Hallo,

*dezentrales VPN*
Ein wirklich dezentrales VPN würde bedeuten, das am besten der Router
selbst Client sowie Server ist. Dafür bietet sich Tinc VPN [1] an. Tinc
kommt z.B. bei dem IC-VPN [2] zum Einsatz. Bei einer wirklich
dezentralen Lösung gibt es aber mehrere Probleme:
- NAT (hier könnte IPv6 Abhilfe schaffen)
- Austausch von IP-Adressen/FQDNs (evtl. dyndns -> Zentral DNS)
- Austausch von Pubkeys untereinander (evtl. TXT Record -> Zentral DNS)
Im Idealfall hätte dann jeder Router zu jeden anderen eine VPN
Verbindung. Also alleine für VPN über 100 Stück, wobei sich dies auf
Routern mit Uplink beschränken sollte.

*Anwendungsfall: Firmennetz*
Elegant wäre natürlich hier ein VLAN, um die FF KK vom restlichen Netz
zu trennen. Hier einen extra VPN (meinetwegen auch im Firmennetz)
aufzusetzen sehe ich als zu großen Overhead. Eine Alternativ könnte das
schon erwähnte Tinc sein. Besser sind vermutlich einfache
Tunnel-Protokolle wie z.B. IPIP [3] oder auch gretap [4]. Siehe auch
"Performance of tunneling methods in OpenWRT" [5], dort sind auch
Konfigurationsbeispiele zu finden.
In Firmennetzen wird auch gerne das Private 10.0.0.0/8 (oder ein Teil
davon) verwendet. Da kommt es schnell zu Überschneidungen mit dem
FF-Netz, was wiederum Probleme bereitet.

*Potsdam-VPN*
Wie ein Potsdam-VPN Server eingerichtet wird ist im Wiki [6] zu finden.


Ein wirklich dezentraler VPN käme den Freifunk-Gedanken am nächsten,
aber das haben wir auch schön öfters beim Treffen "durchgekaut" und auch
wegen der oben genannten Problem und Komplexität verworfen. Man kommt
einfach bei so etwas nicht ohne zentrale Instanz oder manuellen
Konfigurationsaufwand aus.


[1] https://tinc-vpn.org/
[2] https://wiki.freifunk.net/IC-VPN
[3] https://tools.ietf.org/html/rfc2003
[4]
https://openwrt.org/docs/guide-user/network/tunneling_interface_protocols?s[]=gretap#protocol_gretap_ethernet_gre_tunnel_over_ipv4
[5]
https://justus.berlin/2016/02/performance-of-tunneling-methods-in-openwrt/
[6] https://wiki.freifunk-potsdam.de/Potsdam-VPN#Server

Grüße
Hannes

Am 13.03.2018 um 15:29 schrieb Nicco Kunzmann (gmx):
> Hallo,
> 
> ich habe mal einen Entwurf erstellt, in dem ich ein dezentrales VPN für
> Potsdam vorschlage.
> https://github.com/niccokunzmann/decentral-community-vpn
> Mein einfacher Use-Case wäre, dass ich z.B. Freifunk-Meshing in
> Firmennetzen erlauben möchte,
> in denen OLSR nicht so leicht meshen kann - verschiedene Subnetze und
> Gateways.
> 
> Wer mag, kann mitmachen.
> Wo ich Hilfe bräuchte: Wisst ihr noch, wie ihr das Potsdam-VPN
> eingerichtet habt?
> Ich würde diesen Server gerne dazu kompatibel haben.
> 
> Viele Grüße,
> Nicco
> 
> _______________________________________________
> Users mailing list
> Users@lists.freifunk-potsdam.de
> https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users
> 


Attachment: signature.asc
Description: OpenPGP digital signature

_______________________________________________
Users mailing list
Users@lists.freifunk-potsdam.de
https://lists.freifunk-potsdam.de/cgi-bin/mailman/listinfo/users

Antwort per Email an