[Freifunk-Bonn] Neuer Node f4ec38e97444

[Fabian Köster]

> Am 06.01.2013 um 18:05 schrieb bjiveT:
> > zu Punkt 2:
> > 
> > Das sehe ich auch als sehr problematisch an. Ich habe als
> > (DSL)-Router vor dem Freifunk-TP-Link einen alten Linksys WRT54GL
> > stehen (allerdings mit Stock-Firmware). Dieser bietet keine
> > Möglichkeit einen einzelnen Port (VLAN etc.) ) abzuschotten oder
> > mehrere Subnetze zu konfigurieren. Ich kann das noch einigermaßen
> > lösen (OpenWRT auf den Linksys flashen, dann sind VLAN's/iptables
> > möglich). Aber die wenigsten (DSL)-Router werden das können bzw.
> > irgendeine Möglichkeit bieten das zu ermöglichen. Gerade technisch
> > nicht so versierten Usern oder evtl. später Cafés/Restaurants kann
> > man nicht zumuten eine "DMZ" für den Freifunk-Router zu
> > konfigurieren/bereitzustellen. Das muss meiner Meinung nach auch
> > sicherheitstechnisch Plug&Play für diese User funktionieren. Gibts
> > einen temporären Workaround dafür (mit ebtables vielleicht) ?
> 
> Kurz Antwort: Das ist konzeptionell nicht möglich. Du darfst dem
> Freifunk-Router  nicht vertrauen. Selbst wenn Du volles Vertrauen in
> den Code und Deine Fähigkeiten zur Konfiguration hast, darfst Du es
> nicht, da er Netze mit vers. Vertrauensstellungen kombiniert (vgl.
> Konzeption von Sicherheitsgateways, BSI, Version 1.0)
> 
> Lange Diskussion: Bitte persönlich auf dem Treffen (bspw. am 10.1.)
> das ufert sonst leider aus.

Habe nun meinen alten Linksys WRT-54GL (mit OpenWRT) zwischen
Freifunk-Knoten und LAN gehängt und so konfiguriert, dass er nur den
Zugriff auf die VPN-Gateways erlaubt und sonst nichts.

Viele Grüße,
Fabian
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20130113/107c7498/attachment.sig>