Routing über Telekom IP Adresse?

Bitte nicht alles durcheinander bringen!

Doof ist es für den User der da falsch geflasht oder gebastelt hat, denn alles was über seinen Router direkt rausgeht, geht dann erstmal zu seinen Lasten.

Die anderen Teilnehmer im Netz sind davon, wenn überhaupt, dann nur durch schlechte Performance betroffen, wenn der Weg über einen Client Router raus geht - geniessen aber dennoch alle Vorteile einer „verschleierten“ Verbindung.

Wenn man sich als Endanwender an simpelste Dinge hält, kann aber auch nichts passieren.

• neue Router immer mit Factory flashen, um sie nicht zu bricken
• gebrauchte Router nur innerhalb der selben Community/Domäne mit einfachem sysupgrade flashen, noch besser mittels Festlegung des Branch und autoupdater
• gebrauchte Router aus unbekannter Herkunft oder beim bewussten Wechsel in ein anderes Netz immer mit sysupgrade -n flashen

Wer sich nicht dran hält, bastelt oder fremde Firmware nutzt muss sich des Risikos bewusst sein und kann dann entsprechend negative Konsequenzen auslösen.

Ist in unserem Fall ein wenig anders, aber durchaus machbar. Beobachtet werden muss der Output von batctl gwl, aus dem sehr leicht abzuleiten ist, ob ein fremdes Gateway im Netz ist.

Problematisch ist derzeit das Aussperren, da wir aktuell noch keinen brauchbaren Weg gefunden haben Router auszusperren die per Wlan verbunden sind, ohne der gesamten lokalen Wolke den fastd Zugang zu sperren - das genau ist auch das Problem an dieser Niemandsland Geschichte, wo die Probleme zuletzt herkamen und scheinbar wieder herstammen…könnte man aktuell nur komplett vom Netz nehmen…

Auch wenn es manchmal so wirkt, als würde sich niemand kümmern, so ist es (wie bspw. in diesem Fall) häufig so das im Hintergrund nach Lösungen gesucht wird die machbar wären.

Und wie gesagt, das ist in einer komplexen Wolke wie Niemandsland nicht ganz so trivial wie man vermuten könnte, ohne das Netz down zu nehmen, aber das will natürlich niemand…

Wobei ich sogar dieses Mal unsicher bin, was genau da abläuft, da diese Mac Adresse augenscheinlich nicht zu einem Client Router gehört, sondern nur als Gateway zwei Treffer hat:

http://ffmap.freifunk-rheinland.net/alfred_merged.json

"node_id": "a0f3c14e8930",
"hostname": "freifunk-pixelnode-hof",
"gateway": "a2:f3:c1:7c:cf:d2",

"node_id": "a0f3c1365bf0",
"hostname": "freifunk-pixelnode-vorne",
"gateway": "a2:f3:c1:7c:cf:d2",

Denke Ich nicht - es geht mit um Rouge Gateways.

Jawoll, kaum macht man´s richtig - schon klappt es. Wenn man das will.

Korrekt. Nur ist das ja vielleicht mal gewollt - oder halt unabsichtliches Risiko. Nur leider für Andere. Shit happens.

Historie:
In der früheren Firmware (Router unterhält VPN Tunnel nach Schweden) dropte dieser und danach wurde fröhlich direkt ins Internet geroutet.
Während die Nutzer&Aufsteller mit Verügbarkeit bei nem geschenkten Gaul nie ein Thema hatten, war dies ein Thema. Da ging´splötzlich um Haftung. Ausfall - ok, Haftung - nicht ok.

These:
Bei uns wird viel gebastelt - was prima ist. Dabei kann Ich mir ja mit OpenWRT auch was stricken, dass sich bei uns als Gateway announced. Und dann an uns vorbei routet.

→ Denkfehler ?
Ich muss gestehen da früher nicht drüber nachgedacht zu haben, bilde mir aber ein nen Gateway in unserem Netz bauen und announcen zu können.

Was hilft,hilft. War nur ein Beispiel für die Idee.

