lists.berlin.freifunk.net... 46.243 ms 51.873 ms 44.801 ms 4 sven-ola-wap.olsr (10.230.32.209)...

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1

On 31/01/15 21:25, Malte wrote:> On Sat, 31 Jan 2015, Sven-Ola Tuecke wrote:> >> Die Anregung "bitte einfacher machen" wurde hier schon fter und auch nicht erst gestern formuliert. Dagegen spricht gar nichts - einfacher heisst aber: mehr Reichweite.> > Nicht zwingend. Sprche denn was dagegen, bei der Berliner Firmware das VPN "mitzuliefern" und den anderen den Weg ber die Liste zu lassen (und das ggf. nicht mehr ganz so stark zu "bewerben")?

Wie soll das gehen? Wenn die Keys automatisch erzeugt wrden, fnde ja keine, in Ermangelung eines besseren Wordings, Kontrolle mehr statt. Das ist doch eine der Aussagen: da durch die VPNs unendliches Wachstum nicht mglich ist und daher der VPN-Zugang per Mailinglistenanfrage quasi das Capacity Management bildet. (Nicht schlagen, wenn falsch; so habe ich das verstanden.)

> Z.B. die Hamburger machen das so: Deren Firmware registriert wenn ich das richtig verstanden habe den Router gleich bei deren VPN, und dieses VPN erledigt dann auch den Zugang zum Freifunk-internen Netz fr FF-"Inseln" (hier: BBB-VPN) mit.

Das Setup in Hamburg (oder Paderborn, Gtersloh, Rheinland, ...) ist grundlegend anders als in Berlin. Dort wird "Gluon" eingesetzt, eine Firmware auf Basis von batman_adv und fastd als Tunnel. Dank/wegen batman_adv gibt es kein "BBB-VPN"; alle(!) Knoten sind in einer groen batman_adv-Wolke, die ber sog. Gateways (de facto fastd-Server) gebildet wird.Das hat Vorteile, und das hat Nachteile. Jeder Knoten mu irgendwie Verbindung in die Wolke haben; entweder ber einen Funklink zu einem Gateway in der Stadt (haben wir in GT zumindest noch nicht) oder eben ber fastd-VPN-Tunnel, d. h. ber den eigenen Internet-Zugang oder ber einen eines in Funkreichweite stehenden anderen Knotens. Heit: ohne Verbindung zu wenigstens einem Gateway funkt so ein Knoten leider sinnfrei ... (Wobei das im Berliner Setup mit ohne Funkverbindung irgendwohin ja hnlich ist: ohne vpn03 kein Internet, ohne BBB-VPN keine Verbindung zur lokalen Wolke?)

Standard bei "Gluon"-Netzen ist, da fr einen VPN bentigenden Knoten der Key von Knoten bei der (Erst-) Einrichtung erzeugt wird und dem Nutzer angezeigt -- dieser mu ihn dann zur lokalen Communitiy transportieren, auf da diese ihn auf den Gateways eintrgt. Einige machen das per Mail, andere per Knotenregistrierungswebseite, soda das praktisch automatisch funktionieren kann.Der letzte Stand ist die Abkehr von der Registrierung (aufgrund der Tatsache, da meshende Knoten ja auch nicht freigeschaltet werden mssen), stattdessen wird eine Blacklist je Community, die dies so macht, gepflegt, um Mist bauende Knoten vom VPN ausschlieen zu knnen. (Technisch ist es mglich, da ein Knoten sich sowohl zu Community A als auch zu Community B verbindet, in dem Fall wrde ber den Internet-Uplink und die schwache CPU des Knotens eine Netzwerkbrcke des Meshes von Communities A und B erzeugt werden, was man bei batman_adv definiv nicht gebrauchten kann. Und durch fehlerhaft vorgenommende Firmwareupdates beim Communitywechsel ist dies auch schon mal vorgekommen.)

>> Und auerdem wrde das hier tendenziell dann ein zentralisiertes Hotspotnetz. Es gibt eine ganz Reihe von Grnden, warum das Aufstellen eines Hotspot-Routers (plus Einrichtung) wesentlich einfacher ist als Aufstellen echten Freifunk-Nodes> > Ich dachte, dass bei Freifunk gerade ein Feature ist, dass aus isolierten Freifunk-Routern ganz schnell eine per WLAN vernetzte Infrastruktur werden kann, wenn nur ein paar Nachbarn mitmachen und ihrerseits FF-Router aufstellen; vielleicht reicht's ja irgendwann zu jemandem mit schnem Balkon, der eine Richtfunkstrecke aufmachen kann. Insofern ist doch jeder einzelne FF-Router willkommen...?

Yepp, das dachte ich auch.

Und ich habe in den aktuellen Diskussionen gelernt, da mein Berliner Knoten zwar eine super Internetanbindung hat (vpn03), aber nirgends bin ich bei der Einrichtung ber "BBB-VPN" gestolpert?! Ich meine verstanden zu haben, da ein isoliert am Mauerpark stehender Knoten wie meiner wohl neben dem VPN zu vpn03 (wg. strerhaftungsresistentem Internetuplink) auch einen zum BBB-VPN bentigte, damit ich von hinterm Knoten auch in das Berliner Freifunknetz zugreifen kann?

MfG,- -kai

- -- Freifunk-Initiative Gtersloh? Kai SieringSchalckstrae 10733332 Gtersloh

info at guetersloh.freifunk.netTel.: (05241) 96?46?269-----BEGIN PGP SIGNATURE-----Version: GnuPG v1

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PyPb-----END PGP SIGNATURE-----

Hallo,

durch den Stromausfall am Standort AM hat sich heute die Last auf vpn03bstark erhht. Damit gert auch bpg02 mit der derzeitigen Konfigurationan seine Grenzen. dropped packets und so...Sven-Ola hatte ja auch schonmal wegen CPU-Konfiguration amVirtualisierer host-ipb fr vpn03b angefragt. Das bentigt aber einenreboot seitens KVM.

Deswegen wird um ~02:30 bgp02 und vpn03b kurzzeitig heruntergefahren umfolgende Maintenance durchzufhren:*) NIC von bgp02 tauschen (8139cp->virtio)*) CPU-Pinning fr bgp02 und vpn03b auf getrennte Cores*) Zustzlichen Core fr vpn03b*) RAM downgrade auf bgp02

Hoffen wir mal, dass die nderungen fr wenigstens ein bisschen mehrPerformance sorgen. Zeigen wird sich das aber erst, wenn wiederreichlich Connections ber vpn03b laufen.

BTW, Ich hab irgendwas von wegen "Sonntag Nacht wird jede Connection beivpn03 resettet" im Kopf. Ich hoffe, der Reboot sorgt damit also nicht zulange fr extra Last auf vpn03a.

GreBastian

-------------- nchster Teil --------------Ein Dateianhang mit Binrdaten wurde abgetrennt...Dateiname : signature.ascDateityp : application/pgp-signatureDateigre : 473 bytesBeschreibung: OpenPGP digital signatureURL :

Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.

An dem Core hab ich jetzt ne Stunde mit unterschiedlichstenKombinationen rumprobiert und nix hat funktioniert. Die VM bleibteinfach mitten im Bootvorgang stehen.Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0

Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.

GruBastian

On 02/01/2015 01:31 AM, Bastian wrote:> durch den Stromausfall am Standort AM hat sich heute die Last auf vpn03b> stark erhht. Damit gert auch bpg02 mit der derzeitigen Konfiguration> an seine Grenzen. dropped packets und so...> Sven-Ola hatte ja auch schonmal wegen CPU-Konfiguration am> Virtualisierer host-ipb fr vpn03b angefragt. Das bentigt aber einen> reboot seitens KVM.> > Deswegen wird um ~02:30 bgp02 und vpn03b kurzzeitig heruntergefahren um> folgende Maintenance durchzufhren:> *) NIC von bgp02 tauschen (8139cp->virtio)> *) CPU-Pinning fr bgp02 und vpn03b auf getrennte Cores> *) Zustzlichen Core fr vpn03b> *) RAM downgrade auf bgp02> > Hoffen wir mal, dass die nderungen fr wenigstens ein bisschen mehr> Performance sorgen. Zeigen wird sich das aber erst, wenn wieder> reichlich Connections ber vpn03b laufen.> > BTW, Ich hab irgendwas von wegen "Sonntag Nacht wird jede Connection bei> vpn03 resettet" im Kopf. Ich hoffe, der Reboot sorgt damit also nicht zu> lange fr extra Last auf vpn03a.


hallo,

> Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.wieviele kerne hatte die vm denn bisher?evtl muss da dann ja auch der kernel getauscht werden...

jay

Moin Basti!

Erstmal thx fr die Nachtschicht! ;-)

D.h. mit der ursprnglichen config bootet die vm auch nicht mehr?

@jay: dem guest-kernel sollte das eigtl egal sein.

Ciao,Andr

On February 1, 2015 3:44:39 AM CET, Bastian wrote:>Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.>>An dem Core hab ich jetzt ne Stunde mit unterschiedlichsten>Kombinationen rumprobiert und nix hat funktioniert. Die VM bleibt>einfach mitten im Bootvorgang stehen.>Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:>kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0>kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0>>Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.>>Gru>Bastian>>On 02/01/2015 01:31 AM, Bastian wrote:>> durch den Stromausfall am Standort AM hat sich heute die Last auf>vpn03b>> stark erhht. Damit gert auch bpg02 mit der derzeitigen>Konfiguration>> an seine Grenzen. dropped packets und so...>> Sven-Ola hatte ja auch schonmal wegen CPU-Konfiguration am>> Virtualisierer host-ipb fr vpn03b angefragt. Das bentigt aber einen>> reboot seitens KVM.>> >> Deswegen wird um ~02:30 bgp02 und vpn03b kurzzeitig heruntergefahren>um>> folgende Maintenance durchzufhren:>> *) NIC von bgp02 tauschen (8139cp->virtio)>> *) CPU-Pinning fr bgp02 und vpn03b auf getrennte Cores>> *) Zustzlichen Core fr vpn03b>> *) RAM downgrade auf bgp02>> >> Hoffen wir mal, dass die nderungen fr wenigstens ein bisschen mehr>> Performance sorgen. Zeigen wird sich das aber erst, wenn wieder>> reichlich Connections ber vpn03b laufen.>> >> BTW, Ich hab irgendwas von wegen "Sonntag Nacht wird jede Connection>bei>> vpn03 resettet" im Kopf. Ich hoffe, der Reboot sorgt damit also nicht>zu>> lange fr extra Last auf vpn03a.>>>>>------------------------------------------------------------------------>>_______________________________________________>Berlin mailing list>Berlin at berlin.freifunk.net>http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin

-- Homepage http://andre.gaul.ioGitHub https://github.com/andrenarchyTwitter https://twitter.com/#!/andrenarchyDiaspora https://diasp.org/u/andrenarchy (you won't find me on facebook!)Jabber gaul at web-yard.dePGP Key 0x0FA9170E

hi,

> @jay: dem guest-kernel sollte das eigtl egal sein.nur wenn bei der installation mehr als 1 kern zugeordnet war.bei debian vm hatte ich schon oft probleme, wenn der install mit nur 1kern durchgefhrt wurde...

jay

Moin Bastian,

ich schliee mich Andre und Jay an und sage "Danke". VPN neu starten istnicht schlimm - das passiert jeden Sonntag per /etc/cron.weekly/openvpnsowieso. Wenn nur eine VPN-Maschine neu startet werden viele Tunnel aufdie jeweils andere 'rberverbinden, mehr drfte nicht passieren.

Das mit dem 2 Cores wundert mich: der Kernel msste das knnen - dasteht "linux-image-3.13.0-44-generic - Linux kernel image for version3.13.0 on 64 bit x86 SMP" (von03b ist Ubuntu-Trusty, vpn03a istDebian-Squeeze). Laut Suchmaschinenergebnis versucht der Guest-Kernelauf ein MSR (Machine Specific (CPU-)Register) zuzugreifen, das KVM nichtkennt oder behandelt. Mglicherweise hilft es, die CPU-Typ-Einstellungfr den Guest auf einen anderen Wert zu ndern.

Gru // Sven-Ola

Am 01.02.2015 um 03:44 schrieb Bastian:> Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.>> An dem Core hab ich jetzt ne Stunde mit unterschiedlichsten> Kombinationen rumprobiert und nix hat funktioniert. Die VM bleibt> einfach mitten im Bootvorgang stehen.> Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:> kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0> kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0>> Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.>> Gru> Bastian


Hallo Boris,

so ein VPN-Server muss nicht in DE stehen. Ich hatte schon einen in USAund einen in Slovenien. Vorher angekndigt "wird VPN-Dienst fr offenesWLAN" -> da war dann ruckzuck mein Name mit Adresse im Whois. Wenn imWhois nur der Provider drin steht, dann sind die einfach nur zu faul daseinzutragen.

Die Whois-Info wird dann gerne mal fr Abuse-Meldungen verwendet. In USAbekommt man da z.B. "Takedown-notices" oder es gibt "Your site issending SPAM on port 25, please cut". Auf Abuse-Meldungen muss manpassend antworten, etwa "nein, ich habe da nix verffentlicht. Es wirdein Benutzer sein und ich kmmer mich darum, dass Album xyz nicht weiterangeboten wird". Tut man das nicht, ist der jeweilige Provider gehalten,die Daumenschrauben anzusetzen (also z.B. den VPN-Server solangeabzuschalten bis wer reagiert). Eine Abuse-Meldung ist die (nach meinerErfahrung) kostenfreie Variante der deutschen Abmahnung. Zum(technischen) Kmmern gehrt natrlich eine gewisse Kenntnis vom Umgangmit dem verwendeten Betriebssystem sowie Netzwerk-Krams (z.B. Port 25sperren, einen Torrent stoppen). Bei einem nur mig benutztenVPN-Dienst kommt so Abuse-Kram alle paar Monate.

Achsoja. Ausland hat auch Nachteile. ffi-Mediathek sagt "nope" (je nachLand). Netflix, Hulu & Co werden mglichweise gar nicht funktionieren(This service not via VPN). Youtube verzichtet auf die beliebtenGEMA-Hinweise. Und USA ist recht weit weg (speziell: Westkste), so dassdie Pingzeiten hochgehen (100-140ms). Oder anders: eine SSH-Session bereinen West-USA-VPN fhlt sich wie Gummi an. Viele DE-Webseiten ladenrecht lange. Wegen der vielen Werbesachen bis die Seite anzeigt (CSS,JS, Flash, Cookies, whatnot...).

HTH // Sven-Ola

Am 31.01.2015 um 20:27 schrieb Boris Bischoff:> Ich interessiere mich fr diese Lsung:>>> > ? Und zum Schluss gibt's genau das, was du erwhnst. Einfach einen Server mieten und den Kopf hinhalten. Wenn im "whois" zu der Server-IP-Adresse was anstndiges auftaucht (z.B. "Freifunk Bielefeld" oder "Amtsgericht Charlottenburg" oder "Partei der Insert-Name-Here" + plausible Postadresse) knnte ich mir vorstellen, dass Kopf-hinhalten gar ned so schlimm wird. Wenn das in jeder greren Stadt passiert ist das schon eher "Deutschland-tauglich?.> Meine Frage dazu ist, ob der Server in Deutschland stehen muss/sollte.> Und noch was: meines Wissens kann man sich nicht als Inhaber einer IP eintragen lassen, oder? Wenn jemand ein whois x.x.x.x macht, dann kommt er immer an die Kontaktdaten meines Providers, so wie ich das sehe. Das heit, ich frage einfach beim Provider des lieben Friedens wegen vorher an, ob er mich da untersttzen kann, ja?>


Noch'n Nachtrag zu "Ausland-VPN". Benutzer stolpern dann gerne berGEO-IP-Plausichecks, z.B. von GMail gibt's da gerne mal "Detectingunusual login behaviour with your account" Nachrichten. Was deine Bankmacht, wenn das Login mal aus DE und eine Stunde spter aus Timbuktukommt...?

Achja. Fr uns Berliner gab es damals einen Anlass, den Dienst wiedernach Haus zu holen. Ein von der rtlichen Politik geuerter Anwurf,etwa "WLAN ber VPN im Ausland abwerfen werten wir als Umgehungdeutschen Rechts. Mit so Leuten wollen wir nix zu tun haben". Wenn alsojemand mit der rtlichen Politik / dem rtlichen KommerzFreifunk-kuscheln will, dann ist Ausland vllt auch nicht so gnstig...

Gru // Sven-Ola

Am 01.02.2015 um 08:55 schrieb Sven-Ola Tuecke:> Achsoja. Ausland hat auch Nachteile.


Moin!

Am Sat, 31 Jan 2015 18:49:59 +0100schrieb Bastian :> On 01/31/2015 11:33 AM, Volker Tanger wrote:> >> am Rande sei noch anwaehnt das mir KD nur eine IPv6 verpat. Falls> >> es das Problem umschifft (DS-lite) waere hier evtl die v6 Adresse> >> des VPN als Auswahl fuer die config des VPN gut. > > > > Die neue Default-Kathleen hat den DNS-Namen> > (vpn03.berlin.freifunk.net) eingetragen.> > Ja? Neulich meinte noch jemand, dass alle zustzlichen VPN03-Server> erstmal ein neues Release der Berliner-Firmware bentigt, weil dort> noch die VPN03-IPs Hardcoded drinstehen.

Jepp, das war ich.;-)

Wurde von Philipp schon genderthttps://github.com/freifunk-berlin/firmware-packages/blob/master/utils/freifunk-berlin-openvpn-files/uci-defaults/freifunk-berlin-openvpn#L22

> > Damit funktioniert dann auch das Round-Robin.> > Und bei ergnzendem Einschalten eines IPv6 muss man dann nur noch> > einen AAAA-Record 'drauflegen und schon verbindet der sich mit dem> > IPv6-Gate.> > Fr einen der beiden vpn03-Instanzen gibt es schon einen AAAA-Record.> Ob OpenVPN UPD auch auf der IPv6-Adresse lauscht ist eine andere> Sache.

vpn03.berlin.freifunk.net mach Round-Robin direkt auf die IPv4-IP - undlst keinen IPv5 auf. Damit liegt da nirgendwo eine IPv6 vor.

Aber lauschen muss das Ding sowieso erst einmal, stimmt.

> > > ...was aber bei der Strerhaftung dann auch nicht wirklich hilft.> > > > Je weiter wir in Richtung IPv6-Verbreitung gehen, desto mehr drfte> > das zu einem Problem(chen) werden.

Bye

Volker

--

Volker Tanger http://www.wyae.de/volker.tanger/--------------------------------------------------vtlists at wyae.de PGP Fingerprint5ED5 CE5E 1D3D 56F4 8990 70EA 3F04 530E 6D71 9D00

Noch'n Nachtrag. Die Seite https://diafygi.github.io/webrtc-ips zeigtdie DSL-IP genau dann an, wenn Firefox direkt auf dem (via VPNverbundenen) Freifunk-Router ausgefhrt wird. Im Normalfall luft auf soeinem Router kein Firefox, die Dinger haben einfach nicht genug Speicherund CPU.

Relevant ist das mglicherweise fr Leute, die denFreifunk-VPN-Schlssel z.B. probeweise auf ihrem PC benutzen. Und danngleich mal einen Torrent anwerfen, z.B. https://instant.io/ (willschreiben: da geht schon was - wenn man sich anstrengt). Wenn nuntatschlich Briefpost kommt, trifft es dann wohl die richtige Person.Weil *so* sollte unser VPN gar nicht benutzt werden...

Gru // Sven-Ola

Am 31.01.2015 um 21:10 schrieb Sven-Ola Tuecke:> Hey,>> es gibt verschiedene Techniken etwas ber einen Einzelnutzer hinter> einem NAT herauszubekommen. Super-Cookies, Logins-Auswerten,> Google-Analytics mit 1x1 Pixeln-Bilder usw. Und das nicht erst seit> gestern. Der springende Punkt: das kann nicht mit irgendwelchen> Urheberrechtsverletzungen anderer verknpft werden. Jedenfalls nicht> gerichtsverwertbar. Also: vergiss es - kein Angstpotential an dieser> Stelle.>> Gru // Sven-Ola

-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL: -------------- nchster Teil --------------Ein Dateianhang mit Binrdaten wurde abgetrennt...Dateiname : signature.ascDateityp : application/pgp-signatureDateigre : 181 bytesBeschreibung: OpenPGP digital signatureURL :

h - ich sollte vielleicht noch etwas spezifischer werden, damit hiernicht gleich wieder Panik ausbricht.

Wir haben z.B. die Oldenburger. Die betreiben einen VPN-Server, derseinerseits Internetverkehr ber den Berliner VPN-Server abwirft. DerOldenburger Server ist wahrscheinlich gut genug, um da einen Browserdrauf auszufhren. Und dieser Server hat sicher auch eine ffentlicheIP. Also lautet der Rat an die Oldenburger: wenn ihr schon auf euremServer einen webRTC-basierten Torrent im Browser ausfhrt, dann achtetdarauf, dass der webRTC-basierte Torrent-Dienst nicht eure Server-IP mitHilfe der auf https://diafygi.github.io/webrtc-ips demonstriertenTechnik ermittelt und z.B. an die Musikindustrie weiterleitet.

Gru // Sven-Ola

Am 01.02.2015 um 10:06 schrieb Sven-Ola Tuecke:> Relevant ist das mglicherweise fr Leute, die den> Freifunk-VPN-Schlssel z.B. probeweise auf ihrem PC benutzen. Und dann> gleich mal einen Torrent anwerfen, z.B. https://instant.io/ (will> schreiben: da geht schon was - wenn man sich anstrengt). Wenn nun> tatschlich Briefpost kommt, trifft es dann wohl die richtige Person.> Weil *so* sollte unser VPN gar nicht benutzt werden...

-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL: -------------- nchster Teil --------------Ein Dateianhang mit Binrdaten wurde abgetrennt...Dateiname : signature.ascDateityp : application/pgp-signatureDateigre : 181 bytesBeschreibung: OpenPGP digital signatureURL :


Hallo Freifunker,

Bad Gandersheim soll nun auch Freifunk bekommen.Gestern kam der TL-WR841N, Ip habe ich schon und nun gehts ansEinrichten. Dazu bentige ich bitte noch einen VP-Schlssel, diesenbitte an Freifunk.Bad.Gandersheim at argarh.de schicken.

Danke Volker

P.S. wer sich fragt wo Bad Gandersheim liegt, Westlich vom Harz istdie Stadt, bekannt durch ihre Domfestspiele. ;o)-----BEGIN PGP SIGNATURE-----Version: GnuPG v2

iQEcBAEBAgAGBQJUzgkDAAoJEO+0kGqrUoVO7xoIAKAHpaxN2PwN4tsVjBJT/tbTecyblRyZpJ9+JBBRNUeAeHRIT6vZbKR7jhzY7x3EUVWObkizOIYvOoSpH09kotEN7a0phEwA3NE8UYMq2cJ/F3EkBVs1yeFhjsGauiX/k2qoT75LKP/huxpZdrxZQC1TTzmb6earWr03G5C6XkC4kCYLTV3RYgaiVDGbSg1hvNVg+6rpT/fqFVcGPXFw6jmeysaRfWN/VeWPWc1UmnqQbVXCECMxc223W+yMq1TqxQ11gL84rLQ2ppFybQXPFeVmUehgbF/bLr682LXaSjRDK4F/eXCL9kY3058GY2MTj4l/4g9jZ+fHzc3IVCrDTr8==to6A-----END PGP SIGNATURE-----

Hallo liste,

warum eigentlich keine zweite liste fuer

- firmware-releases- serverausfaelle- vpn-key requests

Neuankmmlinge wuessten so das sie eine neue firmware aufspielen solltenda sie sich ja schon fuer den key anmelden mussten sich aber nichtabmelden/spamfiltern brauchten da nur wenige wichtige mails pro monatueber ihr Postfach hereinbrechen.

Hilfesuchende Juenger werden per freischaltmail an die andere listeverwiesen. Ob key anfragen durchgehen sollen ist ermessenssache. Es isteigentlich ganz interessant das immer neue hinzukommen und wo (inBerlin) und koennte als motivation/entscheidungsbekraeftigung fuerneufreifunker gerne weiter kommen.Was den normalen neuling nicht interessiert, obwohl es ja eigentlichsollte, freifunk-politische, -technische Diskussionen. Von denen wird eraber auch nichts hoeren wenn er sich von der liste wegen Flut an mailsoder auch gelegentlichen zwischenmenschlichem Gerangel abmeleldet oderper filter verschonen laesst.Aus gegebenen Anlass wuerden auch Firmwarefixes gelesen werden. Also inmeinem vorgestern aufgespielten Kathleen 000 waren die vpn server nochhardcoded IPs. Waere mir nie aufgefallen und ich haette nicht staendigauf die website nach ner neuen firmware gesucht und so waere derRoundRobin wohl lange nicht zum tragen gekommen. Geschweige denn die VPNIPs haetten sich geaendert dann waere auch auf der liste groenFehlerraten entstanden.

Einen Schritt weiter.die keyanfragen knnten dann auch per Webformular kommen um zumindestvorformatiert in die liste zu gelangen fuer eine halbautomatische keyErstellung.

PS:(OT?) gibts nen Firmware-versionscheck in der firmware? Denke nimmtnicht viel Platz weg (~ wget+compare) und knnte als hinweis auf derstartseite des Router als hinweis gepostet werden jedesmal wenn jemanddie seite aufruft.

stay connected ;)fabi-- 10.31..08

Hi,

FYI, in der Gegend ist u. a. Freifunk Hildesheim aktiv, vielleicht macht es ja Sinn, da Du Dich mit den Aktiven dort mal triffst? Lt. Freifunk-Karte sind in Northeim ein Knoten aus Rothenburg ob der Tauber und etwas nrdlich von Bad Gandersheim ein Mesh dreier Berliner Knoten aktiv: http://www.freifunk-karte.de/?lat=51.97854&lng=10.16373&z=10

MfG,-kai

-------- Ursprngliche Nachricht --------Von: Volker Schmidt Freifunk Bad Gandersheim Gesendet: 1. Februar 2015 12:07:47 MEZAn: berlin at berlin.freifunk.netBetreff: [Berlin-wireless] VPN-Schlssel


Hallo Freifunker,

Bad Gandersheim soll nun auch Freifunk bekommen.Gestern kam der TL-WR841N, Ip habe ich schon und nun gehts ansEinrichten. Dazu bentige ich bitte noch einen VP-Schlssel, diesenbitte an Freifunk.Bad.Gandersheim at argarh.de schicken.

Danke Volker

P.S. wer sich fragt wo Bad Gandersheim liegt, Westlich vom Harz istdie Stadt, bekannt durch ihre Domfestspiele. ;o)-----BEGIN PGP SIGNATURE-----Version: GnuPG v2

iQEcBAEBAgAGBQJUzgkDAAoJEO+0kGqrUoVO7xoIAKAHpaxN2PwN4tsVjBJT/tbTecyblRyZpJ9+JBBRNUeAeHRIT6vZbKR7jhzY7x3EUVWObkizOIYvOoSpH09kotEN7a0phEwA3NE8UYMq2cJ/F3EkBVs1yeFhjsGauiX/k2qoT75LKP/huxpZdrxZQC1TTzmb6earWr03G5C6XkC4kCYLTV3RYgaiVDGbSg1hvNVg+6rpT/fqFVcGPXFw6jmeysaRfWN/VeWPWc1UmnqQbVXCECMxc223W+yMq1TqxQ11gL84rLQ2ppFybQXPFeVmUehgbF/bLr682LXaSjRDK4F/eXCL9kY3058GY2MTj4l/4g9jZ+fHzc3IVCrDTr8==to6A-----END PGP SIGNATURE-----

_______________________________________________Berlin mailing listBerlin at berlin.freifunk.nethttp://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL:


Hallo

On 30/01/15 14:58, Bastian wrote:> Auf dem eh schon berlasteten OpenVPN auch noch den Traffic vom > Mesh-Hintergrundrauschen zu fahren ist momentan keine gute Idee> und technisch nicht trivial. Gerade deswegen gibt es die klare> Trennung zwischen BBB-VPN, ICVPN und VPN03. Solange VPN03 noch> andere Communities bedient macht Mesh darauf IMHO auch erst recht> keinen Sinn.

Ein kurzer Schwenk aus der Geschichte. Das BBB-VPN mit OpenVPN undOLSR hatte seinerzeit mit ca. 30 OLSR clients ca. 30kb/s reinen OLSRtraffic, so dass so manche damals aktuelle 16Mbit Leitung kaumNutzlast transportieren konnte.

@wusel: Das ist der Grund, warum BBB-VPN nicht weiter beworben wird.Es gab mehrer Anlufe VPN fr Inselvernetzung zu betreiben (tinc, n2n,l2gvpn, openvpn) - aber so richtig toll war das nicht und es fandensich quasi auch dauerhaft keine Leute zum maintainen.

Hier hoffe ich, dass der Dienst "Berliner Insel-Verbindungs-VPN" neuenWind bekommen und sich 2-3 Admins diesem Thema annehmen.

>> Ein gewisses Ma an Professionalitt wird weiterhin notwendig>> sein. Mit einem Dienst, der jede zweite Woche down ist und einmal>> im Monat gehackt wird, ist IMHO niemandem geholfen. AFAICT>> spricht aber nichts dagegen, neue Dinge in der Entwicklungsphase >> bei jemandem zu Hause laufen zu lassen. Ein Gateway+Nameserver,>> bei dem man sich einfach selber (oder auf Zuruf) ein>> Portforwarding und eventuell eine Subdomain schalten (lassen)>> kann, wre dabei IMHO eine groe Hilfe. Ich schlage mal>> *.users.freifunk.net vor. Schade,>> dass SRV records anscheinend nicht von den Browsern[1] >> untersttzt werden. Das htte hier hilfreich sein knnen.> > > DNS ist eine spezielle Baustelle bei uns. Im Gegensatz zu allen> anderen Communities ist unsere interne TLD im Mesh .olsr - also gar> nicht berlinspezifisch und unsere Router sind deswegen auch nicht> ber das ICVPN per DNS ansprechbar.

Fr diesen Zweck wartet z.b. freifunk.berlin auf willige DynDNS adminsfr ipv6 / mesh-ipv4 / public-ipv4 Eintrge.

> Besonders im Hinblick auf global IPv6 und traceroutes finde ich> aber einen Export unserer Mesh-Hostnames ins globale reverse-DNS> sehr spannend. Im selben Zuge sollte es auch mglich sein, auf> einer dedizierten Subdomain dynamisch das forward-DNS zu kleben.s.o.

> Ein ffentlich erreichbarer zensurfreier Resolver unter unseren IPs> ist ein ganz anderes Thema und hat IMHO auch eine geringere> Prioritt.ack. Darum wollte sich imo philipp kmmern , oder?

Daniel

- -- Dipl. Inf. (FH) Daniel PauflerAngewandte Informatik - Computer Aided Facility Management

-----BEGIN PGP SIGNATURE-----Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAlTOIuUACgkQq6ymFUkZLTJXSACg0nJbfhdW+wt0+m14+5CmDc35xAYAnRFpFfopX/beb3sISVaVt9XXLr4a=5umH-----END PGP SIGNATURE-----


Hallo

On 30/01/15 14:41, Smilie wrote:> Hallo Cholin,> > Darf ich an dieser Stelle meine Anmerkung machen zu dieser> Webseite?>> http://wiki.freifunk.net/Berlin:Server> > In der ersten Tabelle unter Beschreibung stehen die Punkte:> > Virtualisierer AS44194 Uplink + Perrings InteInterCityVPN und> IPv6-Transit fr FF-Communities rCityVPN und IPv6-Transit fr> FF-Communities Strerhaftungsbefreifungs-VPN> > fr mich als Gromutter ist das zu wenig Info.Die Doku ist auch nicht fr die Gromutter gedacht, sondern fr Admins.

[...]> Der Satz "BGP-Gateway ins Internet vom Frderverein" ist mir> irgendwie zu wenig. Unter BGP finde ich bei Wikipedia: > Border_Gateway_Protocol Hier sollte die Gromutter mehr Infos> kriegen.

Fr den User ist diese Information nicht von Bedeutung. Wer was mitBGP Anfangen kann, kann weiterlesen. Wer mit BGP nichts anfangen kann,sollte wie du es korrekt gemacht hast, die Gundlage z.b. in derWikimedia erforschen.

Daniel



iEYEARECAAYFAlTOI2oACgkQq6ymFUkZLTKH3gCfUx7pp6kvJdNOK3mIzy9gH+n9+DUAn2/TOR5pKH/sdg6EOpwQWp8YIQLV=QV7S-----END PGP SIGNATURE-----


Hallo

On 30/01/15 14:59, Smilie wrote:> Noch etwas,> > ich fnde es Super, wenn es einen Ort gbe, wo man einen kleinen> Server ins Freifunknetz stellen knnte. Das knnte irgend ein Dach> sein, welches explizit dem Freifunkas offen steht und eine Freifunk> Anbindung hat.Fang bitte mit deinem Dach / Wohnung an.

> Mglicherweise knnen das auch mehrere Dcher sein. Hier knnte man> dann auch die verschiedene Dienste und die Firmware anbieten.Bitte berlege dir, welche Dienste du zur Verfgung stellen kannst undfange morgen an, diese zu hosten.

> Hier knnte man dann auch die Webseite berlin.freifunk.net hosten.Nope. Das Teil muss stabil laufen und nicht teil eines experimetellenMesh-Netzwerks sein. buildbot und monitor hingegen halte ich schon frmesh-tauglich

> Eine DNS-Anfrage innerhalb des Freifunk-Netzes knnte dann> vielleicht auf diesen lokalen Server leiten.Bitte sei so lieb und stelle einen freifunk-mesh-DNS resolver aufdeiner mesh-IP auf.

> Freifunk muss wie Lego werden, einfach verstndlich, gut> dokumentiert, modular.Nein. Einen Server zu betreiben erfordert Wissen, welches sich erstangeignet werden sollte.

Autos fahren und reparieren muss auch durch Qualifikation erworben werden.

Gre

Daniel



iEYEARECAAYFAlTOJDsACgkQq6ymFUkZLTKHeQCfaxurlMYZO8tNFePt1NHErHeoe4cAoMWywYQhThbCMfnE70hqqrfhpWB0=U/4F-----END PGP SIGNATURE-----


Hallo

On 29/01/15 20:54, cholin wrote:> Wir haben zur Zeit zwei VM-Host-Server (in zwei unterschiedlichen > Rechenzentren) in Berlin:> > * vmhost03 bei IN-Berlin * host-ipb bei IPB

Mini-Korrektur. host-ipb hostet zwar VMS, aber nur fr BGP + VPN. Hierlaufen keine "Dienste" in dem Sinne.

> Es wre schn wenn nun einzelne Dienste von unserem VM-Host-Servern> ins Mesh zurckgeholt werden. Um das zu vereinfachen, knnten wir> noch unsere zwei zur Zeit nicht verwendeten stromsparenden> ATOM-Server in dem ein oder anderen MABB-Standort unterbringen.> Auerdem existieren Standorte wie f2a oder die Segenskirche, die> selbst Server vor Ort schon installiert haben. Ich denke wir haben> somit gengend technischen Ressourcen so ein Vorhaben umzusetzen.> Via IPv6 wren diese ja dann auch aus dem Internet erreichbar. Fr> IPv4 knnten wir diese evtl ber Portmapping oder ffentlicher IP> erreichbar machen. Sicherheit ist natrlich hierbei nochmal ein> ganz anderes Thema. Aber auch das Experimentieren mit Technik ist> Teil von Freifunk!Ack. Wir haben derzeit zwei Atom-Server aus der MABB-Finanzierung.Diese mssen auch auf MABB-Standorten stehen. Der Teufelsberg (winkLutz) klingt nach einem sehr sinvollen Einsatzzweck.

> Anmerkung: Die ISP-Dienste vom Frderverein freie Netzwerke sowie> unser Strerhaftungs-VPN lassen sich leider schwer ins Mesh selbst> migrieren. Ich wrde sogar dazu tendieren, diese eher beim> Frderverein selbst zu verorten und so vlt den DNS von> berlin.freifunk.net zum Beispiel zu freie-netzwerke.de ndern (so> in etwas wie isp at freie-netzwerke.de).

Denke nicht, dass wir eine Domain-nderung brauchen. Das VPN03 ist alsBerliner Dienst fr andere gestartet - und da Berlin keine Orga-Formhat ist der Frderverein zur Frderung der Initiative eingesprungen.ICVPN und BBB-VPN sind deutlichere Beispiele fr den Berlin Bezug.

Mir fallen gerade wenig andere Dienste ein, die der Frdervereinbundesweit betreibt .... bitte ergnzen.

Daniel



iEYEARECAAYFAlTOJYQACgkQq6ymFUkZLTJCkgCgxrjsqdTnaI18rhIWnLskdp0JmmoAnjYKtuET4gzJ20Ho64/tMMeyS9kM=QP29-----END PGP SIGNATURE-----

gerade auf der c-base-liste gefunden:

http://www.berliner-zeitung.de/berlin/initiative-fuer-internet-in-berlin--freifunk--arbeitet-an-stadtweitem-wlan,10809148,29717458.html


Hallo,

ich werde in den kommenden Tagen die Berliner Listen + den DNS fr die ffentlichen IPs+die Zone berlin.freifunk.net umziehen.Daher bitte nicht wundern, wenn es ruckelt.

VG nosy

vpn03b ist wieder mit der ursprnglichen Config online. Nur das Pinningauf eine CPU != bgp02 ist jetzt neu.

On 02/01/2015 04:14 AM, Andr Gaul wrote:> Moin Basti!> > Erstmal thx fr die Nachtschicht! ;-)> > D.h. mit der ursprnglichen config bootet die vm auch nicht mehr?> > @jay: dem guest-kernel sollte das eigtl egal sein.> > Ciao,> Andr> > On February 1, 2015 3:44:39 AM CET, Bastian wrote:>> Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.>>>> An dem Core hab ich jetzt ne Stunde mit unterschiedlichsten>> Kombinationen rumprobiert und nix hat funktioniert. Die VM bleibt>> einfach mitten im Bootvorgang stehen.>> Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:>> kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0>> kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0>>>> Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.>>>> Gru>> Bastian>>>> On 02/01/2015 01:31 AM, Bastian wrote:>>> durch den Stromausfall am Standort AM hat sich heute die Last auf>> vpn03b>>> stark erhht. Damit gert auch bpg02 mit der derzeitigen>> Konfiguration>>> an seine Grenzen. dropped packets und so...>>> Sven-Ola hatte ja auch schonmal wegen CPU-Konfiguration am>>> Virtualisierer host-ipb fr vpn03b angefragt. Das bentigt aber einen>>> reboot seitens KVM.>>>>>> Deswegen wird um ~02:30 bgp02 und vpn03b kurzzeitig heruntergefahren>> um>>> folgende Maintenance durchzufhren:>>> *) NIC von bgp02 tauschen (8139cp->virtio)>>> *) CPU-Pinning fr bgp02 und vpn03b auf getrennte Cores>>> *) Zustzlichen Core fr vpn03b>>> *) RAM downgrade auf bgp02>>>>>> Hoffen wir mal, dass die nderungen fr wenigstens ein bisschen mehr>>> Performance sorgen. Zeigen wird sich das aber erst, wenn wieder>>> reichlich Connections ber vpn03b laufen.>>>>>> BTW, Ich hab irgendwas von wegen "Sonntag Nacht wird jede Connection>> bei>>> vpn03 resettet" im Kopf. Ich hoffe, der Reboot sorgt damit also nicht>> zu>>> lange fr extra Last auf vpn03a.>>>>>>>>>> ------------------------------------------------------------------------>>>> _______________________________________________>> Berlin mailing list>> Berlin at berlin.freifunk.net>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin>


Hallo,

warum vpn03b mit mehr Cores nicht starten wollte ist mir wirklich einRtsel. Ich hab reichlich an unterschiedlichen CPU-Types probiert, dashat zu mehr oder weniger unterschiedlichen Fehlern gefhrt. Sogar wennnur ein Core vergeben wurde! vpn03b ist an verschiedenen Stellen beimKernel-Boot hngen geblieben und hat dann 50% CPU gefressen.ltere Kernel-Versionen hab ich auch probiert - kein Unterschied.

GruBastian

On 02/01/2015 08:31 AM, Sven-Ola Tuecke wrote:> Moin Bastian,> > ich schliee mich Andre und Jay an und sage "Danke". VPN neu starten ist> nicht schlimm - das passiert jeden Sonntag per /etc/cron.weekly/openvpn> sowieso. Wenn nur eine VPN-Maschine neu startet werden viele Tunnel auf> die jeweils andere 'rberverbinden, mehr drfte nicht passieren.> > Das mit dem 2 Cores wundert mich: der Kernel msste das knnen - da> steht "linux-image-3.13.0-44-generic - Linux kernel image for version> 3.13.0 on 64 bit x86 SMP" (von03b ist Ubuntu-Trusty, vpn03a ist> Debian-Squeeze). Laut Suchmaschinenergebnis versucht der Guest-Kernel> auf ein MSR (Machine Specific (CPU-)Register) zuzugreifen, das KVM nicht> kennt oder behandelt. Mglicherweise hilft es, die CPU-Typ-Einstellung> fr den Guest auf einen anderen Wert zu ndern.> > Gru // Sven-Ola> > Am 01.02.2015 um 03:44 schrieb Bastian:>> Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.>>>> An dem Core hab ich jetzt ne Stunde mit unterschiedlichsten>> Kombinationen rumprobiert und nix hat funktioniert. Die VM bleibt>> einfach mitten im Bootvorgang stehen.>> Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:>> kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0>> kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0>>>> Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.>>>> Gru>> Bastian> > > > > _______________________________________________> Berlin mailing list> Berlin at berlin.freifunk.net> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin>


Hallo,

wie zu erwarten, hat zumindest der NIC-Tausch hin zum virtio-Modulereichlich Performance geliefert:

Gestern Abend um 23:00 konnte ich auf dem BCIX-Interface von bgp02 beirx: 102.92 Mbit/s 17639 p/s tx: 104.72 Mbit/s 17077 p/szugucken wie der Counter fr dropped Packets bei RX kontinuierlichwuchs. Und mehr als die 100Mbit/s war einfach nicht drin.

Bei ~100Mbit/s sind wir jetzt gerade auch wieder fast, aber mit icvpn02konnte ich problemlos noch vom FU-Berlin FTP das INDEX-File ziehen:rx: 635.98 Mbit/s 21870 p/s tx: 82.58 Mbit/s 19779 p/sUnd das ohne das sich der dropped packets Counter erhht.

Monitoring deutet auch an, dass die CPU-Last geringer ist als zuvor.

Philipp hat schon eine weitere VPN03-VM auf dem selben Host erhalten -ich denke in die Breite sollte sich das jetzt besser skalieren lassen.

GruBastian

On 02/01/2015 03:44 AM, Bastian wrote:> Bis auf den zustzlichen CPU-Kern fr vpn03b hat alles geklappt.> > An dem Core hab ich jetzt ne Stunde mit unterschiedlichsten> Kombinationen rumprobiert und nix hat funktioniert. Die VM bleibt> einfach mitten im Bootvorgang stehen.> Im dmesg vom Host (3.13.0-39-generic) finden sich folgende Meldungen:> kvm [6393]: vcpu1 unhandled wrmsr: 0x40 data 0> kvm [6393]: vcpu1 unhandled wrmsr: 0x60 data 0> > Evtl. wird das mit einem KVM Upgrade besser - aber nicht heute.> > Gru> Bastian> > On 02/01/2015 01:31 AM, Bastian wrote:>> durch den Stromausfall am Standort AM hat sich heute die Last auf vpn03b>> stark erhht. Damit gert auch bpg02 mit der derzeitigen Konfiguration>> an seine Grenzen. dropped packets und so...>> Sven-Ola hatte ja auch schonmal wegen CPU-Konfiguration am>> Virtualisierer host-ipb fr vpn03b angefragt. Das bentigt aber einen>> reboot seitens KVM.>>>> Deswegen wird um ~02:30 bgp02 und vpn03b kurzzeitig heruntergefahren um>> folgende Maintenance durchzufhren:>> *) NIC von bgp02 tauschen (8139cp->virtio)>> *) CPU-Pinning fr bgp02 und vpn03b auf getrennte Cores>> *) Zustzlichen Core fr vpn03b>> *) RAM downgrade auf bgp02>>>> Hoffen wir mal, dass die nderungen fr wenigstens ein bisschen mehr>> Performance sorgen. Zeigen wird sich das aber erst, wenn wieder>> reichlich Connections ber vpn03b laufen.>>>> BTW, Ich hab irgendwas von wegen "Sonntag Nacht wird jede Connection bei>> vpn03 resettet" im Kopf. Ich hoffe, der Reboot sorgt damit also nicht zu>> lange fr extra Last auf vpn03a.> > > > > _______________________________________________> Berlin mailing list> Berlin at berlin.freifunk.net> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin>


Bump,

wenn in eurem Kreis kein Freifunkrouter in einer Anwaltskanzlei aufgestellt ist, kennt ihr vielleicht eine Community, wo dies der Fall ist?

Hallo *,

in FF-SI (Siegen, Siegerland, NRW) gibt es einen Anwalt, der wrde gerne einen Freifunk-Router aufstellen, ist sich aber ob des Datenschutzes nicht sicher. Habt ihr in eurem Umkreis vielleicht einen Anwalt/Notar/Rechtswesen-Kollegen, der ihm durch persnlichen Kontakt die Sorge nehmen kann?

Wre tfte,

nanooq

-- Please encrypt communication:2048D/A0B32504 2014-01-28 [expires: 2015-12-26]Key fingerprint = 9C69 97F3 03B9 A509 4F99 AAB0 C438 6955 A0B3 2504nanooq (only encrypted traffic allowed) () ascii ribbon campaign - against html e-mail/\ www.asciiribbon.org - against proprietary attachments

Hallo Ulf,

iperf icvpn02rhxb-rt1 liefert nach mehrfachen Messungen in beideRichtungen 82.7 bis 90.2 Mbits/sec.

root at rhxb-rt1:~# wget -O /dev/null ftp://ftp.fu-berlin.de/INDEXpendelt zwischen 5.70MB/s und 8,40MB/s

Wie gut der Link rhxb-rt1rhnk-core knnen dir bestimmt Philipp oderAndr ausmessen.

GruBastian

On 01/29/2015 10:53 PM, ulf kypke wrote:> hallo,> wie ist eigentlich der status auf dem rathaus neuklln und wie stabil> und schnell ist die link strecke zum rathaus xberg und dann weiter zu ipb?> ich habe eine event anfrage im heimathafen und dort gibt es nur 16mbit> zeitanschlsse, leider kein glas und auch sonst ist das dort ziemlich> dnn mit dem breitband.> meine idee, ich kaufe bandbreite bei ipb, und fr den transit gibt es ne> spende an freifunk. der link / die links sollten fr den zeitraum der> veranstaltung prio haben, damits auch schn stabil ist. dazu gibts dann> 1-2 dsler fr zeitkritische anwendungen, dns und so.> mit den 2 relais auf den rathusern sollte man doch noch 20-30 mbit> durchkriegen> > welche turmfrsten sind hier meine ansprechpartner?> > gruss ulf> -- > ----------------------------------> Ulf Kypke-Burchardi> Kpenicker Strasse 159> 10997 Berlin, Germany> +49 - (0) 177 - 3405152> ----------------------------------


Meine Interpretation zu dem Thema ist eine mangelhafteDokumentation. Die Reaktion von Sven wre dementsprechend unangebracht.

Ich pldiere schon lang fr graphisch aufgearbeitete und nachvollziehbare Entscheidungspfade mit tiefgreifenden Erluterungen(Links zu Erklrungen).Auf diesen Wunsch wird aber, aus welchem Grund auch immer, nichteingegangen. Die Begrndungen fr verschiedene Entscheidungen kannman sich sporadisch auf der Mailing-Liste zusammensuchen oder siewerden nur mndlich von Experte zu Entwickler oder User weitergegeben.Aus diesem Grund entstehen immer wieder die gleichen Fragen.Zustzlich entsteht eine Situation von diffusem Wissen und nichtzusammenhngender Erkenntnisse.Eine bessere und verstndlichere Darstellung wrde auch demVerstndnis der Super-Experten zu gute kommen.Weil das Hirn des Menschen (Experten eingeschlossen) nichtFehlerfrei funktioniert.Diese Issues, wie sie hier gerne mal gezeigt werden sind ganzallgemein hchstens als ein Steno-Protokoll fr eine nachfolgendeausfhrliche Doku geeignet. Sie sind von nichtbeteiligten Menschen kaum nachvollziehbar und selbstbeteiligte Menschen mssen sich erst erinnern bevor sie dieeigenen Mitschriften wieder in Erinnerung rufen knnen.

