[freifunk-public] l2tp und Verschlüsselung

[Jörg Peter Schley]

Hi. 

Ich bin für das bereits getestete l2tp-Setup ohne zusätzliche Transportverschlüsselung zwischen Node und GW-Server.


Gruß,

Peter 

Am 28. Mai 2016 11:08:11 MESZ, schrieb Ralf Jung <post at ralfj.de>:
>Hallo allerseits,
>
>Wir sind gerade mit l2tp am herumspielen. Das sieht bisher ziemlich gut
>aus -- an einem WR841N-v10 hat sich die Latenz deutlich verbessert (ca.
>auf die Hälfte, im Vergleich zu fastd). Der Durchsatz steigt auf ca.
>20-30 MBit/s (via HTTP) oder 60 MBit/s (via Torrent) -- aber wir sind
>hier auch in einem recht stark ausgelasteten Netz, was die Schwankungen
>teilweise erklären könnte.  Außerdem ist Marvin noch am Optimieren. ;-)
>
>Jedoch ist l2tp unverschlüsselt -- zumindest hat bisher noch niemand
>die
>nötigen Scripte gebastelt, um es zu verschlüsseln.  Wenn wir also
>weiterhin Verschlüsselung für den VPN-Link anbieten wollen, müssen wir
>fastd weiterhin betreiben.  Die Pakete, die es für l2tp/fastd gibt,
>sind
>nicht dafür ausgelegt, auf demselben Gerät zu Koexistieren.
>
>Wir haben also im Wesentlichen die folgenden Optionen:
>* fastd fliegt raus aus der Firmware. Dann haben wir quasi keine Arbeit
>mehr auf der Knotenseite, weil es alles schon fertig gibt und das auch
>von anderen Communities schon getestet wurde.  Man könnte dann
>allerdings den VPN-Link vom Knoten zum Gateway nicht mehr
>verschlüsseln.
>* Wir basteln irgendwas, damit fastd und l2tp beide auf demselben Gerät
>laufen und man zwischen ihnen wechseln kann.  Damit bin ich so halb
>fertig, aber das ist ein ziemliches Gefrickel.  Getestet wurde das
>vorher nie, und zukünftige Änderungen an den VPN-Links würden erheblich
>mehr Arbeit bedeuten, weil immer alles für fastd und l2tp gemacht
>werden
>muss.
>
>Andere Communities setzen üblicherweise voll auf l2tp.  Es ist ja
>bislang ohnehin schon so, dass der WLAN-Link zwischen Clients und
>Knoten, die WLAN-Mesh-Links zwischen den Knoten, sowie der Uplink von
>unseren Gateways zum Freifunk Rheinland nicht verschlüsselt sind.  Die
>Verschlüsselung des VPN-Links zwischen Knoten und Gateway hilft also
>sehr wenig.
>
>Wir würden gerne wissen, was ihr dazu denkt.  Seid ihr der Meinung,
>optionale Verschlüsselung zwischen Knoten und GWs ist wichtig? Warum?
>Würde jemand von euch diese Verschlüsselung aktivieren, obwohl die
>Performance ohne Verschlüsselung deutlich besser ist? Schreibt uns!
>Unter <https://dudel.ralfj.de/8GRhquwx/> könnt ihr uns auch schnell ein
>"Ja/Nein" zukommen lassen, aber wir würden uns (insbesondere bei
>Verschlüsselungsbefürwortern) auch für die Gründe hinter eurer
>Entscheidung interessieren.
>
>Viele Grüße,
>Marvin, Tobi und Ralf
>-- 
>freifunk-public at saar.freifunk.net - Diskussion und Hilfe der Freifunk
>Saar Community.
>Verwaltung: https://lists.hacksaar.de/listinfo/freifunk-public
>Abbestellen: freifunk-public-unsubscribe at saar.freifunk.net

-- 
Von unterwegs gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.hacksaar.de/pipermail/freifunk-public/attachments/20160528/13bbeb4b/attachment-0001.html>