aloha :) Am 08.07.2018 um 15:48 schrieb Thomas Schäfer: > ich möchte weder etwas kaputt machen noch Geschlechtsgrößen vergleichen.
Das klang vielleicht zu harsch. Mit kaputt machen meinte ich, dass so ein Format so gross meist nur schlecht funktioniert - meine Erfahrung. und mit Schwanzvergleich, das kam auch vermutlich zu negativ rüber. Meine Erfahrung ist, dass wenn man ein Thema hat, aber es keinen roten Faden gibt, wo alle dran weiter möchten, man sich in speziellen Eigenheiten versumpft, wo jeder weirden Shit erzählt, der ihm mal wiederfahren ist. Da *lernt* man aber nichts dabei. Man hört bloss, was jeder mal so erlebt hat, aber nicht, was genau das Problem ist, oder wie eine Lösung funktioniert. > Wie gesagt, es ist ein Thema, dass mich interessiert, weil ich auch gern > gewusst hätte, ob es wirklich so schwierig ist oder ob ich nur zu doof bin. IPSec ist nicht trivial. Deshalb wirds auch weniger eingesetzt, weil die meisten Sachen nicht gewollt sind. > Eben kein Angebotsvorschlag sondern ein Nachfragevorschlag. Ich hätte Bedarf, ich würde auch mitmachen :-) > Wenn andere darin keine Nachfrage sehen, brauchen wir auch keinen Referenten > suchen. > So wie Du es in Deinen letzten fünf Absätzen formuliert hast, so würde ich > das > auch unterschreiben, nur befürchte ich, dass dies dann ein Wochenworkshop und > kein 1-Tag-Workshop ist. (ausgehend von meinen bescheidenen kognitiven > Fähigkeiten) Ich würde es anders sagen: Man setzt sich einmal zusammen und dann probiert einer (oder mehrere zusammen) 3-4 Wochen lang mit einem Setup rum, jeder/jede Gruppe für sich. ich mein, in 3-4 Wochen, kann man je woche problemlos 4-8 stunden mal drauf verbraten, da kommt schon was zusammen. > Vielleicht geht es ja auch über diese Liste(ohne Workshop) - bis der erste > sagt - Stopp VPN-Themen sind mir zu langweilig. Können wir gerne machen, aber da kommt glaub ich a) zuviel zusammen, was man ausprobieren könnte, und b) ist die antwortslatenz zu gross :) Mich würde z.B. interessieren, a)wie die IPSec leute sich zertifikatsverteilung vorstellen. SCEP wurde mal implementiert, ist aber atm dort kapuut b) ist mobile ipv6 + ipsec möglich oder hat man das weggeschmissen? c) wie kann man komplexere security associations machen, am besten gegen ein externes Backend? d) ich weiss gar nicht mehr, kann man Authentifizierung erzwingen? man will eigentlich gar keine verschlüsselung ohne authentifizierung, das haben wir ja jetzt mit den efail (Malleability Gadgets) gelernt. e) dein skript/aufbau mit dem du die telekom testest, würde ich auch gerne mal ausprobieren, dazu müsstest du aber erzählen, was du getan hast. f) in wie weit sind die ganzen ipsec-implementierungen noch kompatibel? g) welche provider gehen über welche fritzboxen gut. ich merke gerade, ich hab keine ahnung mehr von IPSec.. und allein der themenhaufen wird schon riesig. > Zum Hintergrund meines Vorschlags. Achtung jetzt wird es lang. > Also, ich versuche für alle Anwendergewohnheiten, die es mit IPv4 gibt (nur > die guten, NAT sehe ich als keine gute Gewohnheit an) auch mit IPv6 nutzbar > zu machen, aus verschiedenen Gründen. Der erste: IPv6 gibt den Anwendern > Freiheiten zurück, die Anwender vor 20Jahren schon einmal hatten und aufgrund > von Zentralisierung und CGNAT/DS-lite aufgeben mussten. > Der dezentrale Gedanke und der von Opensource sind die, die mich gerade > hierher treiben. > Nach meinen bisherigen Recherchen scheint es ein Treppenwitz der Geschichte > zu > sein, dass ausgerechnet das zurück portierte Protokoll IPsec bei IPv4 > erfolgreicher ist als bei IPv6. > Wie komme ich darauf? > Beispiel AVM: Fritzbox-VPN nutzt IPsec, aber nur via IPv4 > Synololgy NAS: bringt drei VPN mit, nur eines nämlich OpenVPN läuft komplett > mit IPv6 (transport und payload) > Da frage ich mich natürlich, geht das wirklich nicht? Ist es zu komplex oder > ist der oss-"upstream" in dem Bereich kaputt? vermutlich beides. > Liegen andere Steine im Weg? z.B. bin ich derzeit in einer Diskussion mit dem > Support der Deutschen Telekom ob IPsec via IPv6 im Mobilfunknetz geblockt > wird > oder nicht. Die Telekom sagt nein. Mein Test mit einem (nicht auf meinen Mist > gewachsenen) Skript https://gist.github.com/vi/5628320 sagt das Gegenteil. > Zwischen anderen Netzen funktioniert es. Das müsste man sich wirklich mal genauer anschauen... wäre ich mit dabei. > Ich könnte mich natürlich zurück lehnen und sagen ist mir egal. Schließlich > habe ich für meinen persönlichen Gebrauch zwei funktionierende OpenVPN-Setups > und für den dienstlichen Gebrauch Cisco AnyConnect - beide vollständig IPv6- > fähig, bei Openvpn ist demnächst auch IPv4 endlich abschaltbar. > Es ist mir aber nicht egal. Sehr gut! > Wenn dabei noch eine gute (zur Veröffentlichung tauglich ) Anleitung > herausspringt um so besser. > Weitere Motivationsgedanken: Die Foren von Vodafone und Unitymedia (die > Telekom wird irgendwann folgen - auch die haben IPv4 nicht für alle Ewigkeit) > > sind voll von VPN-Problemen in beiden Richtungen (z.B von daheim zu > Arbeitgebern bzw. von unterwegs ins "Heimnetz"). > Ich möchte dort Hilfe anbieten können durch Verweis auf mehr als eine > Alternative. > Openvpn (opensource) ist gut, Ja. Oder wireguard. > cisco (kommerziell) ist gut Nein. Schon alleine, weil das für privatanwender nicht so einfach zu nutzen ist. Wenn dann schon ocserv und openconnect. Hab ich aber noch nie aufgesetzt. > Danke fürs Lesen. Gern und sorry wegen der langen antwort zeit :) > Thomas Dennis -- Abmelden und Archiv: https://lists.opensourcetreffen.de/mailman/listinfo/discuss Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert
