Inhaltsverzeichnis

IPv6 ins Internet

Wir expermentieren derzeit mit IPv6 ins Internet. In Segment 25 gibt es ein Testsegment mit IPv6, in Segment 8 wird IPv6 seit dem 24. Juni 2021 produktiv betrieben.

Es gibt keine Firewall für Verbindungen aus dem Internet.

Es gibt mehrere Dienste im Zusammenhang mit IPv6:

IPv6 fastd

Ein Gateway kann fastd-Verbindungen per IPv6 entgegen nehmen. Das ist komplett unabhängig davon, ob es IPv6 im Freifunknetz hat oder nicht.

IPv6 Ausleitung

Das Gateway kann IPv6 ins Internet ausleiten. Wenn ein Gateway keine IPv6 Ausleitung hat, haben die Clients aber dennoch IPv6 über ein anderes Gateway. Die Adressen für die Ausleitung sind abhängig vom Gateway, damit der Traffic optimal geroutet wird und keine Umwege über andere Gateways nehmen muss.

IPv6 Dienstadressen

Dienstadressen sind IPv6-Adressen die unabhängig vom aktuellen Gateway sind. Das hat den Nachteil, dass das Routing unter Umständen nicht optimal ist und über andere Gateway führt. Dafür kann man mit dieser Adresse einen Client aus dem Freifunknetz oder aus dem Internet erreichen, ohne wissen zu müssen an welchem Gateway er hängt. Das Segment muss man allerdings wissen, das ändert sich in der Regel aber nicht sehr häufig.

Die Dienstadressen sind an allen Gateways verfügbar, auch wenn nur einige Gateways den Traffic ins Freifunknetz routen. Der Traffic nimmt dann entsprechend Umwege, kommt aber beim Client an.

Die Dienstadresse eines Clients oder Nodes kann man ermitteln, indem man irgendeine globale IPv6-Adresse nimmt und die ersten 56 Bit (7 Byte) durch eines der Netze aus der Tabelle unten ersetzt.

Die Dienstadressen werden grundsätzlich mit preferred_lifetime 0 per RA announced, damit sie nicht als ausgehende Adressen benutzt werden. Daher werden sie in der Karte und auf der Statusseite leider nicht angezeigt.

Gateways

Gateway IPv6 fastd IPv6 Ausleitung Inbound Routing IPv6 Dienstadressen
1n3 ja ja, ffrl Tunnel, 2a03:2260:3016:1300::/56 ja, 2a03:2260:3016:00::/56
4n3 ja ja, nativ, 2a01:4f8:172:fe00::/56 nein
5n3 ja ja, nativ, 2001:4ba0:92c1:800::/56 nein
7n1 nein nein nein
9n2 ja nein1) nein
9n3 ja ja, nativ, 2a01:1e8:c003:9300::/56 ja, 2a01:1e8:c003:00::/56

Ist das nicht total unsicher wenn Verbindungen aus dem Internet per IPv6 möglich sind?

Es gibt für IPv6 keine Firewall für Verbindungen aus dem Internet, das heißt alle Clients im Freifunknetz sind aus dem Internet erreichbar.

Natürlich ist es keine gute Idee, ungesicherte Dienste in nicht vertrauenswürdigen Netzwerken anzubieten. Daher klingt es zunächst nach einem Sicherheitsrisiko, dass wir Verbindungen aus dem Internet erlauben. Man muss im Hinterkopf behalten, dass sich im Gegensatz zum normalen Heimnetz jeder mit dem Freifunknetz verbinden kann. Bietet man einen ungesicherten Dienst im Freifunknetz an, kann dieser durch einen lokalen Angreifer am selben Freifunkrouter, über einen Angreifer an einem anderen Freifunkrouter oder gar aus dem ICVPN angegriffen werden.

Wir beobachten immer wieder Malware-verseuchte Geräte im Freifunknetz, die gezielt nach angreifbaren Systemen auch innerhalb des Freifunknetzes suchen. Auch von diesen Geräten können solche Dienste angegriffen werden. Eine Firewall für Verbindungen aus dem Internet würde also nur einen kleinen Teil der Angreifer abhalten.

Möglicherweise schafft eine Firewall auch ein falsches Gefühl von Sicherheit, da sie eine sichere Konfiguration des Endgerätes nicht ersetzen kann.

Eine Firewall würde aber auch eine Reihe von Anwendungsfällen erschweren, zum Beispiel:

Außerdem gibt es technische Gründe, die die Implementierung einer Firewall erschweren: Eine Firewall benötigt Zustand. Fließen Pakete zum Beispiel wegen eines Ausfalls über ein anderes Firewallsystem, muss dieses System den Zustand kennen. Es ist zwar technisch möglich, diesen Zustand zu replizieren, aber komplex. Zudem haben wir im Freifunknetz häufig asymmetrisches Routing, sodass Pakete verschiedene Hin- und Rückwege nehmen. Auch hier müssen alle beteiligten Firewall-Systeme den Zustand kennen.

Wir haben uns daher gegen eine Firewall entschieden, freuen uns aber auf Feedback zu dieser Entscheidung.

1)
zu wenig Adressen, keine Erweiterung möglich