Supernodes auf Port 443 (statt 10000/10040) möglich ("Gastlan")

Einige Leute möchten ihre Freifunk-Router gern an das Gastlan ihrer Fritzbox (oder was immer so der Provider frei Haus geliefert hat) anschließen.
Per default geht an diesen Ports „Nur Surfen und evtl. Imap/SMTP mit Einschränkungen“.
D.h. Port10000/UDP ist mit einiger Wahrscheinlichkeit gesperrt.

Natürlich kann man als versierter Hobbyist das in der Konfiguration ändern.
Aber selbst wenn das keine Probleme bereitet: Wenn man das Gastlan wirklich als solches braucht und den eher strikten FW-Kurs segelt, ist dann ein Port zu viel geöffnet „für nach Überall“.
Ausserdem möchten wir es evtl. doch gerade Neulingen so einfach wie möglich machen, Freifunkrouter aufzustellen (vielleicht auch in die DMZ von Firmennetzen, wo schon die Diskussion über FW-Ausnahmeregeln evtl. zur standrechtlichen Erschiessung wegen versuchter Majestätsbeleidigung führt…)

Daher die Frage: Es würde mich freuen, wenn zumindest einer der fastd-Supernodes auch auf Connects auf Port 443 reagieren würde.
(oder spricht etwas dagegen? Veilleicht übersehe ich etwas. Wird ja keineR eine Maschine als Exitnode verwenden auf der auch noch ein normaler Shared-Host-Webserver läuft.)

1 „Gefällt mir“

Oh, da muss ich wohl mal die Ingrid machen… Ich habe übersehen, dass HTTPS natürlich TCP ist und der Fastd UDP macht.
Ich kenne die Config der DurchschnittsFritzbox nicht, aber dort wird es dann vermutlich nicht helfen.

Liegt es nicht in den meisten Fällen am aktiven Teredo Filter im Gast Lan der Fritzbox?

Zumindest war es bislang bei mir immer so, Teredo rausgenommen, läuft…

Das können leider wohl einige Leute nicht. (Und sei es, dass ihr Provider das per TR.69 zugenagelt hat.)

Hier gibts bereits einen ausführlichen Thread wo dieses Thema behandelt wurde. Da werden schon viele Fragen beantwortet.

https://forum.freifunk.net/t/router-hinter-dem-gastzugang-der-fritzbox-losung-fur-vpn/507/3

Die Themen unterscheiden sich von der Stoßrichtung. @adorfer machte sich Gedanken darum, ob man Freifunk für die Default-Konfig des Gastzugangs fit machen könnte, nicht umgekehrt. :wink:

2 „Gefällt mir“

Ach!</loriot>

Es geht darum, Nodeaufstellern das Leben nicht schwerer zu machen als es unbedingt notwendig ist.
Besser eine einzelne Person (die daran Spaß hat, wobei ich das bei unseren Admins einfach mal unterstelle, schließlich gibt’s kein "Schmerzensgeld) baut etwas für alle.
Als das viele etwas konfigurieren müssen und dafür durch ein mehrseitiges HowTo müssen, was auch noch „je nach Router“ unterschiedlich ausschaut. (Und auch so gepflegt werden will.)

1 „Gefällt mir“

Um in @adorfer Horn zu tuten:

Ich weiss auch nicht wirklich, ob Ich jemand raten würde einen Teredo Filter abzuschalten. AVM warnt davor, wie andere auch. Die Abschaltmöglichkeit ist meine Ich nur der XBox One geschuldet - dem kann sich AVM dann ob sicher oder nicht kaum verschliessen, man will Geld verdienen.

Insbesondere das BSI sieht das auch als keine sichere Produktivlösung, z.B.

Habe Ich eine Lösung ? Nein.
Aber die Denkrichtung finde Ich richtig: Vereinfachung des Aufstellen durch Alternativkonfiguration. Sicher keine „mal eben“ Lösung.

1 „Gefällt mir“

Altes Thema ist alt.

Diese Fragestellung ist nach wie vor interessant - macht der Betrieb von Supernodes auf 80 oder 443 irgendwas auf der Supernode kaputt? Das einzige, was bei mir so klingelt ist, dass nur Root-Prozesse Ports <1024 nutzen dürfen, aber das könnte veraltetes Wissen sein.

Das Ändern des Ports auf 443 könnte man uns aber auch so auslegen, dass wir damit Firewalls im Netz des Aufstellers umgehen wollen.

Zu meiner Schul- bzw. Ausbildungszeit hatte ich deswegen 'nen SSHd auf Port 443 laufen. So kommst du per SSH-Tunnel aus fast jedem Netz raus.

Naja, ich kann mir schlimmeres vorstellen als versehentlich aufgestellte Freifunk-Router. :wink:

Ist immer noch so, aber das sollte für die Super-Nodes kein Problem sein.

Ist halt ein bisschen hässlich, well-known ports für etwas anderes zu verwenden als das, wofür sie well-known sind. …

1 „Gefällt mir“

Mir geht es eher um falsche Außenwirkung á la „Freifunker ändern Netzkonfiguration um Firewalls umgehen zu können!“. Solche Presse brauchen wir nicht.

Wobei Port 53 natürlich noch viel sinnvoller wäre. Schließlich muss ein Fastd-Server nicht auf seiner öffentlich IP auch noch einen DNS betreiben.
Hätte den Vorteil, dass DNS auch UDP können sollte.

Schlimmer als „Freifunker setzen VPNs ein um Kinderpornoterroraubmordkopierer zu decken“ kann das auch nicht werden.

Exakt. Selbst bei „gesperrten“ DSL-Anschlüssen geht udp/53 durch, da man dieses ja für die HTTP-Umleitung braucht. Selbst gesehen an einem Versatel Anschluß.

1 „Gefällt mir“

Ich habe kürzlich 2 FFRG Nodes an Fritzboxen mit GastLan eingerichtet. (Telekom, ich glaube allerdings nur IPv4)
Den Teredo-Filter musste ich nicht abschalten.
Man muss allerdings den Filter „Alles außer Surfen und Mailen“ für das GastLan entfernen.

Dieser FIlter filtert bei genauerer Betrachtung alles außer TCP 25,80,110,143,443,465,587,993,995,8080 und filtert sämtlichen UDP Traffic.

Die Variante mit UDP/53 würde also vermutlich dort auch nicht klappen. (Nur Theorie, kann ich aber auch testen falls ernsthaftes Interesse besteht)

Generell kann kein TCP verwendet werden. Port 443 fällt also weg weil diese für HTTPS natürlich TCP verwendet. Fastd verwendet ausschließlich UDP.
Fastd via UDP/53 könnte klappen aber würde Konfigurationsaufwand bedeuten weil wir dort DNS-Server laufen haben.

Warum fällt 443 deswegen weg?
Ich habe mehrfach gesehen, dass irgendwelche Hobby-Mittelstands-Admins in ihrer paranoid-Firewall trotzdem 443 auch für UDP geöffnet haben abgehend. (warum auch immer…, assume good faith)
Und was die DNS auf den Supernodes anbelangt auf der externen IPv4: Darauf müsste man dann halt auf diesem einen Node verzichten. Zumindest mir wäre es den Config-Aufwand wert.

Wäre es möglich zum Test irgendwo Traffic auf 443 und 53 zu empfangen und auf eine normale Supernode auf 10000 oder wo auch immer sie zuhört weiterzuleiten?

Ein bisschen komplizierter als ein Apache Proxy ist das wahrscheinlich schon. :wink: