Freifunk in sicherheitsbedürftigen Netzen
Hi, hier wurde vor ein paar Tagen diskutiert wie Freifunk in Netzwerken betrieben werden kann, in denen es besondere Sicherheitsvorkehrungen gibt. Z.B. wenn Benutzer und Verwaltungsnetz getrennt sind oder nur der Gastzugang der Fritzbox zur Verfügung steht. Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig... Viele Grüße Clemens
Zitat von Clemens John <clemens.john@floh1111.de>:
hier wurde vor ein paar Tagen diskutiert wie Freifunk in Netzwerken betrieben werden kann, in denen es besondere Sicherheitsvorkehrungen gibt. Z.B. wenn Benutzer und Verwaltungsnetz getrennt sind oder nur der Gastzugang der Fritzbox zur Verfügung steht. gute idee
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig... ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;) -- Gruß pic @ME https://wiki.nordwest.freifunk.net/picard
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte? Dann noch eine inhaltliche Frage: Müssen UDP-Ports freigeschaltet sein oder reichen TCP-53 und TCP-11111? Michael
Am 12.09.2015 um 15:33 schrieb picard <freifunk@fr32k.de>:
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3%BCrftig... ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;)
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte? auf die passende seite gehen, dann im wiki oben rechts auf MENU -> Dateianhänge -- Gruß
Zitat von Michael Nolte <michael@noltenet.de>: pic @ME https://wiki.nordwest.freifunk.net/picard
OK, habe es gefunden. Anleitung ist dann soweit fertig. Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports? Michael
Am 13.09.2015 um 14:39 schrieb picard <freifunk@fr32k.de>:
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte? auf die passende seite gehen, dann im wiki oben rechts auf MENU -> Dateianhänge -- Gruß
Zitat von Michael Nolte <michael@noltenet.de>: pic
@ME https://wiki.nordwest.freifunk.net/picard
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
Zitat von Michael Nolte <michael@noltenet.de>:
OK, habe es gefunden. Anleitung ist dann soweit fertig. das schaut gut aus, vielen dank.
kann das ein F!B besitzer nach der anleitung mal nachmachen?
Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports? fastd brauch laut doku udp! -> http://fastd.readthedocs.org/
ich habe in meiner fw grade udp zu gemacht und es ging nicht mehr! es sind noch ein paar ports zu berücksichtigen, vielleicht will man per ssh (port 22) drauf! hier mal eine default ausgabe eines routers. root@WHV-Kielerstr-3:~# netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1090/uhttpd tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 1773/dnsmasq tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 1100/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1038/dropbear tcp 0 0 :::80 :::* LISTEN 1090/uhttpd tcp 0 0 :::53 :::* LISTEN 1773/dnsmasq tcp 0 0 :::54 :::* LISTEN 1100/dnsmasq tcp 0 0 :::22 :::* LISTEN 1038/dropbear udp 0 0 0.0.0.0:53 0.0.0.0:* 1773/dnsmasq udp 0 0 0.0.0.0:54 0.0.0.0:* 1100/dnsmasq udp 0 0 0.0.0.0:57168 0.0.0.0:* 1203/fastd udp 0 0 0.0.0.0:34683 0.0.0.0:* 1203/fastd udp 0 0 :::45343 :::* 1203/fastd udp 0 0 :::546 :::* 1354/odhcp6c udp 0 0 :::546 :::* 1318/odhcp6c udp 0 0 :::53 :::* 1773/dnsmasq udp 0 0 :::54 :::* 1100/dnsmasq udp 0 0 :::16962 :::* 1447/alfred udp 0 0 :::39053 :::* 1203/fastd udp 0 0 :::44196 :::* 1203/fastd udp 0 0 :::1001 :::* 2065/respondd -- Gruß pic @ME https://wiki.nordwest.freifunk.net/picard
OK, ich teste das gleich auch noch mal. Ich hatte vorher „alles“ nach außen hin offen für den FF-Router, habe es im Zuge der Doku dann umgestellt und für mich lief’s erst mal. Port 22 wäre aber doch nicht auf der FB zu öffnen, das kommt doch durch den Tunnel… Michael
Am 13.09.2015 um 17:32 schrieb picard <freifunk@fr32k.de>:
Zitat von Michael Nolte <michael@noltenet.de>:
OK, habe es gefunden. Anleitung ist dann soweit fertig. das schaut gut aus, vielen dank.
kann das ein F!B besitzer nach der anleitung mal nachmachen?
Bzw. die Frage mit den Ports bleibt noch: braucht man UDP-Ports? fastd brauch laut doku udp! -> http://fastd.readthedocs.org/
ich habe in meiner fw grade udp zu gemacht und es ging nicht mehr!
es sind noch ein paar ports zu berücksichtigen, vielleicht will man per ssh (port 22) drauf! hier mal eine default ausgabe eines routers. root@WHV-Kielerstr-3:~# netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1090/uhttpd tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 1773/dnsmasq tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 1100/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1038/dropbear tcp 0 0 :::80 :::* LISTEN 1090/uhttpd tcp 0 0 :::53 :::* LISTEN 1773/dnsmasq tcp 0 0 :::54 :::* LISTEN 1100/dnsmasq tcp 0 0 :::22 :::* LISTEN 1038/dropbear udp 0 0 0.0.0.0:53 0.0.0.0:* 1773/dnsmasq udp 0 0 0.0.0.0:54 0.0.0.0:* 1100/dnsmasq udp 0 0 0.0.0.0:57168 0.0.0.0:* 1203/fastd udp 0 0 0.0.0.0:34683 0.0.0.0:* 1203/fastd udp 0 0 :::45343 :::* 1203/fastd udp 0 0 :::546 :::* 1354/odhcp6c udp 0 0 :::546 :::* 1318/odhcp6c udp 0 0 :::53 :::* 1773/dnsmasq udp 0 0 :::54 :::* 1100/dnsmasq udp 0 0 :::16962 :::* 1447/alfred udp 0 0 :::39053 :::* 1203/fastd udp 0 0 :::44196 :::* 1203/fastd udp 0 0 :::1001 :::* 2065/respondd -- Gruß pic
@ME https://wiki.nordwest.freifunk.net/picard
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie. Am 13.09.2015 um 14:36 schrieb Michael Nolte:
Habe eine Anleitung für die FB erstellt. Wollte noch ein paar Screenshots einfügen. Der Button „Bild einfügen/editieren“ ist aber deaktiviert. Fehlen mir Rechte?
Dann noch eine inhaltliche Frage: Müssen UDP-Ports freigeschaltet sein oder reichen TCP-53 und TCP-11111?
Michael
Am 12.09.2015 um 15:33 schrieb picard <freifunk@fr32k.de>:
Es wäre klasse, wenn die Ergebnisse nicht auf der Mailingliste hängen bleiben sondern auch im Wiki dokumentiert werden: https://wiki.nordwest.freifunk.net/Freifunk%20in%20sicherheitsbed%C3 %BCrftigen%20Netzen
ich habe dazu ein paar dinge aus der ML kopiert,
eine anleitung kann ich nicht erstellen, ich habe keine F!B (tp-link mit openwrt) ;)
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQEcBAEBCAAGBQJV9amoAAoJEK2MH2aa/R1oqM0H/3cgX4ETocARa2cAMOkyKmyF NtoeiB2Z9blfmoLaDYbrA9b2pX7AWTTrUTt/mCMyrAk1Fvyb7bzYZ3whSKzTP4aW Y+khbFEmvII9h2OYE9q+S223FV6aDewoIOhgzapfje+R19t/WYy3tq5BBdo8al+K +gU7ljcMdDL0QG2cwUaMuuEZGO/+iK7xViYN/+xm72NUsQAY6daPRcjfsiu5Bw+h oPh01PFuVqK8v9dEIgIN3Vqc28SzkCGqRIjmTFT3sL+dY/30ivFGbRYYKf0FLEn1 Mogn6WWT51eiQpVIeE7WznNZfDmxozOWZs8cqdA5OnlomgwibytCI/FZ4XLglF8= =ZiMo -----END PGP SIGNATURE-----
Ist das ein PRoblem, welches explizit durch den Betrieb am Gastzugang auftritt? Michael
Am 13.09.2015 um 18:51 schrieb Uwe Ortmann <uwe.ortmann@gmx.de>:
Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Nein. Ich weis auch nicht ob das evt. nur bei Arche auftritt. Hab jetzt mesh-on WAN wieder abgeschaltet. Am 13.09.2015 um 18:58 schrieb Michael Nolte:
Ist das ein PRoblem, welches explizit durch den Betrieb am Gastzugang auftritt?
Michael
Am 13.09.2015 um 18:51 schrieb Uwe Ortmann <uwe.ortmann@gmx.de>:
Habs bei meiner FBF 7360 Getestet läuft soweit aber da muss wohl noch eine Filterregel rein die mesh on WAN packete abblockt. Die Verursachen sonst rauchen in der Internet Telefonie.
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQEcBAEBCAAGBQJV9bR1AAoJEK2MH2aa/R1oh14H/j5ag5gnBoEepk1paNnNrN5Y /lHDUnNldfTWPFmVwG+RTa21eNiG069QxnJlR7rGzb1bXLjUYy+KqficwEc9VtKN J59VktiCg0A7hOIRr8+3Fj7n0CvzqnT2MYNTlvD2qZ0sUUuvw+a6nxTqjSfOA2UJ wSSMbBaMMRNlOm0OyJeazH7xzPR+lXNe9wZXiRpbvwwgqRjXDMynjQ1xZdP55oXA 3CR11hwW8CpN0AM/PumeSEMvJKZcukAnibZTWke1G/W0P2WiElzQbsxwEh8S0yKi vLdwf/QDhX6UyMvF1PWc2Bok+H8lZLxVmAh3Ajvhu9x+V5B+ibpi/zq/jzWX5QY= =KDCk -----END PGP SIGNATURE-----
participants (4)
-
Clemens John -
Michael Nolte -
picard -
Uwe Ortmann