Das weiß Ich und stelle es somit nicht in Frage.
Ist ja pragmatisch auch ein sinnvolles Vorgehen.
Ich wollte das Thema mal aus anderem Winkel beleuchten und Richtung „Überlegung zu Automatisierung der Problemfindung“ bringen.

Keine Frage.

Aehm… auf die Gefahr von Tomaten hin:

• wenn die Netzintegrität (illegale Routen…)
• oder die Netzstabilität relevant (deutliches Degrade der Performance, DHCP fluppt nimmer wie gehabt, …)
  nicht nur gefährdet, sondern kompromittiert ist:
  Stecker ziehen, sofort.

Ich denke , dass unsere eine andere Vorgehensweise mehr schadet als nützt.
Macht m.E. höchstens die Frage auf, ob man mal sowas wie ne „Testlab Domäne“ zum testen/spielen/entwickeln haben muss. Aber das ist nu 3 Züge weiter.

Dieser „cf:d2“ (wie ich ihn nenne, denn mehr Infos finde ich nirgends zu ihm) liefert keine Alfred-Daten.
Folglich taucht er nur in der batctl o Liste auf, und als gateway.
Und da er offensichtlich lokal da im Niemandsland steht (Koordinaten aus dem alfred gibt’s ja nicht, s.o.) bietet er sich den Nodes dort als Uplink an.

Wir können ihn noch nichtmal auf Wifi-Ebene isolieren, weil er viele Nachbarknoten hat, an die wir ebenfalls nicht herankommen, weil derzeit „unmanaged“.

Kann man die MAC-Adresse nicht irgendwo mit einer höheren Priorität einspeisen? Insgesamt ein böses Angriffsszenario, für das es noch keine Lösung gibt, oder verstehe ich das falsch?

Siehe hier:

Es handelt sich um eine veraltete Freifunk Advanced Node, da kann man nur physisch dran um das Problem zu lösen.

Das klappt leider nicht, ein Batman Adv Client wählt den Gateway aufgrund von Linkqualität und Bandbreite die der Gateway anbietet. Batman-Adv sendet dann z.b. DHCP Requests nur an diesen Gateway und nicht an das ganze Netzwerk. Daher würde das sperren nur dafür sorgen das wohl nichts passiert weil der Traffic innerhalb der Batman Frames übertragen wird die dann erst beim Gateway „ausgepackt“ werden.
Man müsste um dies in Zukunft zu verhindern einen Patch für Batman-adv schreiben der whitelisting/blacklisting von Gateways erlaubt. Dann bräuchte man nur die Mac Adressen der erlaubten Gateways in der Firmware der Nodes mitliefern. Da man ja eh für die Supernodes die Fastd-Config mitliefern muss wäre es nicht so viel Aufwand.

Sorry, das bezog sich ausschließlich auf:

da nur der Anwender, der den Amok laufenden Router bei sich am Internet angestöpselt hat überhaupt betroffen sein kann. Da dies durch den Tunnel Zwang in Gluon nicht möglich ist, kann es jedoch auch nur einen User betreffen der mit fremder Firmware oder bastelnd am Router sabotiert, wo wir uns nicht mehr in der Verantwortung sehen.

Der restliche Text war damit nicht gemeint, mea culpa!

@CHRlS

…ach hör auf- hier geht´s von/nach Rheinland. Du darfst sogar schon mal sonstwas zu mir sagen.

Also - Ich finde die Idee gut.

Das wäre schick !

Dann könnten wir eine „Sperrliste“ in einer Domäne verteilen.
Alle Router, die dort annoncierte MAC´s sehen meshen mit diesen nicht mehr.

Damit wären doch allerlei Situation beherrschbar.

Problem wäre der Speicherbedarf - die Liste sollte natürlich möglichst Null sein und nicht dazu verleiten damit irgendwelche „Leichen“ nicht zu suchen/entfernen/upzudaten.

Exotischer Gedanke ?
Oder kann man irgendwo den Bedarf einkippen - da gibt´s doch vermutlich nen JIRA der Entwickler, o.ä.

