mich würde mal interessieren wie ihr mit öffentlichen IPv6 umgeht. Mir geht es speziell darum ob ihr eingehende Verbindungen (Welt → Client im Freifunk) in irgendeine Art blockt:
NAT IPv6
Firewall
etc.
Dazu auch die Begründung warum ihr euch so entschieden habt:
Sicherheit für Clients
Serverbetrieb nicht erlauben (im worst case hoch illegale Sachen die jemand „anonym“ im FF Netz hosten könnte)
etc.
Wenn ihr irgendwie blockt gebt ihr Leuten die Möglichkeit dennoch sich freischalten zu lassen wenn sie gerne eingehende Verbindungen erlaubt hätten, zum Beispiel auf Nachfrage?
Bitte erwähnt auch kurz, woher ihr die IPv6 Adressen habt und ob die auf euch/Verein laufen oder z.b. „anonyme“ HE Adressen sind etc. Mich würde auch interessieren was Rheinland macht, überlassen sie es der Community oder wird da gefirewalld?
Um das „warum“ geht es aber nicht. Im PPA wird keine Unterscheidung zwischen IPv4 und IPv6 getroffen, also gilt die Aussage von @Comacho für beide oder keinen.
NAT geschieht in Gluon-Netzen i. d. R. nicht beim Knotenbetreiber, damit ist das PPA irrelevant. In anderen Architekturen sieht das ggf. anders aus.
Routing (kein ip6tables) von v6 auf den Gateways, im Netz ggf. Gluon-basierte Einschränkungen zur Netzsicherung (gluon-ebtables-filter-multicast u. dgl.). Absicherung ist Aufgabe des jeweiligen Clients, nicht des Netzes. v6-Adressbereich im Clientnetz aus Bereich des Fördervereins, entsprechend auf lokale Initiative eingetragen. Routing über eigenes AS (v4-Exits noch über eigenes Netz in ISP-AS).
Das gilt eben nicht, wenn im Freifunknetz öffentliche IPv6-Adressen verwendet werden (bzw. per NAT-PT von privaten auf öffentliche am Gateway umgesetzt). Geht das Endgerät mit seiner von der (WLAN-) MAC-Adresse abgeleiteten IPv6-Adresse ins Netz, ist ein Rückschluß auf das Gerät möglich. Sofern Mobilfunkanbieter WLAN-MAC-Adressen mit IMEIs korrelieren können, auch ein Rückschluß auf eine Person. (Das sollte dank zufällig gewählter IPv6-Adresse (»privacy extensions«) in typischen Freifunk-Netzen aber nicht vorkommen.)
DS-Lite != DS. UM macht i. d. R. heute DS-Lite: v6 und eine CGN-v4-IP (RFC 6598: 100.64.0.0/10), v4 wird über v6 getunnelt und dann am Gateway geNATet. Port & IP ändern sich bei v4; MTU der v4-Anbindung massiv beschnitten. Interne Dienste per Portforwarding/Exposed Host praktisch nicht von außen erreichbar.
1&1 macht, zumindest über Telekom-IP-Plattform (also Telekom-, nicht 1&1-Versatel-Backbone), DualStack (DS): v6 und v4 öffentliche IPs. v4 und v6 mit 1492er MTU (Telekom-DSL-Standard halt), v4 nur IP-Umsetzung, Port i. d. R. 1:1 durchgeleitet. Interne Dienste per Portforwarding/Exposed Host grundsätzlich von außen erreichbar.
Oder kurz: DS ist, was man als Nutzer eigentlich möchte, DS-Lite ist eine wahre Krücke, damit man v4-Adressen noch per Browser erreichen kann. (Für den v6-Rollout hingegen wäre es hilfreich, wenn nur noch DS-Lite oder noch schlimmere Krücken von großen ISPs eingesetzt würden, um IPv4-only-Ziele praktisch unerreichbar zu machen bzw. den Betrieb für deren Anbieter möglichst schmerzhaft.)
Nur wenn Du direkt ausleitest an deinem Internet Anschluss, ansonsten verstößt du gegen das PPA.
Mir würde auch ehrlich gesagt kein Grund einfallen warum man im Freifunk per Firewall
ein Freies Netz beschneiden sollte.
PS: Nach einem Blick auf eure Karte, ist eurer Netz genau so „dezentral“ wie die meisten Freifunk Netze mit Gateways und VPN.
danke für eure Antworten. Mir ging es ähnlich, eingehen Verbindungen firewalln/NATten eher unschön. Es gab aber bei uns die Begründung das dann ja im Netz illegale Dienste gehostet werden können was als deutlich schlimmer angesehen wurde das bisher jemand hinter nem NAT illegale Sachen machen könnte. Daher will ich einfach mal wissen wie es andere machen, was mir bisher nicht wirklich jemand beantwortet hat Im IRC hab ich mal was von wir machen v6 NAT ULA → Public gelesen (Begründung gabs aber glaub ich keine) aber das war genau eine Community vielleicht gibt es ja noch mehr die es anders machen?
Einen Tod muß man sterben, entweder das freie Netz hochhalten (und sowas in Kauf nehmen, und auch damit leben, daß man das nur bedingt unterbinden kann in einem zugangsoffenen Netz mit IPv6) oder sich vom freien Netz verabschieden, also Unfreifunk ein olles Hotspotnetz machen.
Die Begründung war sinngemäß, daß mangels von den Hostern announcten eigenen Netzen die Clients mit ULA laufen und am jeweiligen Gateway per NPT auf ein Providernetz umgesetzt wird. Ist im Grunde das Procedere bei v4 auch bei v6 angewandt. Solange von /64 ULA auf /64 ISP-Prefix umgesetzt wird, ist prinzipiell auch eingehender Verkehr möglich.
S. o. für u. a. Kreis Gütersloh. Ich gehe davon aus, daß auch Nordwest (eigenes AS/Netz) und Münsterland (v6 via FFRL) keine eingehenden Filter haben, ebensowenig Hamburg (eigenes AS/Netz). Es käme mir zumindest widersinnig vor, den Aufwand für funktionales v6 im Mesh zu treiben, und dann die Nutzung mutwillig einzuschränken.
Ich sehe allerdings dahinter noch ein Problem, das sich IPv6 Verbindungen leichter „deanonymisieren“ (sorry besseres Wort ist mir gerade nicht eingefallen) lassen als v4 hinter NAT.
Was ich damit sagen will, wenn Person X an Freifunkrouter Y etwas illegales mit einer öffentlichen v6 Adresse hostet, kann techn. festgestellt werden hinter welchen Freifunkrouter diese Person X mit ihrer illegalen Webseite hängt (und jetzt lass mal Routerbetreiber Y != Person X sein, nein das will ich mir gerade nicht ausmalen) zumindest solange die Webseite/IP Adresse noch online ist (und dazu brauch ich nicht mal Zugriff auf die Gateways, ein dummer Knoten im gleichen Batmannetz reicht aus).
Bei „v4 hinter NAT“ war das ganze einfacher, erstens konnte schon niemand etwas hosten was aus dem Internet erreichbar ist 2. taucht nach außen hin immer die NAT Adresse auf so das man niemals „im Netz“ herausfindet wer was macht wenn man nur die Public v4 Adresse hat.
Der Satz: „Freifunkrouter sind 100%ig sicher vor jeglichen rechtlichen Zeug“ wackelt da ein wenig oder?
Zugegeben das ist wirklich ein worst case Szenario aber wer weiß… es muss nur einmal passieren dann…
FF ist ja auch kein Anonymisierungsdienst. Die Anonymität ergibt sich im Regelfall aus der (un)glücklichen Konstellation der Gesetze. Im Zuge der entsprechenden Straftaten muss jede beteiligte Person eh mitarbeiten und entsprechende Informationen heraus rücken. Da bei Zivilprozessen dieser Aufwand gescheut wird (Beispiel Urheberrecht), bzw, die rechtliche Grundlage für die ein oder andere Auskunft fehlt; nein nicht fehlt sondern die Auskunft kann aufgrund fehlender Information dem Rechteinhaber nicht zu seiner vollen Zufriedenheit beantwortet werden, sind 99% der Szenarios die man sich ausmalt sicher vor jegliche rechtlicher Verfolgung.
Der Verbliebene 1% ist sicherlich einer der Fäll wie du ihn beschreibst.
Und im Eigeninteresse des Instanzbetreibers, der ausleitenden Institution etc. wird in Kooperation mit der entsprechende Strafverfolgungsbehörde der Verursacher gefunden. Anders gesagt, was interessiert es dich was ein Client „anbietet“ wenn es eine Behörde wissen will fällt es Ihr und dem Instanzbetreiber (egal ob dezentrales Design oder nicht) dank v6 einfacher die „Quelle“ einzugrenzen. Kann einem als treuer Staatsbürger ja nur recht sein.
Ja nö, der Knotenbetreiber als auch der Instanzbetreiber wären/waren dazu in der Lage, was sie aber nur machen (dürften) wenn es eine (rechtliche => richterliche) Grundlage dafür gibt. Freiwillig wird niemand den Aufwand betreiben
Nach meinem Verständnis ist Freifunk kein Anonymisierungs-, sondern ein bürgerschaftlicher Zugangsdienst (in der Realität; in der Theorie ein geschlossenes Bürgernetz mit ggf. Internetübergang als einem von vielen Diensten).
