Was passiert nach der Aufstellung eines Freifunk Routers?!

Hallo Community,

mit Spannung und Begeisterung verfolge ich nun schon sein einiger Weile die Themen hier im Forum und versuche mich zunächst theoretisch an die Materie FF heranzutasten.

Aktuelle Ereignisse werfen bei mir jedoch einige Fragen auf:

1. Was passiert nachdem ein Freifunk Router aufgestellt wurde?

• Können Änderungen von außen am Router durch 3. durchgeführt werden?

Meinem Verständnis nach sollte dies ja nur durch den Aufsteller mittels SSH/LUCI, oder durch ein Autoupdate der Fw möglich sein.

2. Ist ein Zugriff auf die hinter dem Router vorhandene Netzwerkinfrastruktur (privates LAN) möglich?

• Hierbei ist nicht ein ggf. möglicher Hack sondern der Zugriff out of the box gemeint. Gerade bei IPv6 stellt sich mir diese Frage.

3. Wie ist die rechtliche Seite zu Bewerten?

• Ist es grundsätzlich in allen Domänen so, dass der FF Router eine IP eines Vereins erhält, der als ISP registriert ist, oder ist dies abhängig davon, ob der Verein der in diesem Landkreis zuständig ist als ISP registriert ist. Bedeutet im Umkehrschluss, dass Router die zu Communities gehören die nicht als ISP angemeldet sind „nur“ via VPN die IP des „Spenders“ schützen?!

4. Wie ist Ablauf von einer Idee einer FW Änderung bis hin zum Rollout?

• Gibt es Issue Listen, Verteilerkreise, Tests und Audits?

Grundsätzliches:

1. Gibt es Handouts, Flyer, Infobroschüren, welche die wichtigsten Fragen potentieller Spender aufgreift und beantwortet?

• Von „Was ist FF …?“ bis „Und ihr habt mit eurem Router dann nicht ein Backdoor in mein Netz?“ (Das dem nicht so ist, ist mir klar, jedoch werden diese Fragen im Rahmen der Aufstellgespräche sicher oft gestellt.)

2. Ist ein Spender bereit einen FF Router aufzustellen oder auch aufstellen zu lassen, was ja rechtlich betrachtet eine ganz andere Aussage ist, werden dann schriftliche Verträge oder andere Vereinbarungen geschlossen?

• Gerade dann, wenn Ließchen Müller die davon gegen wir einfach mal aus umfassend beraten wurde, die Entscheidung trifft Spender zu werden, mit der Aufstellung aber den Verein oder gar ein nicht in einem Verein organisierten Freifunker beauftragt, heißt es ja immer dann wenn das Gerät Probleme macht oder gar Abmahnungen ins Haus flattern, weil man schlichtweg bei der Einrichtung geschludert hat immer schnell: „Moment, ich habe XY beauftragt das zu tun, er ist verantwortlich…!“

Grüße aus dem Norden
-Tarnatos

Nein, nur durch 2., d.h. Berechtigte, die eine Firmware signieren können
und auch nur wenn der Aufsteller den Autoupdater nicht deaktiviert hat

Nein

Nein, da ist Rheinland die Ausnahme. Andere Vereine leiten den Traffic nach Holland oder Schweden.

Je nach Community bzw. Domäne unterschiedlich

Wenn du das Auto-Update deaktivierst (geht direkt bei der ersten Einrichtung), ist der Router erstmal zu. Auto-Updates sind als Sicherheitsmaßnahme signiert. SSH ist standardmäßig dicht, muss erstmal im Konfigmodus (physicher Zugriff) aktiviert werden.

Eine Firewall auf dem Router trennt die Netze. Eine fahrlässig falsche Verkabelung könnte rein theoretisch zu Sicherheitsproblemen führen, macht aber so ein Netzwerkchaos, dass in der Regel überhaupt nichts mehr geht. Eine eventuell vorhandene öffentliche IPv6 endet auch am Router.

Freifunk ist da ein bisschen wie ein Abstraktionslayer. Die eine „Ortsgruppe“ macht es so, die andere so. Meinst du eine spezielle Community?

Das ist unterschiedlich je nach Community. Es gibt auch verschiedene Arten von Updates. Eher Hausmeisterei wäre z.B. ein Update des Betriebssystems Gluon, falls die Community das überhaupt einsetzt. Dann gibt es den Wechsel von Funkeinstellungen, den Einsatz anderer Supernodes etc.

Verschiedene Communities haben nach Bedarf immer mal wieder was erstellt, da kannst du was in den Wikis finden. Wenn du was konkretes brauchst, hilft man dir sicher weiter.

Nein - entweder vertraut der Aufsteller der Technik oder eben nicht. Wenn du einen Service- und Haftungsvertrag ausarbeiten möchtest, gerne. Nur musst du den dann auch selbst erfüllen, da springt kein Verein für ein.

Eine Ausnahme gibt es. Die Einrichtung von Fernzugriff auf einem Router, der in einem fremden Netz steht. Davor muss immer Aufklärung stehen, die Belehrung über die Konsequenzen sollte man sich auch signieren lassen.

Das stellst du dir, glaube ich, ein bisschen falsch vor. In der Praxis passiert viel über Vertrauen und Übernahme von persönlicher Verantwortung. Wenn dir jemand erlaubt, einen Router aufzustellen, stehst du bei demjenigen im Wort, ganz archaisch. Also nicht bei der Einrichtung schludern.

Wenn man jemanden bittet, einen SSH-Key zur Fernwartung zu hinterlegen, dann aber schon. (Mir ist klar dass du das weißt, nur zur Klarstellung für die anderen, die den Thread lesen )

Gerade dann, wenn Ließchen Müller die davon gegen wir einfach mal aus umfassend beraten wurde, die Entscheidung trifft Spender zu werden, mit der Aufstellung aber den Verein oder gar ein nicht in einem Verein organisierten Freifunker beauftragt, heißt es ja immer dann wenn das Gerät Probleme macht oder gar Abmahnungen ins Haus flattern, weil man schlichtweg bei der Einrichtung geschludert hat immer schnell: „Moment, ich habe XY beauftragt das zu tun, er ist verantwortlich…!“

Wir operieren einfach auf der Annahme dass Gluon idiotensicher ist. Wenn etwas schiefgeht ist sicher auch noch Kohle von der Operation Störerhaftung für die Gerichtsverhandlung da.

Wer alles 100% abgesichert haben will, oder auf Verträge oder Formalien besteht, und eigentlich nur scharf auf den billigen Hotspot ist, der ist beim Freifunk auch falsch. Das muss man ganz ehrlich so sagen, und da müssen wir auch den Mut haben, nicht jeden glücklich machen zu wollen. Wer ein wenig ängstlich ist, uns aber trotzdem fördern möchte, kann gerne einen reinen Mesh-Knoten aufstellen ohne Uplink.

Wer Angst davor hat, Knoten bei anderen aufzustellen, weil er denkt, er kann von denen dann haftbar gemacht werden, der soll es sein lassen. Freifunk soll Spaß machen, niemand wird gezwungen sich in ein für ihn inakzeptables Risiko zu stürzen.
Ich sehe für mich persönlich das Risiko jedoch gering genug an. Du kannst das gerne anders sehen und dementsprechend handeln, das nimmt dir niemand übel.

Man könnte denken „Fragt doch mal einen Anwalt“. Leider hat man sobald man zwei Anwälte fragt drei oder mehr Meinungen. Wer lange genug sucht, wird immer einen Anwalt finden, der Freifunk für ein rechtliches Pulverfass hält, genau so wie wir auch immer Anwälte finden, die uns glaubwürdig darlegen können, dass wir auf der sicheren Seite sind. Damit sollte man offen umgehen, wenn man mit den besorgten Menschen spricht, und akzeptieren, dass man die ängstlichen Menschen nicht unbedingt gewinnen kann.

Du als Betreiber und Inhaber der Verfügungsgewalt über den Router wirst eigentlich immer nur vor der sogenannten „Haftung als Störer“ geschützt, weil du erst mal nicht als solcher zu ermitteln bist. Bei allen Handlungen die über deinen Router geschehen, taucht beim Ziel nicht deine IP auf. Jetzt musst du darauf vertrauen, dass der, dessen IP auftaucht, nicht speichert, wer es wirklich war. Sonst müsste er es bei Anfragen verraten. Dass der Absender als ISP registriert ist, schützt nur ihn als ISP vor der Haftung, nicht automatisch dich.

Das ist meine Auffassung der Rechtslage. Eine Bewertung kann nur ein Fachanwalt vornehmen und dann ist immer noch nicht sicher, wie ein Gericht urteilt.

Was wie gemacht wird, entscheidet die Firmware, die du auf dem Router installierst. Da Freifunk frei ist, gibt es keine Instanz, die Zuständigkeiten verbindlich regeln kann. Es gibt Empfehlungen und Absprachen. Aber Konkret könnte jeder es anderes machen.

nicht ganz richtig. als anerkannter Provider hat er keine Auskunftspflicht, d.h. jemand anders hat diese sehr wohl, sofern in Deutschland und nicht andere nationale Gesetze gelten.

a) Was ist ein „anerkannter Provider“? Die Gesetze kennen nur „Diensteanbieter“, „geschäftsmäßige Diensteanbieter“ und „gewerbliche Diensteanbieter“. Was davon Freifunker und Freifunk-Vereine sind, müssen Gerichte entscheiden.

Wenn es einen aus der Haftung nimmt, wollen immer alle Provider sein, wenn es bedeutet, dass man irgendwas tun muss, wieder nicht. Ist ja irgendwo auch logisch.

Im Freifunk Rheinland scheinen viele zu glauben, dass diese komische RIPE-Mitgliedschaft den Verein irgendwie mehr zu einem Diensteanbieter macht als andere Konstrukte, konkurrierende Vereine, die doofen Legacy-Freifunker etc. pp.

Es gibt keine rechtlich verbindliche „Registrierung als ISP“ bei irgendwem.

b) Gerade Diensteanbieter haben (Auskunfts-)Pflichten nach TKG, auch wenn die Bundesnetzagentur die (bis jetzt) mittelgünstig für Freifunk zu interpretieren scheint (nur „Mitwirken“, also keine Meldepflicht etc.).

(Übrigens das, was einer Registrierung noch am Nächsten kommt: Bei der Bundenetzagentur deren Rechtsauffassung erfragen. Ist zwar für Gerichte dann auch nicht verbindlich, aber immerhin ein Indiz.)

@SenorKaffee
Nein keine Community im speziellen das war nur eine grundsätzliche Frage.

Damit ich das richtig verstehe, SSH erlaubt doch aber nur den Zugriff auf den Router aus dem gleichen LAN? Oder ist der Router dann auch innerhalb der Domäne aus der Ferne erreichbar? Bei IPv6 ggf. sogar direkt?

Einen Haftungs- oder Servicevertrag möchte und könnte ich auch gar nicht ausarbeiten. Nur hätte es ja sein können, dass es sowas innerhalb der Com. bereits gibt.

stehst du bei demjenigen im Wort, ganz archaisch

Daher möchte ich mich umfassend informieren.

@yayachiken

und eigentlich nur scharf auf den billigen Hotspot ist, der ist beim Freifunk auch falsch.

Das sehe ich genauso.

kann gerne einen reinen Mesh-Knoten aufstellen ohne Uplink

Das ist eine gute Idee!

Wer Angst davor hat, Knoten bei anderen aufzustellen, weil er denkt, er kann von denen dann haftbar gemacht werden, der soll es sein lassen.

Darum geht es mir in keinster Weise. Das Ganze interessiert mich sehr und ich habe einige Ideen die ich gerne versuchen würde umzusetzen. Dafür ist aber umfassendes Wissen und etwas Vorbereitung nötig. Schließlich will ich ja nicht mit einem Messer zu einer Schießerei gehen wie man so schön sagt.

Mit SSH ist der Router aus dem gesamten Internet via seiner IPv6 zu erreichen, für jeden der die Zugangsinformationen (Passwort oder Key) hat.

Daher ist es ja auch so wichtig, nur SSH-Keys zu hinterlegen, damit man nicht ein Passwort erraten kann! Ein Key ist quasi so etwas wie ein riesig großes Passwort, da ist es praktisch unmöglich einfach alle Möglichkeiten durchzuprobieren

Wenn du SSH im Konfigurationsmodus aktivierst, gilt der Zugang für das LAN und für die Kollisionsdomäne, bei Communities mit Public IPv6 für das ganze Internet. Das ist eine praktische Sache für die Administration.

Key und Passphrase wird als sehr sicher erachtet, in der Tat. Key alleine würde ich nicht nutzen, der kann einem ja auch irgendwie abhanden kommen.

Autsch,
ich habe einen Linksys gekauft, den mit der Firmware von Neuss (Rheinland) bestückt mit Inet von meinem Router versorgt und das war es dann auch. Wegen mangelnder Detailkenntnisse nix ssh Key etc. hinterlegt. Bedeutet ich habe a.) einen Fehler gemacht? und b.) jetzt einen unsicheren von aussen (also vom ganzen Inet aus) per ssh erreichbaren Freifunkknoten???
So zumindest habe ich das ganze jetzt verstanden. Ist das so, brauche ich jemanden der mir das dann nochmal detailliert näher bingt das Thema, denn so fühle ich mich dann mit meinem Knoten nicht mehr sicher.

Nein. Wenn Du weder Key noch Passwort einträgst, ist der Knoten nicht ungesichert, sondern einfach gar nicht per SSH erreichbar. Ist also soweit alles in Ordnung bei Dir.

Der Router ist extra so gemacht, dass er erstmal komplett „dicht“, also sicher ist. Kein Handlungsbedarf, einen SSH-Zugang gibt es nicht ohne explizite Aktivierung der Funktion!

@HeptaSean
@SenorKaffee
Danke für die Aufklärung, das beruhigt mich nun ungemein, dass die Kiste auch dicht ist, wenn man nichts einträgt.