Zum Bösen Angriffszenario wird’s wenn man
a) das Rogue Gateway mit extrem hoher Bandbreite announced (so dass es von den Nodes bevorzugt wird)
b) dem Rogue Gateway dann noch nichtmal Internetconnectivity zu geben (oder gar ganz schlimme Dinge mit dem Traffic anzustellen… your thoughts are not mine)

Wenn ich da vor der Tür stehe, dann bekomme ich mit meinem Smartphone ziemlich selten per DHCP eine IP im Freifunk. Was aber auch diverse andere Gründe haben könnte, trotz „4+ Balken“ Wlan.

Diese Sperrliste darf aber nicht jeder modifizieren dürfen und müsste trotzdem dynamisch reinkommen. Irgendwas signiertes. Sonnst kannst du mit der Sperrliste wieder das Netz lahm legen…

Wobei das dann ein vorsätzliches Angriffs-Szenario ist.

Derzeit leiden wir ja „nur“ an einer „unmanaged“ Installation, die zudem eine extrem veraltete/unübliche Konfiguration benutzt (was jviele, viele Monate gelaufen hat, wenn ich’s richtig sehe.)
Also: Kein böswilliger Vorsatz, sondern schlicht Unterlassung.

Hier geht´s ja weniger drum irgendwas zu unterstellen.

Aber wir hatten ja schon den ein oder anderen Vorfall wo einzelne Geräte den Betrieb gestört haben.

Das wird mit Wachstum und auch Bekanntheit (als „Spielziel“) nicht weniger werden.

Insofern eher Lernkurve, als dass Nadesha´s zur Exekution gebeten werden.

Bislang hatten wir im Ruhrgebiet immer Glück das es immer Router mit eigenem VPN Tunnel waren, die darüber dann gesperrt werden konnten.

Ich will mich da ggf. gern zum Henker aufschwingen…
Sprich: auf den nadeshda-nodes könnte ich beliebige Dinge per ebtables anstellen und den Oekoma-Node sollten wir in Zugriff bekommen können (wahlweise hat @pixelistik da ssh-zugang oder irgendwer läuft einfach in den Laden und überzeugt die Anwesenden von der Notwendigkeit „entweder… oder alle kein Freifunk mehr“)

Solange jemand da sicher Auftritt kommt man an allen Mitarbeitern vorbei.

„Guten Tag, mein Name ist … Und komme von Freifunk … Ich/Wir müssten einmal an den Freifunkrouter um Sicherheitsupdates einzuspielen. Wo haben Sie denn den Router angeschlossen?“

Also die von der Ökoma kennen mich. Deren Node (freifunk-oekoma) durfte ich im Büro des Ladens aufstellen. Die anderen Nodes sind allesamt älter.

Vielleicht wurde ja mal eine Node mit damals bereits nicht mehr ganz frischer Firmware aufgestellt, die lediglich im Wifi-Mesh, ohne VPN-Tunnel eingebunden werden sollte. Und diese hat jemand kürzlich an den nächstbesten DSL-Anschluss gepackt. Ich vermute, dass es sich da um den Anschluss im ersten Stock des Vereinshauses handelt.

@pixelistik, gehst Du bitte da bei Gelegenheit mal schauen? Das Büro mit dem Anschluss ist der erste Raum im ersten Stock und gehörte einmal zwei Vereinen, die dort eingemietet waren. Wie das aktuell aussieht, weiß ich nicht. Aber wenn es so angeschlossen ist, wie ich vermute, dann ist der DSL-Anschluss zumindest noch aktiv.

Ich würde jetzt das natürliche (begründete) Mistrauen von Autonomen nicht unterschätzen.

Mit Hilfe von sehr hilfsbereiten Niemandsland-Menschen habe ich den Node gefunden und erstmal mitgenommen. Wie @nomaster vermutete, hat jemand das Gerät per Kabel ins Netzwerk gehängt, um Zugriff auf einen Netzwerkdrucker zu bekommen o.ä.

Werde die aktuelle Firmware flashen und den Node im Laufe der nächsten Tage wieder im Niemandsland platzieren. Um die restlichen Nodes, die noch mit alter Firmware unterwegs sind, kümmere ich mich dann nach und nach.

@pixelistik
Vielen, vielen Dank!