Neben den Vereinskonstrukten nutzen einige Communities ja VPN-Verbindungen zu ausländischen Anbietern um Internetzugang in ihrem Freifunk als Dienst bereitzustellen - was wir so schön als „Schweden-VPN“ bezeichnen.
Mich würde interessieren, welche Anbieter für Freifunk überhaupt interessant sind und was für Tarife dort üblich sind. Ich stelle mir vor, dass eine Community mit 100-200 Routern nicht den normalen Ottonormalkundentarif für einen Einzelhaushalt nutzen kann, sondern für die Dauerlast teurere Optionen ziehen muss bzw. die Last auf mehrere Accounts verteilen muss.
Mullvad ist in einem anderen Thread schonmal gefallen, das ist aber sicher nicht der einzige/beste/tollste/schnellste/sicherste Anbieter.
Nach fast einem Jahr nach dem Start unserer Community benutzen wir immer noch VPN Provider. Wir haben Diverse getestet und sind mit den jetzigen im Großen und Ganzen recht zufrieden.
Eingesetzt zur Zeit sind Tunnel von Mullvad und https://www.websecuritas.com
Wobei Websecuritas ein Deutscher Anbieter ist. Mit diesem habe ich mich jedoch im Vorfeld in Verbindung gesetzt und gefragt ob unsere angedachte Nutzung in Ordnung gehen würde. Daraufhin wurde mir erstmal ein einmonatiger kostenloser Testaccount eingerichtet, den wir im Dezember vergangenen Jahres während unseres Weihnachtsmarktes laufen hatten. Der Test war gut und wir haben jetzt auf Namen des Vereins dort Tunnel gemietet. Da wir uns aber nicht auf einem Anbieter verlassen wollten, läuft auf einem unserer Gateways auch noch ein Mullvad Tunnel. Websecuritas selbst hatte uns sogar angeboten einen Dedizierten VPN Server in einem Land unserer Wahl nur für uns aufzusetzen, falls wir Probleme mit der Performance hätten.
Test weise hatten ich auch mal einen Tunnel von Perfect Privacy VPN: Schnell, anonym & sicher im Internet im Einsatz. Dieser war sogar performanter als die Tunnel von Mullvad und Websecuritas. Allerdings ist der Preis auch recht hoch. Der Anbieter IPredator hat uns dagegen überhaupt nicht überzeugt. Lag immer unter den Leistungen aller anderen Anbieter. CyberGhost VPN ging garnicht, weil dieser Anbieter Port TCP 25 blockt. Mailen war so nicht mehr möglich aus dem Freifunk Netz heraus.
Da die VPN Anbieter bislang keine zufriedenstellende Lösung für IPv6 anbieten, läuft auf einem unserer Gateways noch ein http://www.sixxs.net Tunnel welcher ohne Verschlüsselung sehr performant ist.
Alles in allem haben wir augenscheinlich keine Performance Probleme. Viele Knoten im Gebiet laufen eh mit der Default Mesh-VPN Config 3000/300 kbit/s. Zuhause bei mir kommen Knoten vom Typ 841 und 4300 auf ihren CPU limitierten maximalen Mesh-VPN Durchsatz.
Deswegen drückt uns auch noch kein Schuh das wir unbedingt ausbauen müssten. Die VPN Tunnel schaffen, gemessen vom Gateway aus direkt zwischen 20-50 MBit/s und da liegen wir noch weit drunter.
Für das Versenden von Emails wird seit Jahren nur noch Port 587 verwendet. Jeder große Anbieter unterstützt das, wird eine Transportverschlüsselung verwendet, ist 587 ohnehin standard. Ohne sollte man gerade über Freifunk ohnehin keine Mails versenden, es sei denn, man verwendet PGP.
Port 587/tcp =t “Submission” sieht laut RFC 2476 die Authentifizierung der User vor. Dies heißt, dass
jegliche Server zu Server Verbindungen weiterhin über Port 25 erfolgen, die Clients sich aber auf Port 587 verbinden müssen/sollen. Die Unsicherheit, dass ein Admin den Port 587 genauso falsch (also komplett ohne Authentifizierung) konfiguriert wie schon den Port 25 ist durchaus gegeben.
