Einige Leute möchten ihre Freifunk-Router gern an das Gastlan ihrer Fritzbox (oder was immer so der Provider frei Haus geliefert hat) anschließen.
Per default geht an diesen Ports „Nur Surfen und evtl. Imap/SMTP mit Einschränkungen“.
D.h. Port10000/UDP ist mit einiger Wahrscheinlichkeit gesperrt.
Natürlich kann man als versierter Hobbyist das in der Konfiguration ändern.
Aber selbst wenn das keine Probleme bereitet: Wenn man das Gastlan wirklich als solches braucht und den eher strikten FW-Kurs segelt, ist dann ein Port zu viel geöffnet „für nach Überall“.
Ausserdem möchten wir es evtl. doch gerade Neulingen so einfach wie möglich machen, Freifunkrouter aufzustellen (vielleicht auch in die DMZ von Firmennetzen, wo schon die Diskussion über FW-Ausnahmeregeln evtl. zur standrechtlichen Erschiessung wegen versuchter Majestätsbeleidigung führt…)
Daher die Frage: Es würde mich freuen, wenn zumindest einer der fastd-Supernodes auch auf Connects auf Port 443 reagieren würde.
(oder spricht etwas dagegen? Veilleicht übersehe ich etwas. Wird ja keineR eine Maschine als Exitnode verwenden auf der auch noch ein normaler Shared-Host-Webserver läuft.)
Oh, da muss ich wohl mal die Ingrid machen… Ich habe übersehen, dass HTTPS natürlich TCP ist und der Fastd UDP macht.
Ich kenne die Config der DurchschnittsFritzbox nicht, aber dort wird es dann vermutlich nicht helfen.
Die Themen unterscheiden sich von der Stoßrichtung. @adorfer machte sich Gedanken darum, ob man Freifunk für die Default-Konfig des Gastzugangs fit machen könnte, nicht umgekehrt.
Es geht darum, Nodeaufstellern das Leben nicht schwerer zu machen als es unbedingt notwendig ist.
Besser eine einzelne Person (die daran Spaß hat, wobei ich das bei unseren Admins einfach mal unterstelle, schließlich gibt’s kein "Schmerzensgeld) baut etwas für alle.
Als das viele etwas konfigurieren müssen und dafür durch ein mehrseitiges HowTo müssen, was auch noch „je nach Router“ unterschiedlich ausschaut. (Und auch so gepflegt werden will.)
Ich weiss auch nicht wirklich, ob Ich jemand raten würde einen Teredo Filter abzuschalten. AVM warnt davor, wie andere auch. Die Abschaltmöglichkeit ist meine Ich nur der XBox One geschuldet - dem kann sich AVM dann ob sicher oder nicht kaum verschliessen, man will Geld verdienen.
Insbesondere das BSI sieht das auch als keine sichere Produktivlösung, z.B.
Habe Ich eine Lösung ? Nein.
Aber die Denkrichtung finde Ich richtig: Vereinfachung des Aufstellen durch Alternativkonfiguration. Sicher keine „mal eben“ Lösung.
Diese Fragestellung ist nach wie vor interessant - macht der Betrieb von Supernodes auf 80 oder 443 irgendwas auf der Supernode kaputt? Das einzige, was bei mir so klingelt ist, dass nur Root-Prozesse Ports <1024 nutzen dürfen, aber das könnte veraltetes Wissen sein.
Wobei Port 53 natürlich noch viel sinnvoller wäre. Schließlich muss ein Fastd-Server nicht auf seiner öffentlich IP auch noch einen DNS betreiben.
Hätte den Vorteil, dass DNS auch UDP können sollte.
Exakt. Selbst bei „gesperrten“ DSL-Anschlüssen geht udp/53 durch, da man dieses ja für die HTTP-Umleitung braucht. Selbst gesehen an einem Versatel Anschluß.
Ich habe kürzlich 2 FFRG Nodes an Fritzboxen mit GastLan eingerichtet. (Telekom, ich glaube allerdings nur IPv4)
Den Teredo-Filter musste ich nicht abschalten.
Man muss allerdings den Filter „Alles außer Surfen und Mailen“ für das GastLan entfernen.
Dieser FIlter filtert bei genauerer Betrachtung alles außer TCP 25,80,110,143,443,465,587,993,995,8080 und filtert sämtlichen UDP Traffic.
Die Variante mit UDP/53 würde also vermutlich dort auch nicht klappen. (Nur Theorie, kann ich aber auch testen falls ernsthaftes Interesse besteht)
Generell kann kein TCP verwendet werden. Port 443 fällt also weg weil diese für HTTPS natürlich TCP verwendet. Fastd verwendet ausschließlich UDP.
Fastd via UDP/53 könnte klappen aber würde Konfigurationsaufwand bedeuten weil wir dort DNS-Server laufen haben.
Warum fällt 443 deswegen weg?
Ich habe mehrfach gesehen, dass irgendwelche Hobby-Mittelstands-Admins in ihrer paranoid-Firewall trotzdem 443 auch für UDP geöffnet haben abgehend. (warum auch immer…, assume good faith)
Und was die DNS auf den Supernodes anbelangt auf der externen IPv4: Darauf müsste man dann halt auf diesem einen Node verzichten. Zumindest mir wäre es den Config-Aufwand wert.
Wäre es möglich zum Test irgendwo Traffic auf 443 und 53 zu empfangen und auf eine normale Supernode auf 10000 oder wo auch immer sie zuhört weiterzuleiten?
Ein bisschen komplizierter als ein Apache Proxy ist das wahrscheinlich schon.