Umstellung fastd -> L2TP

jbacksch · 6. April 2016 um 18:20

Hallo,

bei der Umstellung von fastd auf L2TP würde es IMHO Sinn machen, wenn man den gleichen UDP Port 10000 nehmen würde. Sonst muss man erst bei einigen Knotenaufstellern die Firewall umkonfigurieren lassen

Gruß Jörg

adorfer · 6. April 2016 um 19:38

Ein durchaus valider Punkt, denn „neue FQDN“ wird man dem System vermutlich sowieso ausgeben.

gizmolo · 8. Juni 2016 um 06:48

Hallöchen,
wann wird das Ganze eigentlich vollzogen, ich bin mehr oder weger genötigt worden von ffruhr auf ffe zu switchen, muss aber Performanceeinbrüche verzeichnen
Gruß

Marcel

pberndro · 17. Juni 2016 um 08:31

Ich habe die Anregung (hatten wir schon öfters besprechen) noch mal an Ort und Stelle platziert.
https://github.com/FFEssen/site-ffe/issues/5

In der nächsten Version werden wir definitiv den Tunneldigger mit aufnehmen.
Einer der Gründe warum wir auch gewartet haben waren die letzten Versionen von Gluon/OpenWRT welche doch einige stabilitäts Probleme hatten.

oldman · 5. September 2016 um 07:09

Gibts da einen neuen Status?
Ich verspreche mir einen besseren Durchsatz mit L2TP

oldman · 15. Oktober 2016 um 10:13

Mhh, Thema scheint tot zu sein.

Hat keiner eine Meinung/Idee/Information?

Für die immer noch vorhandenen DSL Anschlüsse mit < 16 MBit/sec - ja die gibt es noch in Essen, ohne das eine Upgrademöglichkeit besteht - wäre L2TP interessant, weil weniger Overhead über die Leitung geht.

MrMM · 15. Oktober 2016 um 11:14

Weniger Rechenleistung → mehr Bandbreite ist mir klar, aber wie kommst du auf weniger overhead?

Der overhead wird primär durch die Größe der Domäne getrieben.

pberndro · 15. Oktober 2016 um 21:12

Das Thema ist nicht tot, siehe Github und die Pullrequests.
Vermutlich in 14 Tage wird es die neue Firmware geben.

adorfer · 15. Oktober 2016 um 21:50

Für schlechte Anschlüsse (im Sinne von „Packet-Loss“) ist Fastd besser als L2TP, da ersteres damit besser zurecht kommt.

oldman · 18. Oktober 2016 um 09:20

Habe bewusst von schmalbandigen Internetanschluessen gesprochen. Ich habe einen Knoten in Duisburg in der RG-West stehen, der ueber eine 8 MBit Leitung im Netz ist, und habe da ca. ~ 20- 30% mehr Durchsatz bekommen, als dort auf L2TP umgetellt worden ist.

MrMM · 18. Oktober 2016 um 10:11

Spannend, das war mir nicht bekannt, dann sollten wir das für Eifel & Co vielleicht auch anbieten.

adorfer · 18. Oktober 2016 um 13:26

Stimmt, an ein breiteren Internetanschluss wäre die Steigerung natürlich deutlich größer gewesen.
Der Flashenhals lag bei den CPU-mäßig überbuchten RRL-VMs (die ESXI-Hosts) bei ca 1 bis 2 MBit/s pro VPN-Tunnel.
Mit Umstellung auf L2TP war dann die Netzwerkbandbreite der Hosts der Flaschenhals.

Von daher: Wenn man als Community Supernodes hat, die CPU-technsich „underpowered“ sind, dann ist ein Wechsel zu L2TP ratsam.

anon88999732 · 20. Juli 2019 um 11:14

Davon abgesehen, dass unverschlüsseltes VPN sowieso keine gute Idee ist… Den Nutzern wurde gesagt, dass der VPN-Tunnel verschlüsselt ist. Man kann daher nicht einfach auf ein unverschlüsseltes Protokoll wechseln. Ich hatte angefangen eine Layer 2-Version von WireGuard zu schreiben. Das macht mit einem WR841 40 MBit/s verschlüsselt. Mit einer Fritz!Box 4040 sind es fast 400 MBit/s. GitHub - CodeFetch/TunnelBridge: Encrypted layer 2 VPN kernel module
Da ich dafür eigentlich keine Zeit habe, da ich jetzt selbstständig bin, warte ich auf finanzielle Unterstützung durch die Niedersachsenförderung.

