Falsch Verkabelt / Auswirkungen?

Hallo zusammen,

ich habe gerade mal wieder in die D.A.T. Table vom Batman geschaut und musste feststellen,
das ja immer mehr private netze im Freifunk hängen.

Bsp.

  • 192.168.112.109 14:cc:20:6e:f6:4a 0:04
  • 82.207.138.32 04:be:ef:ca:ff:03 0:17
  • 192.168.78.100 c4:6e:1f:63:3b:04 0:40
  • 192.168.139.24 14:cc:20:b9:76:0c 0:19
  • 192.168.2.101 c4:6e:1f:3b:64:10 0:07
  • 192.168.10.10 f8:1a:67:4a:85:e8 2:51
  • 192.168.2.143 00:19:66:dc:74:dc 4:47
  • 10.55.105.17 14:cc:20:6e:24:8a 2:41
  • 192.168.2.197 e8:94:f6:2a:d2:46 0:13
  • 169.254.29.118 54:ae:27:61:6b:34 3:41
  • 192.168.230.100 00:50:56:a1:76:80 0:02
  • 169.254.129.195 c8:85:50:c7:b8:66 1:43
  • 192.168.1.100 c4:6e:1f:bd:23:22 0:22
  • 100.108.132.4 c0:bd:d1:4a:d3:b9 3:50
  • 192.168.230.1 00:90:7f:84:41:93 4:59
  • 192.168.0.11 e8:de:27:dd:8a:ba 0:24
  • 192.168.1.2 e8:de:27:58:9a:2c      0:25
    
  • 169.254.176.200 4c:8d:79:a3:13:0c 1:42
  • 192.168.2.100 e8:de:27:58:7d:84 0:08
  • 192.168.192.3 14:cc:20:cd:4f:ec 0:24
  • 192.168.254.88 e8:de:27:dd:7e:e6 0:23
  • 192.168.2.103 e8:94:f6:67:da:62 0:06

in wie fern wird da RA / DHCP usw. gefiltert, und kann es sein das dieser mist die
Netz-Performance weiter in den Keller schiebt?
Die meisten IPs kann ich direkt erreichen, Speedport Modems / HP Drucker / NAS usw.,
aber wer kümmert sich darum solche Chaos-Schaltungen zu entfernen?

LG

PS: Aktuell auch mit Sandbox kurzgeschlossen?

Router im Ruhrgebiet mit Prefix aus dem Ruhrgebiet UND der Sandbox.
In der Sandbox genau das gleiche :S

IP Adressen
2a03:2260:50:1:c24a:ff:fea4:23e7
2a03:2260:50:9:c24a:ff:fea4:23e7

2 Likes

Die Verbindung der Domänen ist an sich ein regelrechtes worst case Szenario, durch die geringe Größe der Sandkasten Domäne jedoch erträglich. Sollte natürlich trotzdem dringen korrigiert werden. Vermutlich ist Mesh über Kabel die Ursache.

DHCPv4 wird auf den Supernodes gefiltert, hat also nur eine Auswirkung auf die lokale Wolke.

Im denen gehen höchstwahrscheinlich Clients abseits des Tunnels ins Internet bzw haben keine Konnektivität.

Man sollte diese Knoten mit „batctl tr“ aufspüren und den Betreibern beim korrekten verkabeln helfen.

Niemand.
Und ja, es kostet Performance.
Warum? Weil der Wille schlicht fehlt.

(Meiner Meinung sollten wir ein Upgrade machen, in der überall die Lanports auf bat0 statt br-client gezogen wird. Mit Ankündigung. Und wer dort br-client wieder braucht, der soll es sich zurückändern.
Ja, das ist blöde. Das ist ärgerlich. und es wird einigen Leuten Arbeit bereiten. Aber es würde der überwältigenden Mehrheit nutzen. Den derzeitigen Opfern ihrer Verkabelungskunst. Und den anderen dank weniger „Hintergrund“-Traffic (ich mag den kaum noch so nennen inzwischen).

3 Likes

Das ist aber ganz normal. Wenn man sich verinnerlicht das BATMAN_adv ein Layer 2 Mesh ist.

Ist zum Beispiel nen Apple Device.

Asiarock Technology Limited (ASROCK)

Hintergrund kann sein, das diese Geräte gerade frisch mit dem Freifunk Netz Verbunden wurden. Dann versuchen sie erst mal das IPAdress Lease vom DHCP zu erneuern und fragen mit ihrer noch vorhandenen 192.x ins Netz oder machen zuerst APIPA 169.254.x. Logisch das sich BATMAN das auch merkt und so in seine Tabellen einträgt.

Wenn man ein mit statischer IP Adresse konfiguriertes Gerät ins Mesh hängt, ist es auch logisch das dessen Broadcasts von dieser IP aus erfolgt. Auch das muss sich BATMAN ja merken. Für einen Switch, und nix anderes ist BATAMAN_adv, ist die IP Adresse völlig egal.

Also nicht immer gleich vom schlimmsten ausgehen.

Danke, ja LAN Ports deaktivieren wäre wohl echt eine gute Lösung.

@Freifunker was Batman macht, und wie OSI Funktioniert weiß ich, aber danke noch mal :wink:
Ich hab ja auch extra erwähnt das ich schon auf mehrere Router/Drucker/NAS gestoßen bin,
unter anderem auf den Webinterfaces welche meistens nur mit Standart PW gesichert waren.
Im Ruhrgebiet einfach mal die Dat auslesen und zu 99% landest du zb. einen Treffer im 192.* wenn die
IP mit .1 oder .100 / .200 aufhört :smile:

Gruß

PS: Wenn man aus der Sandbox Domain per batman tr die FFRG11 Supernode erreicht
ist das für mich doch schon ein „bisschen“ schlimm! :stuck_out_tongue:

traceroute to 04:bf:ef:ca:ff:6c (04:bf:ef:ca:fe:6c), 50 hops max, 20 byte packets
1: 02:bf:ef:ca:cc:7b 53.983 ms 53.190 ms 53.920 ms
2: xxxxxxxxxxxxxxxxx 92.182 ms 85.627 ms 84.866 ms
3: xxxxxxxxxxxxxxxxx 83.961 ms 83.318 ms 84.043 ms
4: xxxxxxxxxxxxxxxxx 110.480 ms 86.812 ms 91.105 ms
5: * * * *
6: * * * *
7: * * * *
8: * * * *
9: * * * *
10: * * * *
11: * * * *
12: * * * *
13: 04:bf:ef:ca:fe:6c 562.755 ms * *

Das ist das einzige wo ich wirklich der Sache auf den Grund gehen würde. Bei den anderen kann man sich den Spaß machen und auf dem Drucker ne Seite drucken mit der Hinweis, das man diese nicht im Freifunk Netz betreiben sollte. Und wenn doch, bitte Adresse angeben wo ich demnächst meine 500 Flyer abholen kann die ich bald ausdrucken werde. :wink:

2 Likes

Es könnte aber auch so kommen, dass jemand ein Fass aufmacht
„Freifunk tut nichts gegen bekannte Sicherheitslücken bei den Installationen in Privathaushalten. Heimnetze von Dutzenden Privatleuten seit Wochen öffentlich!“

1 Like

Welche Sicherheitslücken sprichst du an? Welche Programme sind in Gluon angreifbar und bis dato nicht gefixt? Gegen Dummheit bei der Verkabelung gibts keine Patche. Und sorry, nen Knoten so vernageln das man nix weiter mit ihm tun kann, ist für mich dann keine Freifunk mehr. Jede Community hat seine Anleitungen wie man eine Freifunk Knoten korrekt anzuschließen hat. Wenn das jemand dann doch falsch macht, und damit sein LAN frei gibt, shit happens.

Na ich denke er meint mit der " " aussage technisch nicht so begabte Menschen, von denen
kommt nämlich schnell mal so ein Müll, weil sie nicht durchblicken.
Man muss immer mit der Dummheit anderer rechnen, aber wäre halt ganz gut wenn man
so etwas von Anfang an deaktiviert und nur im Experten Modus Aktivieren kann mit Entspr. Hinweisen.

Gruß

1 Like

Die Sicherheitslücken bei den Freifunknodes, die bei diesen Freifunkerinnen und Freifunkern offensichtlich bestehen (öffentlich zugängliche Drucker und Router mit Default-Passwörtern).
Und dass diese Lücken bekannt sind und nicht angegangen werden.

1 Like

Nicht Aufgabe von Freifunk, oder der Communitys. Es wird und wurde kommuniziert das man nur solche Devices in den Freifunk hängen soll welche auch von dort aus angesprochen werden sollen. Wer seine Windows Büchse an Freifunk ran hängt und dann auswählt „Heimnetzwerk“ hat es nicht anders verdient als das seine Kiste gehackt wird. Wer in seinem WLAN Drucker das Freifunk Netz auswählt ist selber schuld. Wer seine NAS an die LAN Buchsen des Freifunk Knotens anschließt will mit Sicherheit das sein Inhalt der Allgemeinheit zur Verfügung gestellt werden sollen. Inklusive der vielleicht vorhandenen Nacktfotos der Freundin/Frau oder sonstiges.

Mit den Public IPv6 welches es in vielen Netzen gibt, sind diese Geräte sogar von Überall ansprechbar. Wenn ein User seine Geräte nicht sicher konfigurieren kann, dann ist das alleine sein Problem und ich lehne es ab das die Schuld daran dann der Freifunk trägt. Und ich lehne es auch ab, das wir Knoten soweit zunageln das sie wirklich nur noch ne Blackbox sind.

Ziel von Freifunk ist das die Menschen das Wissen entwickeln die Technik zu beherrschen ohne das man wie auf Kaffeebecher drauf schreiben muss, Vorsicht heiß. Ich will mit Freifunk das selbständige Denken fördern. Ein User soll sich Gedanken machen was passiert wenn ich Gerät X mit den gelben Buchsen eines Freifunk Knotens verbinde. Und ja, manchmal hilft auch nur lernen durch Schmerzen, sprich wenn ein Schaden entstanden ist.

1 Like

Ich finde das ziemlich ignorant und realitätsfern.

Wir erleben ja momentan ein Wachstum sondergleichen. Ich möchte denjenigen sehen, der beim Routeraufstellen jeden Strom-/Platzspender nebenbei zu Freifunk-Tekkies ausgebildet hat.
In der Realität sieht das oft so aus: Router anklemmen… Läuft?.. Spenden?.. Danke… Tschüss!

Im Idealfall liegt dann noch nen Blättchen dabei, was den korrekten Anschluss zeigt, aber selbst das schützt Unerfahrene nicht vor Dummheiten.

Warum wir in Gluon eine Default-Einstellung weiterhin stützen, die wahrscheinlich zu 95% keiner Sau etwas nutzt (gelbe Ports auf br-client), will mir schlicht nicht in die Birne gehen. Wer nutzt das denn so? Bitte hier melden! Jetzt!

Default-Einstellungen sollten immer dem entsprechen, was man in den meisten Fällen braucht.
Freifunk an den gelben Ports ist es ganz sicher nicht. Beweist mir bitte das Gegenteil.

Solange dieser Umstand aber nicht verändert wird, lösen wir das so:

6 Likes

Eine in hohem Maße verwerfliche und dem Freifunk abträgliche Ansicht. Da dir niemand das Kundtun dieser Meinung verbieten kann vermeide doch bitte wenigstens das Hochstilisieren auf vermeintlich allgemeingültige Aussagen zu Freifunk. Viele Hunderte Freifunkunterstützer sehen das zum Glück anders, was die hohen Nutzerzahlen auch nicht Technik affiner Menschen beweisen.

Spätestens falls dich mal ein Bänker bei der Finanzierung deines Hauses über die Ohren haut, darfst du dich fragen ob nicht etwas Fürsorge für Andere angebracht wäre. Jeder hat in unterschiedlichen Gebieten Stärken.

3 Likes

Das lässt sich übrigens ab Gluon 2015.1 in der site.conf festlegen. Oder wenn du die Router für wen anders flashst und einrichtest, auch per Expert-Mode.

Gluon now supports meshing using a node’s LAN ports. It can be enabled by default in site.conf, and configured by the user using the gluon-luci-portconfig expert mode package.

https://gluon.readthedocs.org/en/v2015.1/releases/v2015.1.html

2 Likes

(offtopic) Seit dem ist es Aachen bei neuen Knoten auch so konfiguriert. Beim Update bleibt aber alles beim alten (hoffe ich zumindest).(/offtopic)

Was so Dinge wie Drucker angeht habe ich hier auch schon Leuten dabei geholfen sie richtig anzuschließen und dabei versucht die Hintergründe zu erklären.

Wir sind ja nicht nur kostenloses Internet, sondern auch den Umgang mit der Technik vermitteln.

Auch dhcp Server in lokalen Wolken sollte man mit batctl tr aufspüren und dem Besitzer der Knoten bei der Beseitigung beraten.

Mit dem Netz sind gerade noch mehr zu finden, alle mit 00:50-MACs, hier hat wohl jemand all seine VMs in unser Netz gesteckt

Ich kann aber leider mit keinen Client gerade ins Netz, wenn die morgen früh noch da sind, dann gehe ich mal recherchieren

Wozu? Die können doch gar nicht ins Freifunk Netz eindringen. Nur im lokalem Netz hätte das eine Auswirkung, sprich an Clients die an den gelben Ports hängen.

Weil dann vermutlich auch Endgeräte im Freifunk landen die laut Einschätzung des Besitzers im Heimnetz sind.
Es geht weniger darum das Freifunk Netz zu schützen als den Betreibern (nochmal) die Funktionsweise des Routers zu erklären.

Häufig bedeutet es aber auch das eigentlich geplant war den eigenen Internet Abschluss zur Verfügung zu stellen, klappt nicht über die gelben Ports.

[quote=„wirfman, post:16, topic:5841“]
alle mit 00:50-MACs, hier hat wohl jemand all seine VMs[/quote]

Der Bereich für VMs ist lediglich 00:50:56:00:00:00-00:50:56:3F:FF:FF. Nicht alles mit 00:50 ist virtuell, alle Geräte meines Arbeitgebers haben beispielsweise 00:50:DC…

ich!
und meiner Meinung nach macht das auch Sinn. Wer(der darüber nachdenkt) steckt denn ein Gerät in einen Freifunk-Router und erwartet dann, dass das Gerät in seinem privaten LAN hängt?

1 Like