[Wien] private IPs im Mesh (war: Re: Hag10 reaktiviert, verbindet nicht mit HH10)

Matthias Šubik (spam-protected)
Mi Jun 22 11:11:45 CEST 2016


> On 22.06.2016, at 10:56, Erich N. Pekarek <(spam-protected)> wrote:

...
>> aherkommen, 
> Im Gegenteil: Bitte unbedingt filtern!
> Dass "viele andere auch daherkommen", mag u.U. das Cert interessieren,
> aber sicher nicht den jeweiligen Nodebetreiber.

Wenn wir uns an das Pico-Peering-Agreement richten (was offen gesagt vage ist),
dann “nix filtern, was mich nicht stört”.

D.h. :
...
> Fiktive Geschichte 1:
> Anna nützt zwei verschiedene WLANs: eines mit interner IP-Range
> 192.168.1.0/24, die DHCP-Server ihres Provider-CPE stammt.

Annas/Clemens/xy Mesh Router muss einfach klipp und klar source-filtering machen.
Weil lokale IPs sollte kein Router rausleiten, bzw. keine Verbindung von außen für ein privates Netz nehmen. Weil normalerweise würde (TCP) ja alleine vom (D)NAT verhindert.
Ein ungewollter Handshake mit einem anderen privaten Netz sollte also auf beiden privaten Seiten verhindert werden.

> 
...
> Auch die vom Vergabeberechtigten nicht genehmigte Ankündigung anderer
> Ranges, wie sie hier zeitweise praktiziert wird sehe ich prinzipiell
> skeptisch, da für Außenstehende nicht differenzierbar quasi-lokal "in
> ein fremdes Routing" eingriffen wird.

Wenn wir ein “nicht vergabeberechtigte” Ankündigung haben, ok. Aber es steht jedem frei, seine (berechtigt) öffentliche Adresse aus gutem Grund im mesh anzukündigen. 
Das ist die Idee vom pico-peering … jeder macht mit, und jeder macht das, was er braucht, um erreichbar zu sein.
Eine Teststellung, eine Ersatzbrücke für einen toten Link, all das geht, wenn das mesh “frei” ist. 

Wir verhindern nur traffic, der nachweislich böse ist. Nix anderes sollte sein. 

Alles andere würde bedeuten wir machen es ordentlich, d.h. z.B. BOGON-Liste auf jedem Node up-to-date halten.

bG
Matthias






Mehr Informationen über die Mailingliste Wien