VPN-Umstellung zum 08.02.2016

Auf Bestreben von @nomaster und @cyrusfox haben wir beim heutigen Community-Treffen folgendes beschlossen. Der Vorstand des Freifunk Düsseldorf e.V. hat dazu einen gleichlautenden Beschluss verabschiedet.

  1. Wir stellen das VPN der Freifunk Düsseldorf Firmware komplett auf
    L2TP um.
  2. Der bisherige Dienst Fastd wird durch Tunneldigger/L2TP
    ersetzt und abgeschaltet.
  3. Stichtag ist der 8. Februar 2016.

Wir hoffen, im Sinne der gesamten Community in Düsseldorf entschieden zu haben.

Im folgenden einige technische Informationen zu dem neuen Dienst.

Geschwindigkeit

Die Verbindungen werden im neuen Verfahren durch Tunneldigger ausgehandelt. Dieser erzeugt bei Server und Client dynamisch L2TP Interfaces, die für individuellen Verbindungen verwendet werden. Über diese wird - wie bisher auch - Batman-Pakete verschickt und die Mesh-Verbindung aufgebaut.

Da L2TP im Kernel-Space läuft, muss nicht jedes Paket erst zu einem Prozess im User-Space durchgereicht und von diesem wieder übernommen werden. Der aktuell eingesetzte Dienst Fastd tut dies, ähnlich wie der bekanntere Dienst OpenVPN. Bei solchen Diensten werden für jedes Paket acht Mal so viele CPU-Zyklen durchlaufen und dadurch die mögliche Datenrate auf einen Bruchteil reduziert. Zudem ist so die Latenz beim Weiterleiten der Pakete ebenso erhöht. Auch das belastet die mögliche Datenrate.

Die Geschwindigkeit ist also hauptsächlich an die Taktrate der CPU gebunden. Messungen mit Fastd haben ergeben, dass die eingesetzten Cipher keinen erheblichen Unterschied bewirken. Der zusätzliche Aufwand der Verschlüsselung ist hier fällt hier also kaum ins Gewicht.

Ergebnis der Umstellung ist, dass wir nahezu die gesamte mögliche Bandbreite eines Anschlusses nutzbar machen. 60 Mbit/s (und wohlmöglich mehr) sind damit leistbar, je nach Geschwindigkeit des Anschlusses.

Angeblich haben unsere Kollegen von Wifi Slovenija den Tunneldigger auch deswegen entwickelt, weil sie daheim vielerorts Glasfaser liegen haben und damit wesentlich schnellere Anschlüsse als wir hier in Deutschland. Wir beneiden das.

Tunnel

L2TP verschlüsselt die Daten gar nicht. Zwar wäre das möglich durch zusätzlichen Einsatz von IPsec, jedoch verzichten wir bewusst darauf. Wir sehen keine Notwendigkeit darin, diesen einen Teilabschnitt unseres ansonsten offenen Netzwerks zu verschlüsseln. Wer Crypto braucht, möge diese darüber werfen.

Falls ihr euren Usern vor Ort also Freifunk mit Verschlüsselung angeboten habt, müsst ihr diese informieren, um keine Sicherheitsprobleme für diese zu erzeugen. Es kann durchaus sein, dass jemand sich auf Crypto an dieser Stelle verlässt und er in diesem Einzelfall tatsächlich davon einen Nutzen hat. Diese Anonymität ist aber ohnehin stark gefährdet.

Wir empfehlen zur anonymen Nutzung des Internets Tor. Das ist nicht nur schneller, sondern bietet tatsächlich eine nur sehr aufwendig aufzuhebende Anonymität an. Eine Verschlüsselung des VPN-Tunnels auf Carrier-Ebene leistet dies nur in sehr geringem Maß.

Auch wenn L2TP nicht verschlüsselt überträgt, bleibt es bei einem Tunnel. Das bedeutet, dass sämtlicher Datenverkehr von den Endpunkten ein- und wieder ausgepackt wird. Die IP-Adresse des Betreibers vor Ort bleibt damit den Diensteanbietern im Netz unsichtbar.

Der Datenverkehr kann also nach wie vor von allen beteiligten Providern manipuliert, geblockt und überwacht werden. Das gilt bei Freifunk genau so, wie bei jedem anderen Anschluss. Bitte bedenkt das und schützt euch entsprechend!

Frist

Wir schalten Fastd ab, sobald alle Nodes per Auto-Update. Dies erfolg nach dem nächsten Community-Treffen am 8. Februar 2016. Die Supernodes werden vor oder nach diesem Stichtag auf eine neue Infrastruktur umziehen, die für den Betrieb mit L2TP ausgelegt ist.

Wer manuelle Updates benötigt, möge die Beta-Firmware bis dahin installieren und konfigurieren. So können wir jetzt schon höhere Datenraten ermöglichen und dafür sorgen, dass keine Offline-Lücke entsteht bei der Umstellung.

Wer das verschlüsselten VPN aus hier nicht genannten Gründen benötigt, möge dies bitte selber betreiben und konfigurieren. Wir können leider keine Infrastruktur für ältere Firmware-Versionen anbieten, da diese auch aus anderen Gründen früher oder später inkompatibel wird. Daher bitten wir euch, dass ihr euch aktiv um eure Anforderungen kümmert und eine nachhaltige Lösung entwickelt.

Rollout

Die Firmware wird zuerst in kleinen Schritten ausgerollt, um bei Problemen das Rollout stoppen zu können. Wenn keine Probleme auftreten, werden alle Nodes vollständig aktualisiert.

Dieses Update ist auf Gluon 2015.1.2 basiert. Sobald die Version 2015.2 erscheint, wird diese für ausgerollt. Auch hier wird es zuerst eine Beta-Version geben. Außerdem wird mit dem Update ein neues Versions-Schema verwendet, die neue Version trägt die Release-Nummer “v1.0.5”.

Q&A

Ist der Anschluss Inhaber einer Node mit L2TP ungeschützter als mit Fastd?

Nein, dies ist nicht der Fall. Die Verschleierung der IP-Adresse des Anschlussinhabers wird mittels der Enkapsulierung der Nutzdaten erreicht; also derjenigen Daten, die ein Endgerät ins Internet sendet. Die Daten werden am Supernode wieder dekapsuliert und bekommen dort eine IP-Adresse des Freifunk Rheinland als Absender. Dies ist bei L2TP genau wie bei Fastd der Fall.

Fastd nutzt Verschlüsselung und hilft deshalb zusätzlich dagegen das die Daten mitgelesen werden können um den Anschluss Inhaber zu erkennen oder Clients auszuhorchen.

Zwar hilft es punktuell, die Daten auf dem Weg zum Supernode zu verschlüsseln, allerdings kann der Traffic auch anderweitig mitgelesen werden. Bei Freifunk handelt es sich um ein offenes Netzwerk, welches deshalb Risiken mitbringt, wie jedes andere solche Netzwerk auch.

Die Verschlüsselung der Daten ist unter diesen Gesichtspunkten irrelevant und trägt nicht dazu bei, den Anschluss Inhaber schwerer identifizierbar zu machen; dies wird lediglich mittels der Enkapsulierung der Daten auf dem Weg zu den Supernodes erreicht.

Die Vorratsdatenspeicherung ist wieder da, werden die Daten der Clients dann nicht fälschlicherweise dem Anschluss Inhaber zugeordnet wenn diese nicht verschlüsselt sind?

Die Vorratsdatenspeicherung speichert sogenannte Meta-Daten, diese sind im Zusammenhang mit einem Internetanschluss z.b. auf welche IP-Adressen zugegriffen werden oder welche DNS-Einträge abgerufen werden. Bei den IP-Adressen wird dies mittels des des so genannten IP-Headers erkannt. Dort steht die Absender und Ziel IP-Adresse. Die Nutzdaten selbst werden dabei nicht untersucht, also das was sich in diesem Paket befindet. Es verhält sich also Analog dazu als ob man jeden Absender und Empfänger auf einem DHL-Paket notiert und das Paket weiter schickt ohne es zu öffnen.

Bei DNS-Einträgen geschieht dies mittels einer Log-Datei auf den Servern, welche ausgewertet wird oder die Daten werden direkt auf Port 53 mitgeschnitten. Da es viel Rechenzeit benötigt, um die schiere Menge an Paketen zu verarbeiten, die ein Internetanbieter so am Tag verschickt, wird dies vermutlich nur mit dem relevantesten Traffic gemacht.

Wenn ein Paket mittels L2TP oder Fastd zu den Supernodes geschickt wird, dann wird die Auflösung des Hostnamens der Supernodes, sowie die IP Verbindung zu diesen protokolliert. Es ist also unerheblich, ob L2TP oder Fastd verwendet wird. In beiden Fällen ist nur bekannt, dass eine Verbindung zu den Supernodes des Freifunk Düsseldorf besteht.

10 Likes

Würde da eine simple Presseinfo reichen?
Müsste jeder Knotenbetreiber schriftlich (mail) informiert werden?
Stelle ich mir schwierig vor, bereits in unserer Subdom kenne ich nur ein Bruchteil der Kontenbetreiber…

Wie setzt ihr in D-Dorf das in der Praxis um?

In Düsseldorf haben wir nicht als Community die Verschlüsselung beworben/versprochen. Deswegen ist es nicht nötig, alle Knotenbetreiber explizit zu erreichen. Wir sind der Meinung dass die Info über diesen Forumspost gut und mit genug Laufzeit verbreitet wurde.

Die Aufforderung von @nomaster richtet sich an Community-Mitglieder, die bei einem dritten (der nicht explizit Teil der Community ist) versichert hat, dass der Tunnel verschlüsselt ist.

3 Likes

Wir sehen in Düsseldorf Freifunk als Community Projekt. Es liegt nicht in unserer Verantwortung die Leute individuell zu informieren.
Wenn die Node Betreiber das Forum nicht nutzen, so können wir auf diese nicht gesondert eingehen.
Es liegt generell in der Verantwortung des Nodebetreibers sich über die Neuerungen und Ziele bei der Netzplanung zu informieren.
Wir teilen die Informationen hier für alle zugänglich, das muss reichen.

Was du beschreibst hat eher was mit professionellen Hotspot Providern zu tun :wink:

4 Likes

Ich hielte eine entsprechende Mail für sinnvoll und auch für einfach machbar.
(Wer keine erreichbare E-Mailadresse hinterlegt hat, derjenige oder diejenige müsste das dann selbst verantworten. Siehe PPA.)

Wir haben uns mal drauf geeinigt, dass die Kategorie Düsseldorf hier im Forum der offizielle Kanal für Ankündigungen ist. Das bietet auch den Leuten die Möglichkeit, mit einander zu sprechen.

Habt ihr schon Erfahrungen mit dem Usage- Flag bei Tunneldigger zum Loadbalancing ? In Troisdorf funktioniert das leider nur manchmal.
Welche Tunneldiggerversion setzt Ihr auf Client/Server-Seite ein? Die aus dem FFRL oder dem normalen Repo?

Die Usage-Selection ist nun seit gut einem Monat online und funktioniert soweit einwandfrei.
Wir nutzen das FFRL-Repo.

mmh. Der @stefan hat in Troisdorf das Problem das der Client mal die Usage vom Broker mitgeteilt bekommt, manchmal nicht.

Die Usage-Selection ist ein extra UDP Paket, wenn die Supernodes Packetloss haben kann es passieren das dieses Paket evtl verloren geht. Ansonsten habe ich damit keine Probleme beobachten können.

11 Beiträge wurden in ein neues Thema verschoben: Unverschlüsselte VPN-Tunnel

Unter welcher Lizenz steht der Text? Wir Münsteraner sind zu faul…

Du solltest zumindest angeben, auf welches Posting Du Dich beziehst mit der Anfrage.
(Und den Autor ggf mit anpingen. @Cyrusfox ?)

Post #1 von @nomaster

Die Lizenz lautet: Tu was auch immer du willst.

1 Like