Commit aad3c7a8 authored by Simon Terzenbach's avatar Simon Terzenbach
Browse files

ad more information about the new Whitelist

parent d0cc505d
......@@ -7,20 +7,25 @@ Mit dem Mesh-VPN ist eine Verbindung zu unseren Gateway-Servern möglich ohne da
Als Software kommt dafür [FastD](https://projects.universe-factory.net/projects/fastd/wiki) zum Einsatz.
Auf das VPN wird direkt auf allen Gateway Servern betrieben. Dabei stellen diese jeweils 2 Prozesse zur verfügung, einen auschließlich für Verbindungen über IPv4 einen zweiten auschließlich für IPv6. Pro Prozess stehen 50 Slots für Verbindungen offen.
Auf das VPN wird direkt auf allen Gateway Servern betrieben. Dabei stellen diese jeweils 1 Prozess pro technischer Domain zur verfügung.
Als Methoden stehen "null+salsa2012+umac, null+salsa2012+gmac, salsa2012+umac, salsa2012+gmac" zur verfügung. In unserer Firmware ist "salsa2012+umac" standartmäißg ausgewählt.
Als Methoden stehen "salsa2012+umac, salsa2012+gmac" zur verfügung. In unserer Firmware ist "salsa2012+umac" standartmäißg ausgewählt.
**Blacklist & Keys**
**Whitelist & Keys**
Jede Mesh-VPN verbindung benörtigt einen eindeutigen Krytografischen Key.
Neue Keys werden von den VPN-Servern automatisch akzeptiert.
Neue Keys werden von den VPN-Servern müssen per Mail an uns gesendet werden und wernden manuell freigeschaltet.
Dafür gibt es mehrere Gründe:
Falls das Mesh-VPN missbraucht wird kann der Zugang zum Mesh-VPN gesperrt werden.
Vorher wird jedoch in jedem Fall die betroffene Person/ der betroffene Knoten Betreiber kontaktiert.
1. **Missbrauch des VPNs**
Unser VPN wurde zunehmend von Servern und schnellen Kabel-Anschlüssen aus verwendet, um sehr große Datenmengen herunterzuladen. Das ist in sofern Problematisch, da unsere Gateways nur mit jeweils 1Gbit/s ans Internet angebunden sind. Fangen einzelne an, diese Geschwindkeit bis aufs Maximum auszureitzen,so steht nicht mehr genug Bandbreite für alle zur Verfügung.
Außerdem wird meist keine Standard Freifunk Firmware verwendet, sondern lediglich ein Linux, welches unser Mesh-Protokoll spricht.
Hier fehlen essenzielle Filterregeln die im normalen Betrieb verhindern sollen, dass es zu Störungen im Netz kommt.
Sperrten wir den genutzen VPN-Key, so wurde kurzerhand ein neuer generiert.
Aus diesem Grund sehen wir uns gezwungen zu einer Whitelist statt einer Blacklist überzugehen.
Wir pflegen eine Liste der gesperrten Keys öffentlich in unserm GIT.
Falls versucht wird die Keysperre zu umgehen, werden wir einzelne IP-Adressen von unserem Mesh-VPN ausschließen.
2. **Kontaktmöglichkeit**
Uns als Admin Team fehlt leider oft die Möglichkeit, Kontenbetreiber direkt anzusprechen. Dies ist insbesondere Ärgerlich wenn wir Knoten z.B. aufgrund von Fehlkonfiguratonen sperren müssen.
Wir würden an der Stelle gerne den Betreiber darauf aufmerksam machen und gemeinsam das Problem beheben, anstatt einfach den Knoten zu sperren.
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment