[freifunk-public] l2tp und Verschlüsselung

Ralf Jung post at ralfj.de
Sat May 28 11:08:11 CEST 2016


Hallo allerseits,

Wir sind gerade mit l2tp am herumspielen. Das sieht bisher ziemlich gut
aus -- an einem WR841N-v10 hat sich die Latenz deutlich verbessert (ca.
auf die Hälfte, im Vergleich zu fastd). Der Durchsatz steigt auf ca.
20-30 MBit/s (via HTTP) oder 60 MBit/s (via Torrent) -- aber wir sind
hier auch in einem recht stark ausgelasteten Netz, was die Schwankungen
teilweise erklären könnte.  Außerdem ist Marvin noch am Optimieren. ;-)

Jedoch ist l2tp unverschlüsselt -- zumindest hat bisher noch niemand die
nötigen Scripte gebastelt, um es zu verschlüsseln.  Wenn wir also
weiterhin Verschlüsselung für den VPN-Link anbieten wollen, müssen wir
fastd weiterhin betreiben.  Die Pakete, die es für l2tp/fastd gibt, sind
nicht dafür ausgelegt, auf demselben Gerät zu Koexistieren.

Wir haben also im Wesentlichen die folgenden Optionen:
* fastd fliegt raus aus der Firmware. Dann haben wir quasi keine Arbeit
mehr auf der Knotenseite, weil es alles schon fertig gibt und das auch
von anderen Communities schon getestet wurde.  Man könnte dann
allerdings den VPN-Link vom Knoten zum Gateway nicht mehr verschlüsseln.
* Wir basteln irgendwas, damit fastd und l2tp beide auf demselben Gerät
laufen und man zwischen ihnen wechseln kann.  Damit bin ich so halb
fertig, aber das ist ein ziemliches Gefrickel.  Getestet wurde das
vorher nie, und zukünftige Änderungen an den VPN-Links würden erheblich
mehr Arbeit bedeuten, weil immer alles für fastd und l2tp gemacht werden
muss.

Andere Communities setzen üblicherweise voll auf l2tp.  Es ist ja
bislang ohnehin schon so, dass der WLAN-Link zwischen Clients und
Knoten, die WLAN-Mesh-Links zwischen den Knoten, sowie der Uplink von
unseren Gateways zum Freifunk Rheinland nicht verschlüsselt sind.  Die
Verschlüsselung des VPN-Links zwischen Knoten und Gateway hilft also
sehr wenig.

Wir würden gerne wissen, was ihr dazu denkt.  Seid ihr der Meinung,
optionale Verschlüsselung zwischen Knoten und GWs ist wichtig? Warum?
Würde jemand von euch diese Verschlüsselung aktivieren, obwohl die
Performance ohne Verschlüsselung deutlich besser ist? Schreibt uns!
Unter <https://dudel.ralfj.de/8GRhquwx/> könnt ihr uns auch schnell ein
"Ja/Nein" zukommen lassen, aber wir würden uns (insbesondere bei
Verschlüsselungsbefürwortern) auch für die Gründe hinter eurer
Entscheidung interessieren.

Viele Grüße,
Marvin, Tobi und Ralf


More information about the freifunk-public mailing list