Telekom soll auch Port 25 sperren.
Also, wenn schon Sicherheit, dann Port 465 SSL/TLS für SMTP und 995 für POP3. Wer in FF mit Port 25 werkelt, kann auch seinen Hausschlüssel unter die Fußmatte legen. Aber das ist bei den Facebook und Whatsapp-Usern eh in den Wind gesprochen.
Ist so - ich habe vor ein paar Wochen @work alle Clients umkonfigurieren müssen, da auf einmal keiner mehr E-Mails versenden konnte. Nein, ich war nicht als IT-ler da, sonst wäre längst sicherer Mailverkehr konfiguriert gewesen.
Ob ich nun keine Mail direkt (ohne Smarthost) ausliefern kann, weil ich in diversen rbls stehe mit meiner IP. Oder weil mein Provider mich blockt: das ist doch Jacke. Und hier eigentlich auch nicht weiter interessant, oder?
(Zumal die Telekom zumindest meines wissens eben KEINE Auslands-VPN-Lösungen anbietet. Zumindest nicht in dem Preisrahmen, den wir gemeinhin haben. Aber da mag ich mich jetzt irren.)
Port 465 und 995 sind für das veraltete SSL vorgesehen; aktuelle Software solte eigentlich TLS beherrschen, was über Port 25 und 143 läuft. Ich verstehe nicht, was daran gefährlich sein solte, die TLS-Variante zu benutzen.
Mailserver mit DANE gehen über Port 465 mit SSL/TLS für SMTP und 995 für POP3
praktisch alle, ich kenne keinen DANE-Mailserver, der über Port 25 und 143 arbeitet.
„… Die unsicheren Ports 143 und 110 für IMAP bzw. POP werden auch bei der
STARTTSL-Verschlüsselung benutzt. Für SSL/TLS benötigen Sie die sicheren Ports 993 (IMAPS) und 995 (POP3S). … Deshalb gilt auch hier die Forderung, eine sichere Kommunikation zu
wählen. Wie beim Eingangsserver ist die Verschlüsselung über SSL/TSL und
STARTTSL möglich. Der sichere Port für SSL/TSL ist 465 (SMTP),“
Ich stelle fest: Es gibt einige Auslands-VPN-Anbieter, die bestimmte Ports sperren.
Warum sie das tun oder was das bringt hat hier aber wirklich nicht zu interessieren. (Ich empfinde die Diskussion darüber hier als mehr als ärgerlich. Bitte @Pinky, @Benedikt_Wi , @mattes, @SenorKaffee verhandelt das irgendwo anders.)
Sofern hier Einigkeit besteht, dass wir „Internet mit Portsperren“ nicht als Freifunk anbieten wollen, sind diese Anbieter dann schlicht „raus“.
ich bin nicht sicher, ab man das so verallgemeinernd festlegen sollte.
Überpitzt: wenn wir einen Port 25 Sperrer mit toller Bandbreite und gutem Preis ausklammern, dabei gleichzeitig alle unsicheren Internetwege propagieren, es unterlassen, auf sicheren Internetverkehr (möglich auch mit FF) zu verweisen, dann geht das für meine Begriffe in die falsche Richtung, nämlich Allesmachen für Doofe ohne Nachdenken. Wenn das FF ist, dann Tschüss.
Edit:
Ich hielte es für sinnvoller und richtiger, die User auf die Gefahren hinzuweisen und Ihnen die Lösungen verständlich aufzuzeigen, also z.B. bei Mails eben nicht irgendwas zu benutzen sondern sich (nur) sicheren Mailversand/Empfang zu benutzen. Leider ist die Sicherheitssensibilität in Deutschland mehr als unterentwickelt, das sollten wir nicht noch fördern. (gilt auch für so was wie Facebook-Nutzung, Whatsapp, etc.etc. - Wir müssen uns nicht zum Hilfsagenten für kommerzielle, unsichere Ausspähsoftware-Hypes andienen, sondern eher auf Netzneutralität achten, d.h., kein Service zulasten eines anderen, vor allem nicht, wenn da zugunsten von kommerziellen Interessen Dritter nichtkommerzielle Einbussen erleiden (was ich bei der IPv6-Diskussion immer argwöhne).
