Hi,
hier wurde vor ein paar Tagen diskutiert wie Freifunk in Netzwerken betrieben werden kann, in denen es besondere Sicherheitsvorkehrungen gibt. Z.B. wenn Benutzer und Verwaltungsnetz getrennt sind oder nur der Gastzugang der Fritzbox zur Verfügung steht.
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig...
Viele Grüße Clemens
Zitat von Clemens John clemens.john@floh1111.de:
hier wurde vor ein paar Tagen diskutiert wie Freifunk in Netzwerken betrieben werden kann, in denen es besondere Sicherheitsvorkehrungen gibt. Z.B. wenn Benutzer und Verwaltungsnetz getrennt sind oder nur der Gastzugang der Fritzbox zur Verfügung steht.
gute idee
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig...
ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;)
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte?
Dann noch eine inhaltliche Frage: Müssen UDP-Ports freigeschaltet sein oder reichen TCP-53 und TCP-11111?
Michael
Am 12.09.2015 um 15:33 schrieb picard freifunk@fr32k.de:
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig...
ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;)
Zitat von Michael Nolte michael@noltenet.de:
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte?
auf die passende seite gehen, dann im wiki oben rechts auf MENU -> Dateianhänge
OK, habe es gefunden. Anleitung ist dann soweit fertig. Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports?
Michael
Am 13.09.2015 um 14:39 schrieb picard freifunk@fr32k.de:
Zitat von Michael Nolte michael@noltenet.de:
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte?
auf die passende seite gehen, dann im wiki oben rechts auf MENU -> Dateianhänge -- Gruß pic
@ME https://wiki.nordwest.freifunk.net/picard
Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
Zitat von Michael Nolte michael@noltenet.de:
OK, habe es gefunden. Anleitung ist dann soweit fertig.
das schaut gut aus, vielen dank.
kann das ein F!B besitzer nach der anleitung mal nachmachen?
Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports?
fastd brauch laut doku udp! -> http://fastd.readthedocs.org/
ich habe in meiner fw grade udp zu gemacht und es ging nicht mehr!
es sind noch ein paar ports zu berücksichtigen, vielleicht will man per ssh (port 22) drauf! hier mal eine default ausgabe eines routers. root@WHV-Kielerstr-3:~# netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1090/uhttpd tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 1773/dnsmasq tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 1100/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1038/dropbear tcp 0 0 :::80 :::* LISTEN 1090/uhttpd tcp 0 0 :::53 :::* LISTEN 1773/dnsmasq tcp 0 0 :::54 :::* LISTEN 1100/dnsmasq tcp 0 0 :::22 :::* LISTEN 1038/dropbear udp 0 0 0.0.0.0:53 0.0.0.0:* 1773/dnsmasq udp 0 0 0.0.0.0:54 0.0.0.0:* 1100/dnsmasq udp 0 0 0.0.0.0:57168 0.0.0.0:* 1203/fastd udp 0 0 0.0.0.0:34683 0.0.0.0:* 1203/fastd udp 0 0 :::45343 :::* 1203/fastd udp 0 0 :::546 :::* 1354/odhcp6c udp 0 0 :::546 :::* 1318/odhcp6c udp 0 0 :::53 :::* 1773/dnsmasq udp 0 0 :::54 :::* 1100/dnsmasq udp 0 0 :::16962 :::* 1447/alfred udp 0 0 :::39053 :::* 1203/fastd udp 0 0 :::44196 :::* 1203/fastd udp 0 0 :::1001 :::* 2065/respondd
OK, ich teste das gleich auch noch mal. Ich hatte vorher „alles“ nach außen hin offen für den FF-Router, habe es im Zuge der Doku dann umgestellt und für mich lief’s erst mal.
Port 22 wäre aber doch nicht auf der FB zu öffnen, das kommt doch durch den Tunnel…
Michael
Am 13.09.2015 um 17:32 schrieb picard freifunk@fr32k.de:
Zitat von Michael Nolte michael@noltenet.de:
OK, habe es gefunden. Anleitung ist dann soweit fertig.
das schaut gut aus, vielen dank.
kann das ein F!B besitzer nach der anleitung mal nachmachen?
Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports?
fastd brauch laut doku udp! -> http://fastd.readthedocs.org/
ich habe in meiner fw grade udp zu gemacht und es ging nicht mehr!
es sind noch ein paar ports zu berücksichtigen, vielleicht will man per ssh (port 22) drauf! hier mal eine default ausgabe eines routers. root@WHV-Kielerstr-3:~# netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1090/uhttpd tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 1773/dnsmasq tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 1100/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1038/dropbear tcp 0 0 :::80 :::* LISTEN 1090/uhttpd tcp 0 0 :::53 :::* LISTEN 1773/dnsmasq tcp 0 0 :::54 :::* LISTEN 1100/dnsmasq tcp 0 0 :::22 :::* LISTEN 1038/dropbear udp 0 0 0.0.0.0:53 0.0.0.0:* 1773/dnsmasq udp 0 0 0.0.0.0:54 0.0.0.0:* 1100/dnsmasq udp 0 0 0.0.0.0:57168 0.0.0.0:* 1203/fastd udp 0 0 0.0.0.0:34683 0.0.0.0:* 1203/fastd udp 0 0 :::45343 :::* 1203/fastd udp 0 0 :::546 :::* 1354/odhcp6c udp 0 0 :::546 :::* 1318/odhcp6c udp 0 0 :::53 :::* 1773/dnsmasq udp 0 0 :::54 :::* 1100/dnsmasq udp 0 0 :::16962 :::* 1447/alfred udp 0 0 :::39053 :::* 1203/fastd udp 0 0 :::44196 :::* 1203/fastd udp 0 0 :::1001 :::* 2065/respondd -- Gruß pic
@ME https://wiki.nordwest.freifunk.net/picard
Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie.
Am 13.09.2015 um 14:36 schrieb Michael Nolte:
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte?
Dann noch eine inhaltliche Frage: Müssen UDP-Ports freigeschaltet sein oder reichen TCP-53 und TCP-11111?
Michael
Am 12.09.2015 um 15:33 schrieb picard freifunk@fr32k.de:
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3
%BCrftigen%20Netzen
ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;)
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
Ist das ein PRoblem, welches explizit durch den Betrieb am Gastzugang auftritt?
Michael
Am 13.09.2015 um 18:51 schrieb Uwe Ortmann uwe.ortmann@gmx.de:
Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Nein.
Ich weis auch nicht ob das evt. nur bei Arche auftritt. Hab jetzt mesh-on WAN wieder abgeschaltet.
Am 13.09.2015 um 18:58 schrieb Michael Nolte:
Ist das ein PRoblem, welches explizit durch den Betrieb am Gastzugang auftritt?
Michael
Am 13.09.2015 um 18:51 schrieb Uwe Ortmann uwe.ortmann@gmx.de:
Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie.
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-
Clemens John -
Michael Nolte -
picard -
Uwe Ortmann