Supernodes auf Port 443 (statt 10000/10040) möglich ("Gastlan")

Liegt es nicht in den meisten Fällen am aktiven Teredo Filter im Gast Lan der Fritzbox?

Zumindest war es bislang bei mir immer so, Teredo rausgenommen, läuft…

Das können leider wohl einige Leute nicht. (Und sei es, dass ihr Provider das per TR.69 zugenagelt hat.)

Hier gibts bereits einen ausführlichen Thread wo dieses Thema behandelt wurde. Da werden schon viele Fragen beantwortet.

https://forum.freifunk.net/t/router-hinter-dem-gastzugang-der-fritzbox-losung-fur-vpn/507/3

Die Themen unterscheiden sich von der Stoßrichtung. @adorfer machte sich Gedanken darum, ob man Freifunk für die Default-Konfig des Gastzugangs fit machen könnte, nicht umgekehrt. :wink:

2 Likes

Ach!</loriot>

Es geht darum, Nodeaufstellern das Leben nicht schwerer zu machen als es unbedingt notwendig ist.
Besser eine einzelne Person (die daran Spaß hat, wobei ich das bei unseren Admins einfach mal unterstelle, schließlich gibt’s kein "Schmerzensgeld) baut etwas für alle.
Als das viele etwas konfigurieren müssen und dafür durch ein mehrseitiges HowTo müssen, was auch noch „je nach Router“ unterschiedlich ausschaut. (Und auch so gepflegt werden will.)

1 Like

Um in @adorfer Horn zu tuten:

Ich weiss auch nicht wirklich, ob Ich jemand raten würde einen Teredo Filter abzuschalten. AVM warnt davor, wie andere auch. Die Abschaltmöglichkeit ist meine Ich nur der XBox One geschuldet - dem kann sich AVM dann ob sicher oder nicht kaum verschliessen, man will Geld verdienen.

Insbesondere das BSI sieht das auch als keine sichere Produktivlösung, z.B.

Habe Ich eine Lösung ? Nein.
Aber die Denkrichtung finde Ich richtig: Vereinfachung des Aufstellen durch Alternativkonfiguration. Sicher keine „mal eben“ Lösung.

1 Like

Altes Thema ist alt.

Diese Fragestellung ist nach wie vor interessant - macht der Betrieb von Supernodes auf 80 oder 443 irgendwas auf der Supernode kaputt? Das einzige, was bei mir so klingelt ist, dass nur Root-Prozesse Ports <1024 nutzen dürfen, aber das könnte veraltetes Wissen sein.

Das Ändern des Ports auf 443 könnte man uns aber auch so auslegen, dass wir damit Firewalls im Netz des Aufstellers umgehen wollen.

Zu meiner Schul- bzw. Ausbildungszeit hatte ich deswegen 'nen SSHd auf Port 443 laufen. So kommst du per SSH-Tunnel aus fast jedem Netz raus.

Naja, ich kann mir schlimmeres vorstellen als versehentlich aufgestellte Freifunk-Router. :wink:

Ist immer noch so, aber das sollte für die Super-Nodes kein Problem sein.

Ist halt ein bisschen hässlich, well-known ports für etwas anderes zu verwenden als das, wofür sie well-known sind. …

1 Like

Mir geht es eher um falsche Außenwirkung á la „Freifunker ändern Netzkonfiguration um Firewalls umgehen zu können!“. Solche Presse brauchen wir nicht.

Wobei Port 53 natürlich noch viel sinnvoller wäre. Schließlich muss ein Fastd-Server nicht auf seiner öffentlich IP auch noch einen DNS betreiben.
Hätte den Vorteil, dass DNS auch UDP können sollte.

Schlimmer als „Freifunker setzen VPNs ein um Kinderpornoterroraubmordkopierer zu decken“ kann das auch nicht werden.

Exakt. Selbst bei „gesperrten“ DSL-Anschlüssen geht udp/53 durch, da man dieses ja für die HTTP-Umleitung braucht. Selbst gesehen an einem Versatel Anschluß.

1 Like

Ich habe kürzlich 2 FFRG Nodes an Fritzboxen mit GastLan eingerichtet. (Telekom, ich glaube allerdings nur IPv4)
Den Teredo-Filter musste ich nicht abschalten.
Man muss allerdings den Filter „Alles außer Surfen und Mailen“ für das GastLan entfernen.

Dieser FIlter filtert bei genauerer Betrachtung alles außer TCP 25,80,110,143,443,465,587,993,995,8080 und filtert sämtlichen UDP Traffic.

Die Variante mit UDP/53 würde also vermutlich dort auch nicht klappen. (Nur Theorie, kann ich aber auch testen falls ernsthaftes Interesse besteht)

Generell kann kein TCP verwendet werden. Port 443 fällt also weg weil diese für HTTPS natürlich TCP verwendet. Fastd verwendet ausschließlich UDP.
Fastd via UDP/53 könnte klappen aber würde Konfigurationsaufwand bedeuten weil wir dort DNS-Server laufen haben.

Warum fällt 443 deswegen weg?
Ich habe mehrfach gesehen, dass irgendwelche Hobby-Mittelstands-Admins in ihrer paranoid-Firewall trotzdem 443 auch für UDP geöffnet haben abgehend. (warum auch immer…, assume good faith)
Und was die DNS auf den Supernodes anbelangt auf der externen IPv4: Darauf müsste man dann halt auf diesem einen Node verzichten. Zumindest mir wäre es den Config-Aufwand wert.

Wäre es möglich zum Test irgendwo Traffic auf 443 und 53 zu empfangen und auf eine normale Supernode auf 10000 oder wo auch immer sie zuhört weiterzuleiten?

Ein bisschen komplizierter als ein Apache Proxy ist das wahrscheinlich schon. :wink:

Also per Default wird z.b. eine Fritzbox Port UDP/443 sperren.
Klar kann es sein das jemand TCP sowie UDP öffnet, aber das sind dann doch sicher eher einzelne Fälle

Finde es nicht sonderlich sauber dies so zu konfigurieren daher bin ich da etwas skeptisch :wink:

+1 Die Lösung wäre sicher am einfachsten, einfach eine VM mit NAT einrichten die den Traffic an den richtigen Port auf einem Supernode weiterleitet.