freifunk Gedanken wird hier stark angesprochen.

Bitte nennt es einfach nicht mehr Freifunk was ihr da macht, dann ist alles „gut“.

Ich möchte auch nochmal klar stellen, dass ich hier nichts anprangern oder verurteilen möchte, aber der von euch gewählte Weg ist leider nicht mehr konform zu dem was allgemein unter der Freifunk Philosophie angesehen wird.

Ihr befindet euch in einem Wandel, das ist gut denn es geht weiter, aber an dieser Stelle müsst ihr noch ein Stück weiter gehen, alles andere wäre inkonsequent.

2 „Gefällt mir“

Hallo Tarnatos,

Das habe ich gesehen, deshalb habe ich die Datei auch verlinkt. Über einen Hinweis auf die Stelle der GPL, in der ich verpflichtet werde, diese Zusatzkonfiguration auch zu teilen, wäre ich dankbar.

Ich bin kein Lizenz-Experte aber soweit ich das verstehe, muss ich meinen Quellcode teilen, inbesondere den, der das vorhandene Projekt verändert. Von Reproduzierbarkeit oder dem veröffentlichen der Standardkonfiguration (site.conf) sehe ich nichts.

Vielleicht kann mir das ja jemand erläutern.

Gute Idee! Das werde ich so umsetzen, darauf war ich bisher nicht gekommen. Danke für den Hinweis.

Ja, alleine betrachtet stimmt das. Beim Stammtisch, zu dem alle eingeladen wurden, wurde das besprochen. Weil so wenige da waren, gab’ es extra einen zweiten Versuch. Die Personen wissen übrigens bescheid, Auto-Update wird also nur aktiviert, wenn der Aufsteller bescheid weiß, was er tut.

Es ist also nicht so, als wäre das in einer Nacht und Nebelaktion passiert. Das hat schon seine Struktur. Fakt ist aber auch, dass die Aufsteller das offensichtlich gar nicht interessiert, denn die wollen nur Internet für ihre Gäste.

Das man darauf beim Download penetranter hinweisen sollte: Keine Frage, absolut angebracht und wird ASAP verbessert.

Habe ich auch nicht so aufgenommen, ist auch von meiner Seite nicht beabsichtigt. Ich bin zum offenen Austausch hier, sonst hätte ich wohl das Thema ignoriert.

Ich bin dankbar für das Feedback und wir werden es umsetzen.

3 „Gefällt mir“

IANAL, davon ab: „OpenWrt is licensed under the terms of the GNU General Public License Version 2“. Gluon-Code mag eine andere haben, aber das Binary besteht zu geschätzt 99,x% aus OpenWrt-Code, der unter der GPL lizenziert ist. Da die site.conf (transformiert) eingebaut wird, dürfte sie mit zu veröffentlichen sein. Zur GPL gab’s schon Threads auch hier im Forum …

Hallo wusel,

Ich denke dieser Thread ist gemeint:

Ich werde das auf Basis des Vorschlags von @anon68922371 umsetzen.
Ein Grinsen konnte ich mir dennoch nicht verkneifen, denn in diesem Thread wird sich ausdrücklich darüber beschwert, dass Site-Konfigurationen oftmals nicht vernünftig einsehbar sind (entweder es fehlen einzelne Dateien oder sogar alles).

Der Thread ist zwar von 2015/2016, eine wirkliche Verbesserung konnte ich aber nicht feststellen.

So wie ich das sehe, handelt es sich hier wohl oder übel über ein Problem, dass sehr viele Communities betrifft.

2 „Gefällt mir“

Schau mal hier:
https://git.openwrt.org/?p=openwrt/openwrt.git;a=blob;f=LICENSE#l33

Ja das hatte ich weiter oben gelesen.

Das ist oft so ja.

++1
Finde ich gut, hoffe ich konnte etwa helfen.

2 „Gefällt mir“

Handelt es sich bei der besagten Firmware nun eigentlich um eine „unter Freifunk-Logo/Brand“ oder ist das schon die besagte Hotspot-Lösung?

Oder anders gefragt: Wie ist der Übergangsprozess geplant und wie ist der angestrebte Zustand hinsichtlich der Namen bei Firmware, abgestrahlter SSID, Webseite, Facebook etc?

Steht in den AGBs/Mietvertrag/Vereinbarungen zum Router in detaillierter Ausführung irgendwo drin. Sozusagen Vertragsgegenstand, daher legitim. Und die Update Protokolle für die Geräte kann man auch manuell deaktivieren.

Da es aber hier um Kunden eines Hotspot-Betreibers geht und das ganze nicht mehr Freifunk ist nach Auflösung der Community:
Ist hier ziemlich off-topic.

Es sind halt alles keine Engel hier :wink:

FTR, wir backen zu jeder FW ein „ReleaseNotes“-File mit u. a. den Buildinfos; mit der Info, daß der Kram auf github liegt unter ffgtso (ja, ich sehe gerade, daß diese Info da vielleicht noch mit rein sollte :innocent:), sollte man die jeweiligen Builds nachbauen können:

Further Build Information:
==========================
Release: 1.1.5~15
PACKAGES_FFGT_PACKAGES_COMMIT=924f1d181f9e48db6fb0b42a388168b69da933a1
FFGT_SITE_COMMIT=0f97e03f84e7a1b8cf1ca7b98bd148e1d2423056
GLUON_BASE_COMMIT=75053d16c0f083df8eb0e4557b04e0b7ab731a25
Buildslave: colosses
Buildjob: 15121

Das ist so eine Sache; wenn ich etwas will, aber nicht machen kann, muß ich es sein lassen — oder mich Leuten anschließen, die es können, optimalerweise führt das dann zu einer Organisation, bei der ich auch ein Mitspracherecht habe (und latent auch Pflichten, seien es Unterhaltungs-/Mitgliedsbeiträge und/oder Arbeitspflichten).

Platt formuliert: nur weil ich von Bonn nach Berlin will, aber kein Geld für eine Fahrkarte habe, kann ich mich nicht einfach in die Bahn setzen und mich hinfahren lassen. Gluon basiert nun einmal auf einer Client-Server-Infrastruktur, wenn man keine Gateways betreiben kann oder will, aber noch immer Freifunk machen, muß man sich eben ein System mit lokalen Exits hernehmen … Oder man läßt das irgendwo außerhalb mitlaufen, dann, zumal bei einem nicht redundanten Setup, passiert eben das, was beschrieben wurde.

Lt. @adorfer ist auf Angebote, die Solinger Mitarbeit erforderten, nicht eingegangen worden; klingt ein bißchen nach wasch’ mir den Pelz, aber mach’ mich nicht naß?

Das stimmt, und derlei schadet langfristig auch der Freifunk-Bewegung, ack. Insofern ist es schön, wenn für Solingen eine Lösung gefunden wurden — allein die ›Darreichungsform‹ mißfällt.

Da spricht IMHO nichts gegen; you have the source to fix it. Wir machen Config-Mode als DHCP-Client (d. h. wie im Mesh-Mode), spart das Umstöpseln von fest verbauten Knoten.

SSH-Schlüssel und Autoupdater-Signaturen sind zwei paar Schuh’; ja, natürlich kann man eine FW mit hinterlegten SSH-Schlüsseln nachträglich ausrollen (habt Ihr ja auch gerade gemacht ;)). Sofern alle Nutzer damit einverstanden sind, spricht rechtlich-moralisch auch nichts dagegen; ob das aber allen klar ist/klar war, halte ich für fraglich in Verbindung mit einem öffentlich zugänglichen Firmwareserver.

Ich kann den Ansatz nur zu gut nachvollziehen, manchmal wünschte ich mir auch diese Option — und habe im gleichen Moment Muffensausen vor der Verantwortung …

… oder wenn Du auf Deinem gekauften Speedport WLAN2Go aktivieren möchtest. Allerdings ist das bei Telekom, Vodafone & Co. IIRC TR-069/064, kein Shell-Zugang. Und die Fernwirkmöglichkeit ist, zumindest bei Speedports (und Fritzboxen), über die Oberfläche abschaltbar — Euer SSH-Zugang nicht.

Die site.conf wird in site.json gewandelt und in die Firmware eingebunden, damit ist sie im Binary drin und muß als Quelle mitgeliefert werden. LMGTFY:

d) Zugänglichmachung des Quelltextes

Sofern ein Programm im Objektcode oder als Executable ausgeliefert wird, muss der entsprechende Quelltext in der in Ziffer 3 GPLv2 geregelten Form zugänglich gemacht werden. Dabei kann zwischen den folgenden Alternativen gewählt werden:

  • Mitlieferung des vollständigen Quelltextes auf einem üblichen Datenträger.
  • Schriftliches, zumindest drei Jahre gültiges Angebot an jedermann zur Lieferung des vollständigen Quelltextes auf einem üblichen Datenträger zu einem Preis, der die eigenen Kosten nicht übersteigen darf. Dieses Angebot kann auch in einem beigelegten Handbuch erfolgen.
  • Erfolgte die Weitergabe nicht kommerziell und wurde das Programm auch schon ohne Quelltext und nur mit einem schriftlichen Angebot erworben, reicht es aus, wenn dieses Angebot an die Erwerber weitergegeben wird (so dass sich diese an den ursprünglichen Anbieter wenden können).
  • Wird das Programm über das Internet vertrieben, genügt es, wenn auch der Quelltext auf derselben Website zum Download angeboten wird. Ansonsten reicht ein bloßes Downloadangebot nicht aus.

Inwiefern github.com-Links auf der Firmware-Webseite ausreichten, mögen andere entscheiden, IMHO reichte das.

Das liest sich auf der „Webseite“ (Facebook) etwas anders („wir haben damit aber schon angefangen“). Nochmal, von der Frage „ist das noch Freifunk“ abgesehen, ist das völlig OK, wenn alle Nutzer der FW das aktiv zur Kenntnis genommen haben und hinreichend Zeit hatten, das Update zu verweigern. (Welchen dicken Daumen Ihr dann da anlegt, auch basierend auf dem bisherigen Feedback, …)

Hrmpft. Wo hat sich die Community Solingen aufgelöst? Kann es sein, daß Dein Kaffeesatz schlecht war?

27.09.2019 22:45

T.O. sagt,

  • Verein wird aufgelöst [Anm.: VFN, zu spätestens 12/2019]
  • dass sie allen derzeitigen Knoten einen Weiterbetrieb „ohne Freifunk“ anbieten
  • Knotenbetreibende können wählen, ob sie entweder ausziehen zu einem anderen Freifunk, den Knoten abschalten, oder per Autoupdater in einem Hotspot-Angebot landen mit ihrem Router, was von einem Stadtmarketing Wermelskirchen betrieben und bezahlt wird. Dafür gab es mehrere Infomails.

Ziel sei es, keine verbrannte Erde zurückzulassen.
Wenn Leute Interesse an „echtem Freifunk-Weiterbetrieb“ besteht, dann wird an andere Communities verwiesen, u.a. auch Neanderfunk

Deine Poemik darfst Du gern hinstecken wo die Sonne nicht scheint.

FUD. Daß der VfN sich auflöst, hat nichts mit der Community Solingen zu tun. Die ist lt. "Dolphin-Hotspot" Managed Devices inkl. SSH Key der Devs - #19 von HarrySchlim ja durchaus noch vorhanden.

T.O. hat mir gesagt, dass auf mehreren (2?) Stammtischen herausgekommen ist, dass niemand gefunden habe, der eine Anschluss-Community „Freifunk“ weiterbetreiben möchte im VFN.

Das auf die explizite Anfrage, ob es denn Interessierte gibt, denen man evtl. unter die Arme greifen könnte seitens des FFRL z.B. Und sei es, diese weiterzuvermitteln an lokale (FFRL und andere Freifunk-Communities)
Es mag sein, dass mir Thomas dort eine falsche/inkorrekte/unvollständige Angabe gemacht hat.
Oder dass sich seit September dort Leute etwas anders überlegt haben.
Derzeit weiss ich aber abgesehen von Marienheide von niemandem auf dem (bald) ehemaligen Wermelskirchen-Freifunk, der weiterhin Freifunk machen möchte.

Aber wenn es die gibt, dann mögen die sich bitte melden. Die Optionen liegen auf dem Tisch.

Um es nochmal klar zu sagen: Wer dort „nichts tut“ wird nach Community-Beschluss in ein Fremium-Hotspot-Angebot migriert mit seinem/ihrem Router.

1 „Gefällt mir“

Ich sehe da ein gravierendes Problem: ihr lasst demjenigen, wenn er nicht so schnell reagiert, durch Krankheit oder so, keinen Zugriff mehr auf dein eigenes Device. Oder gibt es da ne Möglichkeit von euch nen blankes OpenWRT zu flashen?

Der Beschluss/die Mails dazu waren im Juni (März?), dass im November umgestellt wird.
Was wäre Deiner Meinung nach ein sinnvoller Vorlauf dafür?

Die genannten Infos treffen auf alle Communities des VfN zu. Keine sieht sich in der Lage (außer vielleicht Leverkusen als Herzensangelegenheit von Felix) die Technik selbst zu managen. Es sind eben nicht alle solche IT-Geeks wie wir, auch nicht mit Hilfe von Ansible oder ähnlichem.

Genau das ist auch der Grund für die Auflösung, denn eigentlich wollte der Verein nur Starthilfe geben, nicht alles managen. Dazu ist es aber letzten Endes doch gekommen und wir haben alle die Zeit nicht mehr dafür. Traurig aber so ist es eben.

Ich persönlich finde ja das der Vergleich hinkt aber das ist sicher subjektiv. Das was du beschreibst wäre schließlich eher das Erschleichen von Leistungen, Sponsoring würde es eher treffen.
Soweit ich mich erinnere, bezieht der FFRL auch Leistungen vom DE-CIX, wo ziehe ich da die Grenze? Warum keinen eigenen IXP betreiben? (Vorsicht Ironie - auch nicht böse gemeint.)

Die Frage ist, was ist schnell reagiert? Die Schließung des Vereins wurde bei der MA in 2018 angekündigt. Wir haben darauf noch mal per Mail hingewiesen und bei der Einladung zum nächsten MA mit der finalen Auflösung, wurde es auch noch mal explizit erwähnt.

Die Nutzer können selbstverständlich ein OpenWRT oder eben eine andere Community flashen, die Vereinsfirmware hat den Config-Mode - das ist also sehr komfortabel.

Afaik ist Freifunk ( DPMAregister | Marken - Registerauskunft) als auch das Freifunklogo (https://register.dpma.de/DPAregister/marke/register/3020150063231/DE) keine eingetragene Marke. Also kann sich auch ein Hotspotbetreiber Freifunk nennen.

Auch ist es anmaßend die Freifunkdenke aus „NRW“ auf alle Communitys anzuwenden.

Als einzige könnte sich die Community vor Ort „beschweren“ oder es auch sein lassen. Es gibt ja keinen Gebietsschutz

2 „Gefällt mir“