Waren sie nie, sollten sie nie sein, können sie in D auch nicht sein. Bei Straftaten wird man mitwirken müssen, ebenso bei Gefahr im Verzug — allerdings obliegt dieses, je nach Technik, i. d. R. den technischen Kontakten der Community, nicht dem Bürger, der Internet via Freifunk an die Bushaltestelle bringen will.
Für die Nutzer sieht das anders aus; Freifunk ist kein Hort der Pädophilen und Kreditkartenbetrüger, und auch illegales Filesharing ist keine vorgesehene Nutzung.
Der ganze technische Aufwand hinter Freifunk galt initial der Versorgung von (DSL-) unversorgten (relativen) Nachbarn. Dann galt es dem Schutz vor der Störerhaftung. Das ist meines Erachtens heute weiter partiell gültig (trotz der Gesetzesänderungen, Gerichtsentscheidungen ermutigen nicht zwingend, einfach 'nen FB-Gastzugang zu öffnen), zudem hat Freifunks Meshing für flächige WLAN-Ausleuchtungen noch 'ne Daseinsberechtigung.
Anonymisierung der Teilnehmer war IMO nie ein Ziel, weder explizit noch implizit; nur der Schutz der Knotenbetreiber ist intendiert.
Als Binse gilt: „Der Weg in die Hölle ist mit guten Vorsätzen gepflastert“
Daher ist am derzeitigen Arbeitsmodus der meisten Communities kaum etwas zu ändern, ohne sehr, sehr viele Folgefragen/Baustellen/Konsequenzen zu bekommen.
Wie Du schon ausgeführt hast: Freifunk ist ein freies Netz, welches sich als Ziel gesetzt hat,
Ein freies, offenes Netz zu bauen. Von Router zu Router.
die Knotenbetreibenden vor Übergriffen (gleich welcher Art) zu schützen.
Freifunk hat sich nicht primär die Interssen der Knoten-Nutzenden (der Clients) auf die Fahnen geschrieben.
Freifunk erhebt nicht den Anspruch eines „Anon-VPN-Lite“
weder als Coverup für Straftaten
noch als Darknet-/Bulletproof-Hoster, um Dinge anzubieten für deren „stabiles“ Hosting man im Internet viel Geld und/oder knowhow investieren müsste.
Daher: Wer diese Dinge sucht: Dafür gibt es andere (ebenfalls unterstützenswerte) Projekte. Das ist nur halt eben nicht der Fokus von Freifunk.
(Ja, kann ich mich in Teilen durchaus auch mit identifizieren. Aber Freifunk kämpft ebenfalls nicht für LInux auf dem Desktop und/oder für die Verbreitung einer freien Office-Suite.)
Der Punkt ist, ob durch NAT die Daten störend beeinträchtigt oder verändert werden.
Bei IPv6 gibt es öffentliche Adressen im Überfluss, so dass es keinen Grund für NAT gibt. Insbesondere ging es der Anfrage von @ChrisD ja gerade darum, den Datenverkehr mittels NAT absichtlich zu stören.
Freifunk greift bei IPv4 auf das 10er-Netz zurück, weil nicht genug öffentliche IPv4-Adressen zur Verfügung stehen, um jedem Freifunk-Client eine eigene, öffentliche IPv4-Adresse zukommen zu lassen. NAT ist hier die Notlösung, um aus Freifunk heraus überhaupt im öffentlichen IPv4-Netz kommunizieren zu können. Der Datenverkehr wird somit hierbei nicht beeinträchtigt, sondern erst ermöglicht. Ob IPv4-NAT gegen das PPA verstößt, ist aber eigentlich Wumpe, da IPv4 eh überflüssig ist.
Das war aber nicht gemeint, der Grund von NAT bei IPv4 ist schon klar . Es ging um das manipulieren / ändern von Daten. Und NAT ändert definitiv Daten.
Unter diesem Aspekt verstößt NAT tatsächlich immer gegen das PPA. Man könnte überlegen, ganz auf NAT zu verzichten; IPv4-only Hosts wären dann nicht mehr erreichbar. Mir egal. Oder man behält den Status-Quo und duldet weiterhin diesen Verstoß aus pragmatischen Gründen.
Es ist aber unzulässig zu schließen, dass NAT bei IPv6 okay sei, nur weil es bei IPv4 so gehandhabt wird.
Wenn ich NATte oder firewalle kann es keiner verbieten.
Im IRC hab ich mal was von wir machen v6 NAT ULA → Public gelesen (Begründung gabs aber glaub ich keine) aber das war genau eine Community vielleicht gibt es ja noch mehr die es anders machen?