…ach hör auf- hier geht´s von/nach Rheinland. Du darfst sogar schon mal sonstwas zu mir sagen.
Also - Ich finde die Idee gut.
Das wäre schick !
Dann könnten wir eine „Sperrliste“ in einer Domäne verteilen.
Alle Router, die dort annoncierte MAC´s sehen meshen mit diesen nicht mehr.
Damit wären doch allerlei Situation beherrschbar.
Problem wäre der Speicherbedarf - die Liste sollte natürlich möglichst Null sein und nicht dazu verleiten damit irgendwelche „Leichen“ nicht zu suchen/entfernen/upzudaten.
Exotischer Gedanke ?
Oder kann man irgendwo den Bedarf einkippen - da gibt´s doch vermutlich nen JIRA der Entwickler, o.ä.
Zum Bösen Angriffszenario wird’s wenn man
a) das Rogue Gateway mit extrem hoher Bandbreite announced (so dass es von den Nodes bevorzugt wird)
b) dem Rogue Gateway dann noch nichtmal Internetconnectivity zu geben (oder gar ganz schlimme Dinge mit dem Traffic anzustellen… your thoughts are not mine)
Wenn ich da vor der Tür stehe, dann bekomme ich mit meinem Smartphone ziemlich selten per DHCP eine IP im Freifunk. Was aber auch diverse andere Gründe haben könnte, trotz „4+ Balken“ Wlan.
Diese Sperrliste darf aber nicht jeder modifizieren dürfen und müsste trotzdem dynamisch reinkommen. Irgendwas signiertes. Sonnst kannst du mit der Sperrliste wieder das Netz lahm legen…
Wobei das dann ein vorsätzliches Angriffs-Szenario ist.
Derzeit leiden wir ja „nur“ an einer „unmanaged“ Installation, die zudem eine extrem veraltete/unübliche Konfiguration benutzt (was jviele, viele Monate gelaufen hat, wenn ich’s richtig sehe.)
Also: Kein böswilliger Vorsatz, sondern schlicht Unterlassung.
Ich will mich da ggf. gern zum Henker aufschwingen…
Sprich: auf den nadeshda-nodes könnte ich beliebige Dinge per ebtables anstellen und den Oekoma-Node sollten wir in Zugriff bekommen können (wahlweise hat @pixelistik da ssh-zugang oder irgendwer läuft einfach in den Laden und überzeugt die Anwesenden von der Notwendigkeit „entweder… oder alle kein Freifunk mehr“)
Solange jemand da sicher Auftritt kommt man an allen Mitarbeitern vorbei.
„Guten Tag, mein Name ist … Und komme von Freifunk … Ich/Wir müssten einmal an den Freifunkrouter um Sicherheitsupdates einzuspielen. Wo haben Sie denn den Router angeschlossen?“
Also die von der Ökoma kennen mich. Deren Node (freifunk-oekoma) durfte ich im Büro des Ladens aufstellen. Die anderen Nodes sind allesamt älter.
Vielleicht wurde ja mal eine Node mit damals bereits nicht mehr ganz frischer Firmware aufgestellt, die lediglich im Wifi-Mesh, ohne VPN-Tunnel eingebunden werden sollte. Und diese hat jemand kürzlich an den nächstbesten DSL-Anschluss gepackt. Ich vermute, dass es sich da um den Anschluss im ersten Stock des Vereinshauses handelt.
@pixelistik, gehst Du bitte da bei Gelegenheit mal schauen? Das Büro mit dem Anschluss ist der erste Raum im ersten Stock und gehörte einmal zwei Vereinen, die dort eingemietet waren. Wie das aktuell aussieht, weiß ich nicht. Aber wenn es so angeschlossen ist, wie ich vermute, dann ist der DSL-Anschluss zumindest noch aktiv.
Mit Hilfe von sehr hilfsbereiten Niemandsland-Menschen habe ich den Node gefunden und erstmal mitgenommen. Wie @nomaster vermutete, hat jemand das Gerät per Kabel ins Netzwerk gehängt, um Zugriff auf einen Netzwerkdrucker zu bekommen o.ä.
Werde die aktuelle Firmware flashen und den Node im Laufe der nächsten Tage wieder im Niemandsland platzieren. Um die restlichen Nodes, die noch mit alter Firmware unterwegs sind, kümmere ich mich dann nach und nach.
Hallo,
ich glaube das Problem ist so, oder so ähnlich wieder vorhanden.
IPv6 hat momentan sehr hohe Paketverluste und ein Traceroute in Richtung Internet landet teilweise bei 2003:4c:6f7f:d4af:d621:22ff:fe1b:b5f1 als ersten Hop. Dieser Host bietet eine Weboberfläche per HTTP an und dort begrüst einen ein Speedport W 724V mit Seriennummer J420005012 und konfiguriertem WLAN mit SSID „NIEMANDSLAND“.
Kann da mal jemand nachsehen? @pixelistik?
Bist du über die SSID „NIEMANDSLAND“ verbunden?
Kannst du ein Mesh-Netzwerk finden?
Geh’ mal auf http://www.telekom.de/privatkunden, steht links dort etwas bei E-Mail-Adresse/Zugangsnummer?
Nein, ich komme aus dem Freifunk Netz. Von dort aus kann man auch diesen Speedport per IP ansprechen und die oben genannten Informationen auslesen. Ins Internet kommt man darüber aber nicht. Das ganze stört auch nur IPv6 und das kann www.telekom.de anscheinend auch nicht. Meine Pakete kommen aber eh mit der Freifunk IPv6 Adresse dort an…
Au weia,
Das scheint ja wirklich ein Fass ohne Boden zu sein.
Ich denke mal, wir brauchen doch eine Blacklist im Batman. (vpn-keys zu sperren Reich bei den grossen Wolken schlicht nicht)
Ich glaube das hier sollte nicht sein.
Auf meinem Freifunk Router:
# ip -f inet6 route
…
default from fda0:747e:ab29:cafe::/64 via fe80::1 dev br-client metric 512
default from fda0:747e:ab29:cafe::/64 via fe80::1 dev br-client metric 1024
Und im Freifunk-LAN sieht man Router Advertisements von 14:cc:20:6f:a4:04 für das Prefix fda0:747e:ab29:cafe::/64
