VPN für Freifunk-Clients

Gestern habe ich mit einem Freifunk-Interessenten darüber diskutiert, warum wir eigentlich kein VPN für Freifunk-Clients anbieten, wo wir unseren Datenverkehr doch sowieso überall tunneln und verschlüsseln.

Seine Vorstellung wäre, dass auf den Supernodes der Communities noch irgendwo ein OpenVPN oder was ähnliches laufen könnte, zu dem es einen Client für Smartphones gibt. Die Leute wählen sich dort ein und sind dann auch im offenen WLAN geschützt. Zugang dazu nur über Freifunk-Netz, damit es nicht außerhalb als Billig-VPN genutzt wird.

Was haltet ihr von der Idee? Wäre sowas machbar / sinnvoll?

5 Likes

Prinzipiell finde ich das gut und sinnvoll. Lässt sich so etwas denn auf Smartphones einfach so konfigurieren, dass das VPN nur bei Freifunk aufgebaut wird und dann automatisch? Das sollte ja auch für weniger versierte Anwender praktikabel sein. Erzeugt so etwas eventuell hohe CPU last auf dem Client und damit einen deutlich höheren Stromverbrauch?

Verschlüsselung kostet CPU-Zeit. Wie sich das auswirkt, müsste mal jemand testen, der sich regelmäßig per VPN auf den Smartphone verbindet.

Wenn es nur darum geht den Luftweg zu verschlüsseln, wäre es dann nicht sinnvoller, das WLAN zu verschlüsseln, ohne das sich der User explizit anmelden muss? Vielleicht ginge das mit IEEE 802.11u? Da müsste der Nutzer keine Zusatzsoftware installieren und konfigurieren.

Ich halte das auch für eine sehr gute Idee. Meiner Meinung nach sollten wir das jedoch erstmal hinten an Stellen, bis alle Performanceprobleme usw. ausgemerzt sind, oder?

Ja VPN führt unter Android zumindest dazu, das die CPU nicht vollständig in den Sleep Modus fällt.

Auch das Surfen über VPN kostet deutlich mehr Akku.

Vpn unter Android ist zwar grundsätzlich machbar hat aber einige Hürden:

PPTP, L2TP und IPSec werden out of the box überstürzt, das Smartphone muss dann jedoch durch einen PIN oder ein Kennwort geschützt werden. Bei manchen Android Modellen kommt es unter 5.0 zu abstürzen wenn VPN aktiv ist.

OpenVPN kann mittels App einfach nachgerüstet werden. Hier empfehle ich die App OpenVPN Client Free. Die Bedienung und die Übertragung der VPN Profile erfordert jedoch etwas mehr als der Ottonormal Handynutzer kann.

Wer IPSec mit XAuth RSA nutzt, dem kann ich die kostenpflichtige App VPNCilla empfehlen.

Die Nutzungseinschänkung der VPN Server nur aus dem FF Netz muss auf dem Server eingerichtet werden. Keine der derzeitigen Apps enthält eine Möglichkeit die VPN Nutzung nur über einen FF Knoten zu gestatten.

1 Like

Halte ich nix von. Ja machbar wäre es, aber für diesen zusätzlichen „Dienst“ müsste dann auch Support angeboten werden. Immer bedenken wir machen das alles freiwillig in unserer Freizeit.

Nichts desto trotz möchte ich niemanden Aufhalten eine Freifunk VPN App zu entwickeln welche es den Nutzern möglichst komfortabel macht im Freifunk Netz ein VPN zusätzlich zu nutzen. Allerdings gibts solche Apps schon von anderen Herstellern darunter bekannten Antivirus Herstellern und teilweise auch Kostenlos. Ich denke wir sollten wenn eher auf diese Möglichkeit hinweisen, anstatt selber solch ein Dienst anzubieten.

Ich sehe auch selbst keinen höheren Sicherheitsgewinn dadurch. Die Well Known Apps (Facebook, Google+, WhatsApp, E-Mail Clients) machen alle von sich aus TLS Verbindungen zu ihren Servern. Bei den E-Mail Apps sollte einmal in die Einstellungen geschaut werden und wenn noch nicht geschehen TLS/SSL aktiviert werden.

Nein dafür braucht es Client Zertifikate auf den Endgeräten.

2 Likes

Ich habe mich da mal schlau gemacht: So wie ich das sehe ist das keine Notwendigkeit des Standards, sondern nur eine Limitierung existierender Implementierungen. Prinzipiell müsste es möglich sein mit EAP-TLS ausschließlich serverseitige Authentifizierung zu machen wie bei HTTPS.

Interessanter Gedanke, aber Kanonen auf Spatzen. Einerseits muß Ende-zu-Ende-Verschlüsselung forciert werden, alles andere ist De-Mail reloaded. Dann sehe ich nicht, wie das skalieren soll; Verschlüsselung kostet Rechenzeit, die auf den Gateways („Supernodes“) eh’ ein teures Gut sind. Bei Knoten mit 50 und mehr Nutzern hieße das, worst case, 50 OpenVPN-Tunnel, die die Daten, die aus dem fastd grade rausgefallen sind, entschlüsseln (VPN-in-VPN); und das nur für diesen einen Knoten.

Wer dies wünscht, dem steht seine heimische FritzBox zur Verfügung oder verschiedenste Anbieter, die auch nicht die Welt kosten.

2 Likes

Ich habe ein Dokument gefunden, das dies näher ausführt. Unter wpa_supplicant es nur notwendig, einen Check im Source Code zu entfernen, was dort erläutert wird, und schon kann sich der Client über TLS verbinden, ohne das er ein Zertifikat braucht.

Finde ich grundsätzlich eine nette Idee, aber bitte nicht auf den Supernodes, sondern auf einem dedizierten Server dafür.

Tendenziell könnte da ja jedes Gerät machen, dass mit einem Bein im Freifunk-Netzwerk steht. Supernode kam jetzt nur direkt hoch, weil die ja sowieso in einem Rechenzentrum stehen.

Vielleicht teste ich das auch einfach mal mit einem OpenWRT-Router hinter dem Freifunk-Router.

Freifunk bietet bereits einen VPN-Service an. Jeder kann sich per Fastd mit den Knoten verbinden, es gibt genügend Comnmunities ohne Registrierungspflicht.

Für OpenVPN sehe ich keinen Grund. Das würde eher missbraucht werden, denn Mal ehrlich, es gibt keine nennenswerten Dienste im Freifunk, die von außerhalb erreichbar sein müssten. Und viele Communities haben globale IPv6, dann kann man sowieso alles von außen erreichen.

Langfristig ist die Idee sowieso die Gateways abzuschalten und lokal auszuleiten.

Man muss bedenken, dass durch VPN auf den Supernodes die meisten Angriffe, die den Benutzern im freien WLAN Sorge machen, unterbunden werden. Es geht hier nicht darum das ganze NSA-fest zu machen, sondern nur darum dass der Typ neben mir nicht abhören kann, welche Seiten ich aufrufe, oder auch Inhalte sehen kann, wenn der Webserver mal kein HTTPS anbietet.

Dafür wäre ein VPN vom Endgerät vom Supernode natürlich ideal. Darum haben wir bei uns auch mal überlegt, das zu machen.

(Ich gehe aus, das war es, was SenorKaffee meinte. Hier wird das irgendwie mit anderen Szenarien vermischt, z.B. VPN von draußen ins Freifunknetz rein, oder VPN als Ende-zu-Ende-Verschlüsselung aus dem Freifunknetz raus und so. Davon halte ich auch nichts.)

Bei uns scheiterte das aber an zwei Dingen:

  1. Natürlich ist das Aufwand, den jemand erstmal betreiben müsste. Wir haben aber ehrlich gesagt wichtigeres zu tun, also einen VPN-Dienst anzubieten der vermutlich eh nur von ganz wenigen Leuten genutzt wird.
  2. Wir wussten nicht so ganz genau, wie wir auf sichere und trotzdem wenig aufwendige Art Zugänge verteilen wollen. Da die Klientel, die sich einen VPN-Zugang holen will, auch genau auf das Verfahren achtet, und erfahrungsgemäß reflexartig meckern würde, wenn etwas von Industriestandards (die für ganz andere Bedrohungsszenarien enwtickelt wurden) abweicht, haben wir es dann direkt sein gelassen.
1 Like

Das ist kein Problem meiner Meinung nach.

Was die App leisten müssten wäre jedoch, den Datenverkehr „wenn im Freifunk“ automatisch über’s VPN zu tunneln. Und „in anderen Netzen“ das VPN eben wieder abzuschalten.

Tasker? Oder ist das dann endgültig Nerdgasm?

VPNCilla hätte eine SSID Whitelist, OpenVPN Free kann leider nichts der gleichen.

In meinen Augen ja. Die meisten Handy Nutzer sind doch schon überfordert wenn sie einen QR Code scannen müssen.

1 Like

Ein VPN innerhalb Freifunks ist eine tolle Sache, da Freifunk ein unsicheres Netzwerk ist. Ich persönlich habe jedoch genug mit der Wartung und Instandsetzung der Infrastruktur zu tun, dass ich dafür keine Zeit hätte, obwohl es eine tolle Sache ist.

Ich habe ein VPN für mich allein zu Hause eingerichtet. Über diesen gelange ich über meinen Internetzugang ins Internet. Sollten alle Gateways ausfallen, habe ich somit immer noch Internetzugang im Freifunk (kohärente FF-Wolke vorausgesetzt, über die die Pakete zu mir gelangen), aber nur ich, da über meinen privaten Internetzugang die Internetanbindung geschieht. Dies sollte eigentlich jeder für sich im Freifunk implementieren.

So ein Dienst gehört nicht auf die Superknoten. Den kann man perfekt ins Internet outsourcen (Anbieter gibt es bereits und man kann es auf seinem privaten Server implementieren)

Für einen Freifunk-Interessenten würde ich persönlich eh nichts machen. Soll er Freifunker werden und sich an der Freifunkgeimeinschaft beteiligen und daran Teil nehmen, dann kann man gemeinsam besprechen, wie man so etwas für die Gemeinschaft implementiert.

2 Likes

+1

Das hat absolut nichts mit Freifunk zu tun, sondern ist ein externer Dienst, den man entweder kostenlos (dann halt langsamer) oder gegen Einwurf weiterer Münzen (dann ein wenig schneller) anmieten kann.

Wenn jemand den privaten und kostenpflichtigen Angeboten an der Stelle tatsächlich Konkurrenz machen möchte, dann reicht jeder handelsübliche im Internet angemietete Server für die ersten hundert+ Tunnel aus.

Wenn man lediglich den „Funkverkehr“ verschlüsseln möchte, damit nicht alles offen durch die Luft geht könnte man auch einfach WPA2 als zusätzlichen AP anmachen, damit erreicht man dann jedoch lediglich, dass das Verständnis für Ende zu Ende Verschlüsselungen vollkommen versiegt, da sich dann alle nicht so tief im Thema steckenden Personen im „Tal der Sicherheit“ angekommen fühlen. Mir persönlich ist es durchaus sympathisch, dass die Nutzer mal anfangen sich um solche Themen Gedanken zu machen, deshalb würde ich auch ungerne eine verschlüsselte Freifunk SSID in die Luft bringen…

1 Like

Mein Reden. Wir stellen eine Netzwerk Infrastruktur zur Verfügung. Nicht mehr und nicht weniger. Dienste in dieser Infrastruktur können gerne beliebig angeboten werden. Allerdings so was wie zusätzliches VPN, ist nicht Aufgabe von Freifunk. Und verschlüsseltes WiFi hat im Grunde nix mehr mit Barrierefreien Zugang zu tun.

1 Like

Dazu zum Präzisieren (für alle die mitlesen): Damit gemeint ist wohl WPA2 Enterprise mit Nutzerkennungen, oder? WPA2 Personal wie man es zu Hause kennt, bei dem jeder das Passwort kennt, ist auch nur nen Tacken sicherer als ein unverschlüsseltes Netz.

2 Likes