[Wien] Master-Client, Alternative links -
Matthias Šubik
(spam-protected)
Sa Apr 23 23:14:47 CEST 2016
Hallo,
> On 22.04.2016, at 19:04, Mike B. Kerber <(spam-protected)> wrote:
>
> On 2016-04-22 18:06, Matthias Šubik wrote:
>>
...
>> Das ist ja machbar, aber warum glaubst Du dass dann dort kein olsrd läuft?
>> Im Standardfall läuft der ja auf allen Interfaces, d.h. wenn ein AP eine zweite SSID ausstrahlt, kann da problemlos auch olsrd laufen.
> Ja aber dann brauchen alle diese interfaces eine ip, bei ipv4 ist das
> ein bissi verschwenderisch wenn das nach bedarf geht.
> Ipv6 olsr kann man aber anmachen gibts ja mehr IPs ;)
Nimmst Du halt eine private v4 wenn es absolut anders nicht geht, weil die IP hat ja keine weitere Rolle, außer in dem Node das Interface zu identifizieren. 10.$RANDOM%256.$RANDOM%256.$RANDOM%256. Wenn man mutig ist, könnte man sogar testen, ob sich hier noch “kreativere” Konstruktionen ausgehen, 127.usw., 0.usw., 255.usw.
>>
>>
...
>> Wenn Du zeit hättest, und Multi-SSID testen könntest, wäre super. Ich probier auch mal Multi-SSID+WPA2Enterprise/Free nebeneinander.
> Auf meinen Knoten läuft eben ein AP parallel zum client. Um ips zu
> sparen haben ich versucht die interfaces zu bridgen, das geht in openwrt
> mal nicht direkt, mit relayd wird der Knoten im olsr umgangen aber es geht.
> Schöner wäre es pro Gerät eine IP zu haben und die interfaces zusammen
> zu bringen. Es gibt dazu mails im Archiv mit Erich (Siehe Next gen. node).
Ja, da hatten wir immer mal wieder Diskussionen dazu, meine mit Markus Kittenberger ist irgendwann von 2012. Fakt aber ist, dass wir bei Funkfeuer eigentlich RFC1918 nicht filtern, und auch sonst kaum BOGUS außerhalb vom Border filtern. D.h. es gibt mannigfaltige Möglichkeiten, die Interfaces im mesh eindeutig zu benennen. Wie eindeutig die dann überhaupt sein müssen ist auch die Frage, sonst sind sie halt doppelte mit n-Hops, die werden sowieso ausgefiltert (die fünf doppelten für 192.168.1.1 die man dann so hat ;) ).
>
> Bei einem grösseren Knoten mit einem backbine router könnte man die
> Interfaces jedes geräts auf den backbone router durch bridgen und nur
> dort läuft dann mit einer OLSRD originator IP ein olsr. die einzelnen
> geräte müssten dann halt über portforwards oder sowas angesprochen
> werden (zb zum remote configgern). Daraus könnte man sogar einen kleinen
> sicherheitgewinn erzielen ;)
Der Gewinn ist nur akademisch, weil ein negativ eingestellter Gegenüber Deinen Traffic in einem Mesh immer leicht ansaugen kann, oder dir wirkliche bogus-Routen schicken kann.
Das ganze Authentication for Authorization Thema, mit fingerprints/ssl usw., das wäre ein ganz seperate Baustelle.
bG
Matthias
ps: man kann also problemlos private IPs bei uns im Mesh ankündigen (passiert gewollt oder nicht regelmäßig bis dauernd), nur in externen traceroutes sieht man die dann nicht, und das Internet sehen Knoten auch nicht, wenn so ein Interface als Ausgangs-IP gewählt wird, da muss man dann mit ip rule nacharbeiten.
Mehr Informationen über die Mailingliste Wien