Gru,sm

Am Sat, 31 Jan 2015 10:59:10 +0100schrieb Sven-Ola Tuecke :

> Hi Boris, Wischi,> > zunchst: bei 2. Lesen fllt mir auf, dass der unten stehende Satz als> personenbezogener Angriff wertbar wre. Das war nicht meine Intention.> Falls das bei Dir (Wischi) so ankam - akzeptiere bitte meine> Entschuldigung.> > Die Anregung "bitte einfacher machen" wurde hier schon fter und auch> nicht erst gestern formuliert. Dagegen spricht gar nichts - einfacher> heisst aber: mehr Reichweite. Gegen mehr Reichweite spricht auch> nichts. Mit 2 kleinen "so nicht":> > * Wir paar Leute in Berlin knnen nicht den> Strerhaftugsvermeidungsbedarf der ganzen Republik wuppen. Schon> gar nicht mit 2 lausigen Servern. Es muss also irgend eine> Einstiegshrde geben. Im Moment eine Kombi aus Aufwand> (Listenanmeldung, Anfrage posten, bissi warten) und einer gewissen> Netzwerk-Grundkompetenz.> * Und auerdem wrde das hier tendenziell dann ein zentralisiertes> Hotspotnetz. Es gibt eine ganz Reihe von Grnden, warum das> Aufstellen eines Hotspot-Routers (plus Einrichtung) wesentlich> einfacher ist als Aufstellen echten Freifunk-Nodes (Stichworte:> Gruppe von Leuten vor Ort zusammenbringen, Dachzugnge erlangen,> Antennenmontagen machen, WLAN+IP-Netzwerktechnik lernen, Server> mieten ber mehrere Jahre bezahlen + pflegen usw.)> > Ich knnte mir eine ganze Reihe von Dingen vorstellen, wie man die> Einstiegshrden (abseits der Router-Bedienoberflche) senken kann bzw.> den VPN-Dienst fr jede interessierte Person aufmachen knnte. Kleines> Brainstorming:> > * Mehr Server. Server kosten Geld. Geld kann man verlangen.> * Regionale Begrenzung. Verbindung nur noch von einem Berliner> DSL-Anschluss aus> * Vergabekomittee. Mit Assessment-Center zur Auswahl wrdiger> Personen / Gruppen.> > Am liebsten wre mir, der Strerhaftungs-Unsinn lst sich in Luft auf.> Alles andere ist mir zuviel. Wir hatten ein paar> (VPN-)Reservekapazitten. Wir wollten freundlich sein und z.B. damit> sich neu grndenden Freifunk-Communities unter die Arme greifen. Das> hat aber Grenzen und ich geh' lieber wieder bei schnen Wetter auf die> Leiter und schraub' Equiment auf's Dach.> > Gru // Sven-Ola> > Am 31.01.2015 um 09:41 schrieb Boris Bischoff:> > Hey Sven-Ola,> >> >> > ...du kannst den Job gerne haben. Wir verffentlichen in der> >> > C't, dass wir Berliner eine gaaanz easy zu bedienende Firmware> >> > haben, wo die VPN-Keys von Wischi direkt und ziemlich sofort> >> > vergeben werden. Then you prepare for imact - not me > > er hat vllig recht. Das kann man auch nicht mit solchen> > Kommentaren (die auf Neue zwangslufig von oben herab wirken> > mssen) wegwischen.> >> >> > Viele Gre> > Boris>


Moin,

On 01/02/15 13:58, Daniel Paufler wrote:> Hallo> > On 30/01/15 14:58, Bastian wrote:>> Auf dem eh schon berlasteten OpenVPN auch noch den Traffic vom Mesh-Hintergrundrauschen zu fahren ist momentan keine gute Idee und technisch nicht trivial. Gerade deswegen gibt es die klare Trennung zwischen BBB-VPN, ICVPN und VPN03. Solange VPN03 noch andere Communities bedient macht Mesh darauf IMHO auch erst recht keinen Sinn.> > Ein kurzer Schwenk aus der Geschichte. Das BBB-VPN mit OpenVPN und OLSR hatte seinerzeit mit ca. 30 OLSR clients ca. 30kb/s reinen OLSR traffic, so dass so manche damals aktuelle 16Mbit Leitung kaum Nutzlast transportieren konnte.

30 kBit/sec finde ich bei 1000 kBit/sec Upstream einer 16 MBit/sec-DSL-Leitung nicht soo schlimm; falls die beiden "30" aber implizieren,es wre rd. 1 kBit/sec pro Knoten, dann, ja, das skaliert dann wohleher nicht.

Ist das bei OLSR denn wirklich so viel Traffic? IIRC gehen die Paketedoch nur 3 Hops (oder so) weit? Ich nutze OLSR auf meinen VPN-Linksals Routingprotokoll, da ist mir der Traffic nie aufgefallen.

> @wusel: Das ist der Grund, warum BBB-VPN nicht weiter beworben wird. Es gab mehrer Anlufe VPN fr Inselvernetzung zu betreiben (tinc, n2n, l2gvpn, openvpn) - aber so richtig toll war das nicht und es fanden sich quasi auch dauerhaft keine Leute zum maintainen.

Mit anderen Worten: wer heute einen Kathleen-Knoten aufstellt und keineFunk-Verbindung ins Mesh hat, stellt quasi echt nur einen Internet-Hot-spot auf, wenn er sich fr VPN03 einen Schlssel holt? Das ist dann auchder Grund, warum ich meinen Knoten nicht auf http://berlin.freifunk.net/network/nodes/wiederfinde?

> Hier hoffe ich, dass der Dienst "Berliner Insel-Verbindungs-VPN" neuen Wind bekommen und sich 2-3 Admins diesem Thema annehmen.

Das wre wohl wnschenswert ;) In Anbetracht des 4MB-Firmwarelimitskommt da imho ja nur eine Technik fr beide VPNs in Frage, und da Open-VPN fr VPN03 schon benutzt wird, also OpenVPN. (Wobei man das Strer-enthaftungs-VPN ja auch neu mit anderer Technik aufziehen knnte, undauch ein zweites BBB-VPN mit anderer Technik wre in neuer Firmware inmeinen Augen kein prinzipielles Problem, da ja "nur" ber IP-Routingsich ausgetauscht werden mu, oder?)

Kann man denn noch BBB-VPN-Keys bekommen, und falls ja, wo konfiguriertman das in Kathleen? Vorgesehen zu sein scheint das nicht? Oder ersetztBBB-VPN das VPN03-VPN?

>> DNS ist eine spezielle Baustelle bei uns. Im Gegensatz zu allen anderen Communities ist unsere interne TLD im Mesh .olsr - also gar nicht berlinspezifisch und unsere Router sind deswegen auch nicht ber das ICVPN per DNS ansprechbar.> > Fr diesen Zweck wartet z.b. freifunk.berlin auf willige DynDNS admins fr ipv6 / mesh-ipv4 / public-ipv4 Eintrge.

Nils Schneider hat da basierend auf dem Alfred-Output in Gluon wassimples gebaut[1]. Ich wei leider nicht, was mit Kathleen fr Datenber Knoten verteilt werden, sofern berhaupt?

MfG,- -kai

[1] https://forum.freifunk.net/t/alle-knoten-sind-nun-unter-luebeck-freifunk-net-erreichbar/1931/5-----BEGIN PGP SIGNATURE-----Version: GnuPG v1

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Jotx-----END PGP SIGNATURE-----

On Sun, 1 Feb 2015, Daniel Paufler wrote:

>> fr mich als Gromutter ist das zu wenig Info.> Die Doku ist auch nicht fr die Gromutter gedacht> sondern fr Admins.

Fr die Gromutter ganz sicher nicht; wenn alle Seiten immer bei Adam und Eva anfangen, kommt man zu nichts, und bersichtlicher wird's leider auch nicht.

(Nur) fr Admins sollte die Seite aber auch nicht gedacht sein; jedenfalls war im Ursprungsposting von "Hierarchieabbau" und "Grassroots" die Rede. Insofern sollte die Seite vermutlich fr technisch interessierte Freifunk-Menschen verstndlich sein. Das ist sicher noch nicht der Fall, aber da reichen vermutlich schon wenige kurze (!) erklrende Stze und ein paar Links auf Wikipedia. Vielleicht wr' das was fr Mittwochabend in der C-Base.

Gre,Malte


Hallo,

danke fr den Hinweis. Die Mailinglisten sind schon aufgenommen.Der Router ist bis auf VPN-Schlssel (wie lange ist dort dieErstelldauer?) eingerichtet und der erste FFGAN001 ist auf Sendung.

greetingsVolker

Am 01.02.2015 um 13:26 schrieb Kai 'wusel' Siering:> Hi,> > FYI, in der Gegend ist u. a. Freifunk Hildesheim aktiv, vielleicht> macht es ja Sinn, da Du Dich mit den Aktiven dort mal triffst? Lt.> Freifunk-Karte sind in Northeim ein Knoten aus Rothenburg ob der> Tauber und etwas nrdlich von Bad Gandersheim ein Mesh dreier> Berliner Knoten aktiv:> http://www.freifunk-karte.de/?lat=51.97854&lng=10.16373&z=10> > MfG, -kai> > > -------- Ursprngliche Nachricht -------- Von: Volker Schmidt> Freifunk Bad Gandersheim > Gesendet: 1. Februar 2015 12:07:47 MEZ An:> berlin at berlin.freifunk.net Betreff: [Berlin-wireless]> VPN-Schlssel> > Hallo Freifunker,> > Bad Gandersheim soll nun auch Freifunk bekommen. Gestern kam der> TL-WR841N, Ip habe ich schon und nun gehts ans Einrichten. Dazu> bentige ich bitte noch einen VP-Schlssel, diesen bitte an> Freifunk.Bad.Gandersheim at argarh.de schicken.> > Danke Volker> > P.S. wer sich fragt wo Bad Gandersheim liegt, Westlich vom Harz> ist die Stadt, bekannt durch ihre Domfestspiele. ;o)> > _______________________________________________ Berlin mailing> list Berlin at berlin.freifunk.net > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin> -----BEGIN PGP SIGNATURE-----Version: GnuPG v2

iQEcBAEBAgAGBQJUzkQKAAoJEDmQ3lG4nHydVPcH/1gAjkyYOx9BWDRKFNVXu59d0vqE3UJQEkfbBIuqQScP/+fmNP7k+hRFS4Tc/8qRRRZy2nqmPsJekZlSPEUumfrR9PrDQJPwOoc96Vyq8QzBKJRtomCRMO35pIMwuBtLZKb9p4IGD0/s5LjFfOawxz2r3JRAXs5wXkoYqs+uk3DDCyv0yo+EgnIgRoxRN7BVIuFNIDnC1B5uVOBEiL2tUFs4cEX7DnA7uKaBq9zp/0NGCt6ZmxL1kV1O1g/MWYDh9o+JEY1A72/xPH2a8UgabyChZQjyFhwA0Wk23xdImn9tJT0O9lPyM/mDAdjWsKX7RVwOuWb493IO2JFTVBt4ng8==dAh9-----END PGP SIGNATURE-----

Am 01.02.2015 um 15:52 schrieb Kai 'wusel' Siering:> Kann man denn noch BBB-VPN-Keys bekommen, und falls ja, wo konfiguriert> man das in Kathleen? Vorgesehen zu sein scheint das nicht? Oder ersetzt> BBB-VPN das VPN03-VPN?

Ja das ist alles noch mglich und funktioniert auch. Guck einfach malauf die bbb-vpn-Website (leider nicht einsteigerfreundlich):

http://bbb-vpn.berlin.freifunk.net/cgi-bin-howto.html

Dennoch sollte hier ber Alternativen nachgedacht werden. Vlt kann daskombiniert werden mit neuen Netzkonzeptgedanken (auf Basis neuererLayer3-Routingalgorithmen zum Beispiel: bmx6, babel oder olsrd2).

GruNico


Hey,

soweit ich wei, gelten fr Anwlte dieselben Regeln wie fr alleanderen auch. Was fr einen Datenschutz meint er? Er darf nicht in dieDaten anderer Leute gucken. Und Datensammeln darf er auch nicht. Odermeint er den Schutz seiner eigenen Daten? Immer schn denFreifunk-Router (gehrt auf's Dach) vom Anwaltscomputer (gehrt insBro) trennen. Wenn er die gnadenlosen Einzelheiten lesen mag, istReto's Publikationsverzeichnis[1] ein gute Anlaufadresse. Oder vllteinfach Reto im Video zugucken[2].

[1] http://www.offenenetze.de/publikationsverzeichnis/[2]http://mirror.fem-net.de/CCC/29C3/mp4-h264-HQ/29c3-5164-de-en-sharing_access_risiken_beim_betrieb_von_wlan_netzen_h264.mp4

Gru // Sven-Ola

Am 01.02.2015 um 15:02 schrieb berlin.freifunk.net at nanooq.org:> Bump, >> wenn in eurem Kreis kein Freifunkrouter in einer Anwaltskanzlei aufgestellt ist, kennt ihr vielleicht eine Community, wo dies der Fall ist?>>>> Hallo *, >> in FF-SI (Siegen, Siegerland, NRW) gibt es einen Anwalt, der wrde gerne einen Freifunk-Router aufstellen, ist sich aber ob des Datenschutzes nicht sicher. Habt ihr in eurem Umkreis vielleicht einen Anwalt/Notar/Rechtswesen-Kollegen, der ihm durch persnlichen Kontakt die Sorge nehmen kann? >> Wre tfte, >> nanooq >


Hallo,

On 02/01/2015 04:35 PM, cholin wrote:> Dennoch sollte hier ber Alternativen nachgedacht werden. Vlt kann das> kombiniert werden mit neuen Netzkonzeptgedanken (auf Basis neuerer> Layer3-Routingalgorithmen zum Beispiel: bmx6, babel oder olsrd2).

Das BBB-VPN als Labor fr neue Routing-Protokolle zu verwenden halte ichfr eine sehr gute Idee!

Nur so als Gedankenspiel: Zum Beispiel wre es interessant mitQuagga-RE[1] auf einem (gerne auch zustzlichen) BBB-VPN Server OLSR undBabel zu kombinieren. Das knnte reichlich Traffic sparen, da AFAIK nurHNAs produziert werden.

An das Firmware/Buildbot Team: Wie aufwndig ist es fr ar71xx undmpc85xx weitere Packages aus dem OpenWRT-Routing-Feed[2] zu bauen und imBuildbot OPKG-Routing-Repo zu hinterlegen? Also kein Integrieren in dieFirmware und keine Anpassungen an den Wizard oder LuCI sondern nurBereitstellen der Packages zum Nachinstallieren.

[1]: http://www.nongnu.org/quagga/[2]: https://github.com/openwrt-routing/packages

GruBastian


Ach die Deutschen reden alles kaputt. In Estland z. B. gibts Wlan am Strandoder in jedem anderen ffentlichen Bereich.

Gru Martin

-- Sent from my mobile device...Am 01.02.2015 14:22 schrieb "Andr Gaul" :

> gerade auf der c-base-liste gefunden:>>> http://www.berliner-zeitung.de/berlin/initiative-fuer-internet-in-berlin--freifunk--arbeitet-an-stadtweitem-wlan,10809148,29717458.html>>> --> Homepage http://andre.gaul.io> GitHub https://github.com/andrenarchy> Twitter https://twitter.com/#!/andrenarchy> Diaspora https://diasp.org/u/andrenarchy> (you won't find me on facebook!)> Jabber gaul at web-yard.de> PGP Key 0x0FA9170E>> _______________________________________________> Berlin mailing list> Berlin at berlin.freifunk.net> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin>-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL:

Am 01.02.2015 um 17:06 schrieb Bastian:> An das Firmware/Buildbot Team: Wie aufwndig ist es fr ar71xx und> mpc85xx weitere Packages aus dem OpenWRT-Routing-Feed[2] zu bauen und im> Buildbot OPKG-Routing-Repo zu hinterlegen? Also kein Integrieren in die> Firmware und keine Anpassungen an den Wizard oder LuCI sondern nur> Bereitstellen der Packages zum Nachinstallieren.

0 Aufwand. ;) Am Besten eine Paket-Wishlist als issue unter [1] anlegen.Ich kann das dann einbauen.

ciao,Andr

[1] https://github.com/freifunk-berlin/firmware


Am 01.02.2015 um 15:11 schrieb Bastian:> Wie gut der Link rhxb-rt1rhnk-core knnen dir bestimmt Philipp oder> Andr ausmessen.

iperf kommt auf ~40.5Mbit/s in beide Richtungen und wget -O /dev/null ftp://ftp.fu-berlin.de/INDEXkommt auf ~2.6MByte/s.

ciao,Andr


fyi zum Thema Genossenschaft

-------- Weitergeleitete Nachricht --------Betreff: Re: falls Ihr noch Untersttzung braucht .. bei derGenossenschaftsgrndungDatum: Sun, 1 Feb 2015 15:32:39 +0100Von: t-bs An: Andr Gaul

Hallo Andr,

was die Prfungskosten der Genossenschaft betrifft. es gibt mittlerweileauch die Mglichkeit einer kleinen Genossenschaft:

http://www.mittelstandsverbund.de/Themen/Mittelstandspolitik/Mittelstandspolitik-/-Buerokratieabbau/Kleine-Genossenschaften-sollen-von-Pflichtpruefung-befreit-werden-E7614.htm

Sie ist m.E. per Gesetz mglich geworden.

Einfach bei der DG am Pariser Platz nachfragen.

Viele Gre

Gnter

P.S. Generell werden auch der Genossenschaft nur alle 2 Jahre diePrfungskosten (ca. 2500 ? ) fllig. Das heit letztlich 1250 ? : 100Genossen:

12,50?

und da in der Regel in einer Genossenschaft neben der Einlage auch einJahresbeitrag erhoben wird, drfte dies angesichts der zunehmendenFreifunkergruppe doch kein so groes Hindernis sein.

Viele Gre

Gnter


On 01/02/15 16:35, cholin wrote:> Am 01.02.2015 um 15:52 schrieb Kai 'wusel' Siering:>> Kann man denn noch BBB-VPN-Keys bekommen, und falls ja, wo konfiguriert man das in Kathleen? Vorgesehen zu sein scheint das nicht? Oder ersetzt BBB-VPN das VPN03-VPN?> > Ja das ist alles noch mglich und funktioniert auch. Guck einfach mal auf die bbb-vpn-Website (leider nicht einsteigerfreundlich):> > http://bbb-vpn.berlin.freifunk.net/cgi-bin-howto.html

Cool, danke.

Ein Hinweis sollte vielleicht noch rein, da man nmlich die Configden realen Namen (oder jene der Config) anpassen sollte ;) Klar, meineDoofheit, aber wenn man grade so schn am cut&pasten ist, vergit mandas ggf. und wundert sich, da kein 2. OpenVPN-Prozess da ist, denn:

Sun Feb 1 18:39:20 2015 daemon.err openvpn(bbbvpn)[2299]: Cannot load certificate file /etc/openvpn/bbb-vpn_CLIENT_ID.crt

Macht man das richtig, klappt's auch mit dem BBB-VPN:

4826 root 1612 S /usr/sbin/openvpn --syslog openvpn(bbbvpn) --cd /var/etc --config openvpn-bbbvpn.conf

root at WollinerStr28:~# traceroute 6.191.254.97traceroute to 6.191.254.97 (6.191.254.97), 30 hops max, 38 byte packets 1 10.230.22.1 (10.230.22.1) 24.484 ms 24.530 ms 24.446 ms 2 mid1.Mod77uplink.olsr (10.230.22.21) 42.614 ms 45.709 ms 50.047 ms 3 mid1.GEK-Mod77-Arena.olsr (10.230.33.35) 46.243 ms 51.873 ms 44.801 ms 4 sven-ola-wap.olsr (10.230.32.209) 45.233 ms 49.383 ms 50.209 ms 5 6.191.254.97 (6.191.254.97) 46.880 ms 52.820 ms 50.708 ms

Ob es nach 104/8 so geschickt ist, 6/8 zu nutzen, lasse ich mal offen ;)Immerhin, es tut, danke! Next step: Echten Funkzugang bekommen ...

MfG,- -kai

P.S.: Schick, auch der Weg raus tut ;)

root at WollinerStr28:~# traceroute 10.255.1.1traceroute to 10.255.1.1 (10.255.1.1), 30 hops max, 38 byte packets 1 10.230.22.1 (10.230.22.1) 24.265 ms 30.219 ms 23.743 ms 2 icvpn01.olsr (10.31.105.3) 24.438 ms 23.701 ms 25.429 ms 3 10.255.4.1 (10.255.4.1) 40.466 ms 39.823 ms 40.139 ms 4 10.255.1.1 (10.255.1.1) 75.547 ms 55.698 ms 57.248 ms

-----BEGIN PGP SIGNATURE-----Version: GnuPG v1

iQIcBAEBAgAGBQJUznLhAAoJEKVy9ieIjYK+fYEQAIiAYxF9N0+tyABVH0jAEJkn8+3XhDSi7ivG/ho940C9YIhL5RQ78UoG90XaEc11uJIMSRwwt+qK/T9cBc3gh6DGilUy1FcihrTM4nFP/73P6wXTQFh6LsSP0//3oT4k46Qsn9Kdn9B03p75EZHLNpCoHem162J+viuctHGkZ2KHrjCm/uSdrARV2Cb3+Q2YEC0qgIJmn1mHitA6l3n97PlrxaXy4NeV4vX9rSW1j+r6eEdZIbQRIMQumtLxYrlZSqDk6psg9SGEmw4H5sUlMCW3S+92dTOKBDSsbY9ZtqrAE7QajBkEQI3US0JCURgBLOviapZ750qp3901OMO2FrDF1V8C+Wkox2gYNqueppGCQey5a5t0WTjZeMygBhgVk1WQvu1FD0/gUzrZSXnW4QHqq0r/+IzU21n8l+UN+OPJa8J+uH+jsu6TC4P90QmcfWOHBfzbDhyaRqGmc//xOg0Av7hwDJ222tsNHzMnzDxcjlLfjD88uadLg8TSWBUBfoBB7cdiffs4kyTlHP+kfL4UdrU7dcvrFJCYGOFwfaY/PDLgLMI8+i5SbkJjXrTRmeTkzKLdFnRfBbf4xlAqdQmJ9RX/tzVr8uaH/QmwOxinrl5v8L4yL9BXOgWQZmiZzuUf9MpXyIKOjAjGQOt2Erftp1cCQUHsOD47ZvYXZ1LD=HhPn-----END PGP SIGNATURE-----

Hallo Kai,

evtl. bietet es sich an, fr den OpenVPN-Server noch eine policy-rule zusetzen um den BBB-VPN-Traffic speziell nicht durch VPN03 zu routen. Ichbin mir nmlich gerade nicht ganz sicher, wie das per default seinen Wegnimmt...

On 02/01/2015 07:39 PM, Kai 'wusel' Siering wrote:> On 01/02/15 16:35, cholin wrote:>> Am 01.02.2015 um 15:52 schrieb Kai 'wusel' Siering:>>> Kann man denn noch BBB-VPN-Keys bekommen, und falls ja, wo konfiguriert man das in Kathleen? Vorgesehen zu sein scheint das nicht? Oder ersetzt BBB-VPN das VPN03-VPN?> >> Ja das ist alles noch mglich und funktioniert auch. Guck einfach mal auf die bbb-vpn-Website (leider nicht einsteigerfreundlich):> >> http://bbb-vpn.berlin.freifunk.net/cgi-bin-howto.html> > Cool, danke.> > Ein Hinweis sollte vielleicht noch rein, da man nmlich die Config> den realen Namen (oder jene der Config) anpassen sollte ;) Klar, meine> Doofheit, aber wenn man grade so schn am cut&pasten ist, vergit man> das ggf. und wundert sich, da kein 2. OpenVPN-Prozess da ist, denn:> > Sun Feb 1 18:39:20 2015 daemon.err openvpn(bbbvpn)[2299]: Cannot load certificate file /etc/openvpn/bbb-vpn_CLIENT_ID.crt> > Macht man das richtig, klappt's auch mit dem BBB-VPN:> > 4826 root 1612 S /usr/sbin/openvpn --syslog openvpn(bbbvpn) --cd /var/etc --config openvpn-bbbvpn.conf> > root at WollinerStr28:~# traceroute 6.191.254.97> traceroute to 6.191.254.97 (6.191.254.97), 30 hops max, 38 byte packets> 1 10.230.22.1 (10.230.22.1) 24.484 ms 24.530 ms 24.446 ms> 2 mid1.Mod77uplink.olsr (10.230.22.21) 42.614 ms 45.709 ms 50.047 ms> 3 mid1.GEK-Mod77-Arena.olsr (10.230.33.35) 46.243 ms 51.873 ms 44.801 ms> 4 sven-ola-wap.olsr (10.230.32.209) 45.233 ms 49.383 ms 50.209 ms> 5 6.191.254.97 (6.191.254.97) 46.880 ms 52.820 ms 50.708 ms> > Ob es nach 104/8 so geschickt ist, 6/8 zu nutzen, lasse ich mal offen ;)> Immerhin, es tut, danke! Next step: Echten Funkzugang bekommen ...> > MfG,> -kai> > P.S.: Schick, auch der Weg raus tut ;)> > root at WollinerStr28:~# traceroute 10.255.1.1> traceroute to 10.255.1.1 (10.255.1.1), 30 hops max, 38 byte packets> 1 10.230.22.1 (10.230.22.1) 24.265 ms 30.219 ms 23.743 ms> 2 icvpn01.olsr (10.31.105.3) 24.438 ms 23.701 ms 25.429 ms> 3 10.255.4.1 (10.255.4.1) 40.466 ms 39.823 ms 40.139 ms> 4 10.255.1.1 (10.255.1.1) 75.547 ms 55.698 ms 57.248 ms

Cool das du das gleich mal getestet hast! Das ICVPN kommt so langsamauch bei uns an. DNS der anderen Communities fehlt noch, aber dazu fehltein Konzept und Team...