jbacksch · 20. Juli 2019 um 11:46

Hm, ich kann mich nicht daran erinnern, dass wir jemals eine Zusage gemacht haben, ein verschlüsseltes VPN anzubieten. Wenn ja, dann halte ich diese Zusage für überholt.

anon88999732 · 20. Juli 2019 um 12:02

Man kann Internet über das Freifunknetz teilen

Nun kann man an einer Stelle das Netzwerk an eine Internetverbindung anschließen und es so den Nachbarknoten zur Verfügung stellen. Um die Aufsteller der Knoten, die ihren Internetzugang teilen, vor der Störerhaftung zu schützen, bündeln wir den Internetverkehr und schicken ihn verschlüsselt über die Server des Freifunk Rheinland e.V. ins Internet.

Naja, das ist eigentlich technisch auch nicht ganz richtig.

@jbacksch Freifunk hat eine Vorbildfunktion. Wenn wir das nicht hätten, würde keiner der involvierten Softwareentwickler, die ich kenne, das unterstützen und dann gäbe es Freifunk garnicht. Während es den Knotenaufstellern nur darum geht, überall freies WLAN zu haben, möchten die Softwareentwickler ein zukunftsweisendes, zensurresistentes Konzept realisieren. Auch wenn der Großteil des Internettraffics heutzutage Ende-zu-Ende-verschlüsselt ist, kann und wird eine Freifunk-Supernode abgehört und die Nutzer getrackt. Das ist umso leichter, wenn die VPNs unverschlüsselt sind. Eigentlich ist L2TP überhaupt kein VPN, sondern ein Tunnel. Dein Firmennetzwerk würdest du ja auch nicht über L2TP betreiben wollen. Und wenn wir mal gucken, was Big Brother so kann, dann können sie auch SSL-Zertifikate fälschen und den Inhalt abhören. Wenn Initiativen wie Freifunk nicht wären, dann würden wir jetzt schon in George Orwells 1984 leben und man müsste sich mit Personalausweis bei WLAN-Hotspots registrieren. Jeder Schritt den wir den Überwachern aus Bequemlichkeit entgegenkommen ist ein Schritt in die Digitaldiktatur.

danielkrah · 20. Juli 2019 um 22:39

Dann lies es nochmal. es wird nichts von den Knoten verschlüsselt nach dem Text.

Um die Aufsteller der Knoten, die ihren Internetzugang teilen, vor der Störerhaftung zu schützen, bündeln wir den Internetverkehr und schicken ihn verschlüsselt über die Server des Freifunk Rheinland e.V. ins Internet.

Die Daten gehen von den Knoten zu den Gateways und gehen von dort dann über verschlüsselte Tunnel zum Rheinland Backbone.

Von daher passt da alles:

Hm, ich kann mich nicht daran erinnern, dass wir jemals eine Zusage gemacht haben, ein verschlüsseltes VPN anzubieten. Wenn ja, dann halte ich diese Zusage für überholt.

wusel · 21. Juli 2019 um 01:02

Komm’ mal wieder runter von Deiner Palme und geh’ ins Kühlhaus — und lies’ mal wieder, wofür Freifunk steht:

Freie Netze werden von immer mehr Menschen in Eigenregie aufgebaut und gewartet. Jeder Teilnehmer im freifunk-Netz stellt seinen WLAN-Router für den Datentransfer der Allgemeinheit zur Verfügung. Das erweitert das Netz und eröffnet die Möglichkeit Daten, wie zum Beispiel Text, Musik und Filme über das freifunk-Netz zu übertragen oder über von Teilnehmern eingerichtete Dienste im Netz zu chatten, zu telefonieren und gemeinsam Onlinegames zu spielen. Dafür nutzen wir Mesh Netzwerke.
[…]
Unsere Vision ist die Demokratisierung der Kommunikationsmedien durch freie Netzwerke. Die praktische Umsetzung dieser Idee nehmen freifunk-Communities in der ganzen Welt in Angriff.

Da steht mal genau gar nichts von Verschlüsselung des unverschlüsselten WLAN-Datenverkehrs im Transport (der eh’ zwingend unverschlüsselt an die Upstream geschickt wird). Vielleicht ist ja auch Deine Aluhut-Mentialtät mitursächlich für Vergangenes?

Ja, ein verschlüsselter Tunnel Knoten<>Gateway würde DPI vorbeugen; aber wenn das den Knotenaufstellern nicht versprochen wurde, warum daran so krampfhaft festhalten?

anon88999732 · 22. Juli 2019 um 17:01

Wer hier meint, dass ich nicht lesen könne und wieder zur Schule gehen solle, obwohl er meinen Kommentar anscheinend nicht versteht, der braucht sich nicht wundern, wenn ich sauer werde. Es wurde den Leuten in Essen immer mitgeteilt, dass der Verkehr verschlüsselt werden würde.

Der Text hier:

sollte genau das ausdrücken, aber er war unglücklich formuliert. Denn wenn man ihn wörtlich nimmt, nimmt man an, dass der Traffic nachdem er auf den Supernodes gebündelt wurde, verschlüsselt ans Rheinland Backbone gesendet wird. Davon abgesehen, dass der Verkehr unverschlüsselt von den Supernodes zum Backbone übertragen wird, war die Formulierung nicht falsch, als sie geschrieben wurde. Die Supernodes wurden früher nämlich vom Freifunk Rheinland betrieben. Der Text sollte ausdrücken:

„Um die Aufsteller der Knoten, die ihren Internetzugang teilen, vor der Störerhaftung zu schützen, bündeln und verschlüsseln wir den Internetverkehr und schicken ihn über die Server des Freifunk Rheinland e.V. ins Internet.“

Ob die Formulierung jetzt gelungen oder nicht war, ist egal. Die Leute, die sich einen Freifunkknoten in Essen aufgestellt haben, nehmen an, dass der Traffic in irgendeiner Weise verschlüsselt wird, um den Ursprungsknoten zu schützen.

Ganz sicher nicht. Davon abgesehen, dass ich von Leuten, die IT-Sicherheitsleute als Aluhüte bezeichnen, auch nicht viel halte.

Edit: Ich finde es übrigens nicht nett, dass du einen Beitrag, den ich geschrieben habe, weil ich sauer war und 5 Minuten später zurückgezogen habe, zitierst.

rotanid · 22. Juli 2019 um 17:06

der Thread geht um Essen.

Manche Communities, so Essen und z.b. auch wir, haben die Verschlüsselung immer zugesagt.

wusel · 24. Juli 2019 um 01:16

Das ist ja einer der Diskussionspunkte; der auch derzeit noch auf der vom Freifunk Essen e. V. (der »Ortsgruppe des gemeinnützigen Freifunk Rheinland e.V.«) verantworteten Seite befindliche Text sagt genau nichts über eine Verschlüsselung zwischen Knoten und Gateway/»Superknoten« aus. »Um die Aufsteller der Knoten, die ihren Internetzugang teilen, vor der Störerhaftung zu schützen« reicht es rechtlich aus, daß der Traffic nicht über deren Internetzugang rausfließt, sondern, »NATs are good«, über $wenanders, also z. B. den Freifunk Rheinland e. V. Selbst wenn der transportierende Anbieter DPI machen würde: soweit ich weiß dürfte er es nicht und hätte mithin keine Handhabe gegen seinen Kunden.

Kurz und prägnant: ersichtlich verspricht Freifunk Essen gerade nicht, daß der Weg zwischen Knoten und der Freifunk-Essen-Infrastruktur »verschlüsselt« würde, Punkt. Somit fehlt es auch an Argumenten gegen L2TP.
Ob das anders gemeint war? Wenn dem so wäre, warum schrieb man man das nicht auch so, wie es angeblich gemeint war? Letztlich ist Freifunk Essen ja ein Verein, insofern könnte man ein Meinungsbild oder gar einen Beschluß herbeiführen …