Hi!Da ich von meinem Kurs in Netzwerksysteme noch eindrcklich in Erinnerung habe, dass man nicht an Firewalls rumspielt, wenn man nicht wirklich Ahnung hat, was man da tut, frage ich lieber mal hier:Ich mchte allen Traffic aus dem "WAN" meines Freifunkrouters (also dem Rest meines LANs) ber das Freifunk-VPN routen, wenn es ber die Freifunkrouter gerouted wird. Wie kann ich das anstellen?

Danke fr die Hilfe und auch fr die tolle Infrastruktur, die ich mit benutzen darf.

lg Philipp

Hallo,

wir haben uns mal von der Dienste-im-Freifunk-Diskussion inspirierenlassen und ein FreePBX aufgesetzt. Hat jemand zufllig Lust das beiGelegenheit zu testen?Ihr knntet euch eine 4-stellige Nummern registrieren [1] und and danneinen SIP-Client eurer Wahl konfigurieren. Ich hab das schon mit meinemLaptop und meinem Android-Handy gemacht.Gestern hab ich auch schon mit jemandem bers Mesh telefoniert, das gingwahrscheinlich bers Rathaus Neuklln und die Philmel-Kirche. DieVerbindung war in eine Richtung ganz gut in die andere aber sehr leise.Mich wrde jetzt interessieren, wie bei anderen die Verbindungsqualittist und ob sich das lohnt weiter darber nachzudenken, z.B knnte manmit anderen Servern im Mesh frderieren und bers ICVPNtelefonieren...Was meint ihr?

Schne Gremaria

[1] http://10.230.0.108

Hi Phillip,

ich glaube du must noch etwas zu deinem Vorhaben und die Gruendeerlaeutern. So verstehe ich das erstmal so das du den Freifunk VPN alsAnomyzer Dienst nutzen moechtst um zB bei Videoportalen unerkannt zubleiben. Soweit ich das verstanden habe war das VPN nicht dafuer gedachtoder ausgelegt. Mir fallen andere Lsungen dafuer ein aber wie gesagtein wenig Hintergrundinfo hilf bei derauswahl der richtigen.

gruss fabian

On 01/02/15 20:32, Philipp Steinpa wrote:> Hi!> Da ich von meinem Kurs in Netzwerksysteme noch eindrcklich in Erinnerung habe, dass man nicht an Firewalls rumspielt, wenn man nicht wirklich Ahnung hat, was man da tut, frage ich lieber mal hier:> Ich mchte allen Traffic aus dem "WAN" meines Freifunkrouters (also dem Rest meines LANs) ber das Freifunk-VPN routen, wenn es ber die Freifunkrouter gerouted wird. Wie kann ich das anstellen?> > Danke fr die Hilfe und auch fr die tolle Infrastruktur, die ich mit benutzen darf.> > lg Philipp> > _______________________________________________> Berlin mailing list> Berlin at berlin.freifunk.net> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin>

-- 10.31..08

Als Anwalt unterliegt man etwas andere Regeln, diese gibt es bei der Rechtsanwaltskammer, z.B. muss beim einrichten von Wlans auch gewisse Sicherheitsstandard eingehalten werden und ich rede nich von only WPA2.Aber wenn es kein Zugang zu seinem Netz gibt, gibt es eigentlich auch nichts zu befrchten.

Chris

Original Message processed by David.InfoCenter Subject: Re: [Berlin-wireless] Freifunk in einer Anwaltskanzlei (01-Feb-2015 16:55)From: Sven-Ola Tuecke To: berlin at berlin.freifunk.net

Hey, soweit ich wei, gelten fr Anwlte dieselben Regeln wie fr alleanderen auch. Was fr einen Datenschutz meint er? Er darf nicht in die Daten anderer Leute gucken. Und Datensammeln darf er auch nicht. Oder meint er den Schutz seiner eigenen Daten? Immer schn den Freifunk-Router (gehrt auf's Dach) vom Anwaltscomputer (gehrt ins Bro) trennen. Wenn er die gnadenlosen Einzelheiten lesen mag, ist Reto's Publikationsverzeichnis[1] ein gute Anlaufadresse. Oder vllt einfach Reto im Video zugucken[2]. [1] http://www.offenenetze.de/publikationsverzeichnis/ [2] http://mirror.fem-net.de/CCC/29C3/mp4-h264-HQ/29c3-5164-de-en-sharing_access_risiken_beim_betrieb_von_wlan_netzen_h264.mp4 Gru // Sven-Ola Am 01.02.2015 um 15:02 schrieb berlin.freifunk.net at nanooq.org: > Bump, > > wenn in eurem Kreis kein Freifunkrouter in einer Anwaltskanzlei aufgestellt ist, kennt ihr vielleicht eine Community, wo dies der Fall ist? > > > > Hallo *, > > in FF-SI (Siegen, Siegerland, NRW) gibt es einen Anwalt, der wrde gerne einen Freifunk-Router aufstellen, ist sich aber ob des Datenschutzes nicht sicher. Habt ihr in eurem Umkreis vielleicht einen Anwalt/Notar/Rechtswesen-Kollegen, der ihm durch persnlichen Kontakt die Sorge nehmen kann? > > Wre tfte, > > nanooq > -------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL:


Moin,

on 01/02/15 19:47, Bastian wrote:> Hallo Kai,> > evtl. bietet es sich an, fr den OpenVPN-Server noch eine policy-rule zu setzen um den BBB-VPN-Traffic speziell nicht durch VPN03 zu routen. Ich bin mir nmlich gerade nicht ganz sicher, wie das per default seinen Weg nimmt...

Du meinst den Traffic Knoten->BBB-VPN? Per normalem default GW:

root at WollinerStr28:~# grep remote /var/etc/openvpn-*.conf/var/etc/openvpn-bbbvpn.conf:remote bbb-vpn.berlin.freifunk.net 1194 udp/var/etc/openvpn-ffvpn.conf:remote vpn03.berlin.freifunk.net 1194 udp/var/etc/openvpn-ffvpn.conf:remote 78.41.116.65 1194 udptraceroute to vpn03.berlin.freifunk.net (77.87.48.10), 30 hops max, 38 byte packets 1 192.168.176.1 (192.168.176.1) 0.986 ms 0.741 ms 0.394 ms 2 217.0.119.68 (217.0.119.68) 16.964 ms 17.288 ms 24.667 ms11 freifunk-gw.in-berlin.de (217.197.91.139) 24.696 ms 24.609 ms 24.814 ms12 vpn03.berlin.freifunk.net (77.87.48.10) 24.894 ms 25.545 ms 24.285 msroot at WollinerStr28:~# traceroute bbb-vpn.berlin.freifunk.nettraceroute to bbb-vpn.berlin.freifunk.net (77.87.48.7), 30 hops max, 38 byte packets 1 192.168.176.1 (192.168.176.1) 0.707 ms 0.588 ms 0.852 ms 2 217.0.119.68 (217.0.119.68) 17.087 ms 16.949 ms 16.925 ms11 freifunk-gw.in-berlin.de (217.197.91.139) 27.529 ms 23.690 ms 24.366 ms12 bbb-vpn.berlin.freifunk.net (77.87.48.7) 24.154 ms * 123.290 ms

root at WollinerStr28:~# ip route show table olsr | grep -v bbvpn10.31.0.188 dev wlan0-adhoc-2 scope link10.230.9.96/27 dev br-dhcp scope link172.31.240.0/20 dev ffvpn scope link192.168.176.0/24 dev br-wan scope linkroot at WollinerStr28:~# ip route showdefault via 192.168.176.1 dev br-wan proto static10.230.9.96/27 dev br-dhcp proto kernel scope link src 10.230.9.9710.230.22.0/24 dev bbbvpn proto kernel scope link src 10.230.22.37172.31.240.0/20 dev ffvpn proto kernel scope link src 172.31.240.41192.168.176.0/24 dev br-wan proto kernel scope link src 192.168.176.159

Sofern ich die ip rules richtig verstehe, geht alles durch local, dann diedie olsr-Tabelle, dann die localnets-Tabelle, um dann ggf. default in mainzu matchen.

>> P.S.: Schick, auch der Weg raus tut ;)>> >> root at WollinerStr28:~# traceroute 10.255.1.1 traceroute to 10.255.1.1 (10.255.1.1), 30 hops max, 38 byte packets 1 10.230.22.1 (10.230.22.1) 24.265 ms 30.219 ms 23.743 ms 2 icvpn01.olsr (10.31.105.3) 24.438 ms 23.701 ms 25.429 ms 3 10.255.4.1 (10.255.4.1) 40.466 ms 39.823 ms 40.139 ms 4 10.255.1.1 (10.255.1.1) 75.547 ms 55.698 ms 57.248 ms> > Cool das du das gleich mal getestet hast! Das ICVPN kommt so langsam auch bei uns an. DNS der anderen Communities fehlt noch, aber dazu fehlt ein Konzept und Team...

Naja, bietet sich ja an (siehe .sig), und ist auch eine schne Mglichkeitfr mich, unser Netz aus der Sicht eines anderen Freifunknetzes zu sehen.

So ganz rund luft das aber noch nicht (ysabell, 10.255.2.198 z. zT.,ist ein Laptop im Gtersloher Netz); quasi-zeitgleiche Traces:

root at WollinerStr28:~# traceroute 10.255.2.198traceroute to 10.255.2.198 (10.255.2.198), 30 hops max, 38 byte packets 1 10.230.22.1 (10.230.22.1) 24.870 ms 23.417 ms 23.653 ms 2 icvpn01.olsr (10.31.105.3) 24.016 ms 25.046 ms 23.976 ms 3 * * icvpn01.olsr (10.31.105.3) 3029.004 ms !H 4 * 10.255.2.198 (10.255.2.198) 94.975 ms 96.391 ms

traceroute to 10.230.9.97 (10.230.9.97), 30 hops max, 60 byte packets 1 gw01.ffgt (10.255.1.1) 38.571 ms 39.055 ms 39.461 ms 2 10.255.4.1 (10.255.4.1) 58.461 ms 58.971 ms 59.318 ms 3 * * *[...]13 * * *14 10.230.9.97 (10.230.9.97) 135.271 ms 135.839 ms 136.215 ms

root at WollinerStr28:~# traceroute 10.255.2.198traceroute to 10.255.2.198 (10.255.2.198), 30 hops max, 38 byte packets 1 10.230.22.1 (10.230.22.1) 23.730 ms 23.691 ms 24.783 ms 2 icvpn01.olsr (10.31.105.3) 24.515 ms 26.772 ms 26.596 ms 3 10.255.4.1 (10.255.4.1) 40.670 ms 40.328 ms 39.436 ms 4 10.255.2.198 (10.255.2.198) 135.347 ms 133.428 ms 129.222 ms

wusel at ysabell:~$ traceroute 10.230.9.97traceroute to 10.230.9.97 (10.230.9.97), 30 hops max, 60 byte packets 1 gw01.ffgt (10.255.1.1) 51.779 ms 52.896 ms 52.868 ms 2 10.255.4.1 (10.255.4.1) 78.038 ms 82.220 ms 82.194 ms 3 10.207.0.5 (10.207.0.5) 91.884 ms 93.048 ms 93.665 ms 4 bbb-vpn.berlin.freifunk.net (77.87.48.56) 93.638 ms 94.331 ms 94.993 ms 5 10.230.9.97 (10.230.9.97) 124.496 ms 132.088 ms 135.432 ms

traceroute to 10.255.2.198 (10.255.2.198), 30 hops max, 38 byte packets 1 * * * 2 * * * 3 * * icvpn01.olsr (10.31.105.3) 3053.126 ms !H 4 icvpn01.olsr (10.31.105.3) 3032.906 ms !H 10.255.2.198 (10.255.2.198) 2925.190 ms 106.532 ms

wusel at ysabell:~$ traceroute 10.230.9.97traceroute to 10.230.9.97 (10.230.9.97), 30 hops max, 60 byte packets 1 gw01.ffgt (10.255.1.1) 36.796 ms 37.330 ms 38.423 ms 2 10.255.4.1 (10.255.4.1) 63.255 ms 64.644 ms 64.617 ms 3 10.207.0.5 (10.207.0.5) 108.921 ms 109.344 ms 109.318 ms 4 bbb-vpn.berlin.freifunk.net (77.87.48.56) 109.443 ms 109.484 ms 109.644 ms 5 bbb-vpn.berlin.freifunk.net (77.87.48.56) 751.241 ms !H * *

=> Sporadisch scheint mir der BBB-VPN-Tunnel wegzubrechen. Werd's die Woche malbeobachten.

Mit DNS fr andere Netze hadere ich auch noch, wobei es IIRC mittlerweileauf github ersten Anstze fr Automatismen gibt. Hndisch geht nicht, dazuist das viel zu dynamisch ...

Ciao,- -kai

- -- Freifunk-Initiative Gtersloh? Kai SieringSchalckstrae 10733332 Gtersloh

info at guetersloh.freifunk.netTel.: (05241) 96?46?269-----BEGIN PGP SIGNATURE-----Version: GnuPG v1

iQIcBAEBAgAGBQJUzpBbAAoJEKVy9ieIjYK+BNoP/3Zm9FHZXP6mPuGoa4YQ9u4vWHvz125DOyk91wHZgZ248fx3TU4TKqpAV7+Oq4Zv1r4m2IfMgwpZYqAiYI2omXFgVRKDQ1T7ZgIyPeeio/NwUW62xhPDAU66QQXanApiZ/PuMLLdlVeW43fmRTKb/ZGNLjTico+yc5lrHa0vyAhAEP/xIh8xm3m+vvfZchjaBdDMmzKqKGgAgnN1CdaB+Tfb4L+72mpiO7uFQDEAFrJ2oNcH7siwYWUEixGttNmww1jYlg2X9by5xMkUXb88/8q87qLxF2crj6clnyBEsC27TCCNxamoiNZ044+jM4b/k4KZlllh1a3riu99ZV3g80ycfzYLEGF0+zrn3lt6SJqySQimpMF3Hs/VE71E+B369gBrbp+fXBnk+fUK85kX+0BDINJegVC1JsoSQPl5+IoF+TXDU6f/AVvkrJ8u6BQciXT1DpxV4kl3IYhtft6opq8laFz5YYAxJcwcr03/soQXOYjVzYN25w7neZHwY0M2gYKxT8qJdrsthpRTzoAnQHHCM9n4NoC13rA0qPkEKB7z7gixVk7i8tEIUyaDgB34QlQbD15bh5TKXF62SlW1LyDDlN7puxPTTtQcbIoQ6DS1iWgUGtm23b9KtP4PdLu0WkyuI01yKPsAQUSKmQSyK+xP8FAQ/rc4RXARWWDQdoW/=DF5C-----END PGP SIGNATURE-----

Ich selbst will das VPN nicht benutzen, aber ich mchte nicht wissen mssen, was meine Gste, denen ich die Zugangsdaten zu meinem Privaten LAN gegeben habe mit dem Zugang anstellen. Ein Freund hat mal Probleme bekommen, weil ein technisch unbedarfter Freund aus versehen Torrents aus seinem Heimnetzwerk geseedet hatte, weil er nicht wusste, was er da tat, seitdem bin ich vorsichtig geworden. Ich Gsten natrlich auch einfach das unverschlsselte Netzwerk anbieten, aber gerade technisch unerfahrenen Menschen wrde ich wenigstens die zustzliche Sicherheit ber WPA verschaffen, ich traue nicht allen meiner Nachbarn.

ber verschiedene MAC-Adressen verschiedene default routen ber dhcp verteilen habe ich hinbekommen, aber an der Firewall wrde ich nicht so gerne herumspielen, bis es funktioniert, weil mir der berblick fehlt nicht vielleicht doch ungewollte Seiteneffekte ausgelst zu haben.

lg Philipp

P.S. Ich bin mir bewusst, dass ich damit keine Sicherheit gegen bswillige Angriffe erhalte, aber wer seine default route ndern kann, der seedet normalerweise auch keine Torrents, ohne es zu beabsichtigen und um mehr geht es mir nicht.

On Sunday, 01, February, 2015 21:34:50 Fabian S. wrote:> Hi Phillip,> > ich glaube du must noch etwas zu deinem Vorhaben und die Gruende> erlaeutern. So verstehe ich das erstmal so das du den Freifunk VPN als> Anomyzer Dienst nutzen moechtst um zB bei Videoportalen unerkannt zu> bleiben. Soweit ich das verstanden habe war das VPN nicht dafuer gedacht> oder ausgelegt. Mir fallen andere Lsungen dafuer ein aber wie gesagt> ein wenig Hintergrundinfo hilf bei derauswahl der richtigen.> > gruss fabian> > On 01/02/15 20:32, Philipp Steinpa wrote:> > Hi!> > Da ich von meinem Kurs in Netzwerksysteme noch eindrcklich in Erinnerung> > habe, dass man nicht an Firewalls rumspielt, wenn man nicht wirklich> > Ahnung hat, was man da tut, frage ich lieber mal hier: Ich mchte allen> > Traffic aus dem "WAN" meines Freifunkrouters (also dem Rest meines LANs)> > ber das Freifunk-VPN routen, wenn es ber die Freifunkrouter gerouted> > wird. Wie kann ich das anstellen?> > > > Danke fr die Hilfe und auch fr die tolle Infrastruktur, die ich mit> > benutzen darf.> > > > lg Philipp> > > > _______________________________________________> > Berlin mailing list> > Berlin at berlin.freifunk.net> > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin

Moin!

Wer mehrere unterschiedlich sensible Bereiche hat (z.B. ein FF- oderGastnetz plus internes Bro-LAN), der kann einfach 2-3 Plaste-Routernutzen:

* externer Provider-Router, der Internet anstpselbar hat/macht

in den werden gestpselt:

* FF- oder Gast-WLAN-Router* Bro-Router, hinter dem dann das Bro-LAN ist - ohne WLAN.

Damit erreicht ein Gast/FFer hchstens die Auenseite des Bro-Routersund tangiert damit nicht mal das Bro-LAN.

Das Ganze lsst sich reduzieren auf 2 Plaste-Router, wenn zumInternet-Zugang direkt der Gast/FF-WLAN-Router genutzt wird. Dannmuss der Internetzungangs-Port des Bro-Routers halt in die "LAN"-Ports des Gast-Routers gestpselt werden.

hnlich hier erklrt:http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html

Wenn man dann noch 2 unterschiedliche WLANs auf dem ueren Router hat(ein FF, ein "Bro" mit WPA2), dann knnen die Bro-Mitarbeiterunabhngig vom FF (und ggfs. priorisiert) ihre Phone/Tablets nutzen,sind mit diesen aber ebenfalls schn brav aus dem empfindlicheren LAN'rausgehalten.

Wer dann zurck ins Bro will, der muss dann halt eine VPN-Einwahlnutzen. Aber das will auch gekonnt sein - und dann sollte man eh' ber "richtige" Firewall- und DMZ-Konzepte nachdenken.

Bye

Volker

Am Sun, 1 Feb 2015 20:43:39 +0000schrieb "Christian Schaebsdat" :

> > Als Anwalt unterliegt man etwas andere Regeln, diese gibt es bei der> Rechtsanwaltskammer, z.B. muss beim einrichten von Wlans auch gewisse> Sicherheitsstandard eingehalten werden und ich rede nich von only> WPA2. Aber wenn es kein Zugang zu seinem Netz gibt, gibt es> eigentlich auch nichts zu befrchten.> > Chris> > > Original Message processed by David.InfoCenter > Subject: Re: [Berlin-wireless] Freifunk in einer Anwaltskanzlei> (01-Feb-2015 16:55) From: Sven-Ola Tuecke > To: berlin at berlin.freifunk.net> > > Hey, soweit ich wei, gelten fr Anwlte dieselben Regeln wie fr> alleanderen auch. Was fr einen Datenschutz meint er? Er darf nicht> in die Daten anderer Leute gucken. Und Datensammeln darf er auch> nicht. Oder meint er den Schutz seiner eigenen Daten? Immer schn den> Freifunk-Router (gehrt auf's Dach) vom Anwaltscomputer (gehrt ins> Bro) trennen. Wenn er die gnadenlosen Einzelheiten lesen mag, ist> Reto's Publikationsverzeichnis[1] ein gute Anlaufadresse. Oder vllt> einfach Reto im Video zugucken[2]. [1]> http://www.offenenetze.de/publikationsverzeichnis/ [2]> http://mirror.fem-net.de/CCC/29C3/mp4-h264-HQ/29c3-5164-de-en-sharing_access_risiken_beim_betrieb_von_wlan_netzen_h264.mp4> Gru // Sven-Ola Am 01.02.2015 um 15:02 schrieb> berlin.freifunk.net at nanooq.org: > Bump, > > wenn in eurem Kreis kein> Freifunkrouter in einer Anwaltskanzlei aufgestellt ist, kennt ihr> vielleicht eine Community, wo dies der Fall ist? > > > > Hallo *, > >> in FF-SI (Siegen, Siegerland, NRW) gibt es einen Anwalt, der wrde> gerne einen Freifunk-Router aufstellen, ist sich aber ob des> Datenschutzes nicht sicher. Habt ihr in eurem Umkreis vielleicht> einen Anwalt/Notar/Rechtswesen-Kollegen, der ihm durch persnlichen> Kontakt die Sorge nehmen kann? > > Wre tfte, > > nanooq >

--

Volker Tanger http://www.wyae.de/volker.tanger/--------------------------------------------------vtlists at wyae.de PGP Fingerprint5ED5 CE5E 1D3D 56F4 8990 70EA 3F04 530E 6D71 9D00

Hey,

fr Anwlte gibts Regeln betreffs Crypto von der Kammer? Jetzt wird's spannend. Was schreibt die Kammer denn so betreffs Mandantenkommunikation vor? PGP oder S-Mime? Und wenn: welche Schlssel-Plausichecks schreiben die so vor? Mit oder ohne NSA-Abwehr?

SCNR // Sven-Ola

Am 1. Februar 2015 23:30:58 MEZ, schrieb Volker Tanger :>Moin!>>Wer mehrere unterschiedlich sensible Bereiche hat (z.B. ein FF- oder>Gastnetz plus internes Bro-LAN), der kann einfach 2-3 Plaste-Router>nutzen:>>* externer Provider-Router, der Internet anstpselbar hat/macht>>in den werden gestpselt:>>* FF- oder Gast-WLAN-Router>* Bro-Router, hinter dem dann das Bro-LAN ist - ohne WLAN.>>Damit erreicht ein Gast/FFer hchstens die Auenseite des Bro-Routers>und tangiert damit nicht mal das Bro-LAN.>>>Das Ganze lsst sich reduzieren auf 2 Plaste-Router, wenn zum>Internet-Zugang direkt der Gast/FF-WLAN-Router genutzt wird. Dann>muss der Internetzungangs-Port des Bro-Routers halt in die "LAN"-Ports>>des Gast-Routers gestpselt werden.>>hnlich hier erklrt:>http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html>>Wenn man dann noch 2 unterschiedliche WLANs auf dem ueren Router hat>(ein FF, ein "Bro" mit WPA2), dann knnen die Bro-Mitarbeiter>unabhngig vom FF (und ggfs. priorisiert) ihre Phone/Tablets nutzen,>sind mit diesen aber ebenfalls schn brav aus dem empfindlicheren LAN>'rausgehalten. >>Wer dann zurck ins Bro will, der muss dann halt eine VPN-Einwahl>nutzen. Aber das will auch gekonnt sein - und dann sollte man eh' >ber "richtige" Firewall- und DMZ-Konzepte nachdenken.>>Bye>>Volker>>>>Am Sun, 1 Feb 2015 20:43:39 +0000>schrieb "Christian Schaebsdat" :>>> >> Als Anwalt unterliegt man etwas andere Regeln, diese gibt es bei der>> Rechtsanwaltskammer, z.B. muss beim einrichten von Wlans auch gewisse>> Sicherheitsstandard eingehalten werden und ich rede nich von only>> WPA2. Aber wenn es kein Zugang zu seinem Netz gibt, gibt es>> eigentlich auch nichts zu befrchten.>> >> Chris>> >> >> Original Message processed by David.InfoCenter >> Subject: Re: [Berlin-wireless] Freifunk in einer Anwaltskanzlei>> (01-Feb-2015 16:55) From: Sven-Ola Tuecke >> To: berlin at berlin.freifunk.net>> >> >> Hey, soweit ich wei, gelten fr Anwlte dieselben Regeln wie fr>> alleanderen auch. Was fr einen Datenschutz meint er? Er

lists.berlin.freifunk.net... 46.243 ms 51.873 ms 44.801 ms 4 sven-ola-wap.olsr (10.230.32.209)...

Documents

Transcript of lists.berlin.freifunk.net... 46.243 ms 51.873 ms 44.801 ms 4 sven-ola-wap.olsr (10.230.32.209)...