Entwurf Wiki-Artikel zu Firewall-Konfiguration

Hallo zusammen,
in unserem Wiki fehlt noch eine Seite mit Hinweisen zur Einrichtung einer bereits vorhandenen Firewall.
In den meisten Fällen wird ein Freifunk-Konten nur angeklemmt und funktioniert. Falls aber die Verbindung zum Internet zum Beispiel in einem Unternehmensnetzwerk durch eine Firewall blockiert wird, dann muss für den Router eine neue Ausnahme/Regel eingestellt werden.

Das hier habe ich vor kurzem per Mail geschrieben.

unter https://freifunk-muensterland.de/wiki/doku.php?id=technik:ip-aufteilung findest du eine Auflistung aller Domänen und deren Ports.
Ich selbst benutze auch oft eine Firewall vor dem Freifunk-Roúter, und habe alle in der Liste stehenden Ports freigegeben. Um auch in Zukunft nichts anpassen zu müssen habe ich den Bereich noch erweitert:

10050
14250
20000 - 20200

Die auf der Seite genannten Ports sind UDP ausgehend (von Freifunk-Knoten Richtung Internet).

Nicht zwingend erforderlich, aber besser für erhöhte Ausfallsicherheit sind noch DNS / Port 53 UDP+TCP (Namensauflösung) sowie NTP / Port 123 UDP (Zeitabgleich).

Wer Zeit uns Lust hat kann gerne alle Informationen aufbereiten und ins Wiki stellen. Oder hier posten damit es jemand anderes ins Wiki einstellt.

Danke

2 „Gefällt mir“

So weit ich mit bekommen habe ist die DNS Freigabe zwingend erforderlich.
Kann das jemand bestätigen oder dementieren?

in der Firmware steht beides drin…
hier mal am Beispiel von Dom06

'ipv4 "148.251.208.168" port 14250',
'ipv4 "remue-04.servers.freifunk-muensterland.de" port 14250',
'ipv6 "2a01:4f8:191:21e1::168" port 14250',
'ipv6 "remue-04.servers.freifunk-muensterland.de" port 14250',
1 „Gefällt mir“

Wenn das da so drin steht, und die Reihenfolge relevant ist, dann greifen vielleicht nur die ip-adressen. Nur so eine Vermutung.

…solange sie verfügbar ist. Wenn der Server kurzfristig umgezogen ist, die IP nicht mehr nutzbar ist, so können wir den DNS-Namen auf eine neue IP umleiten.

Ergänzung: Teredofilter in Fritzboxen abschalten. Es läuft zwar auch mit, aber ohne deutlich besser.

Wollen wir das jetzt pauschal auf allen Boxen deaktivieren? Ich halte das nicht für eine gute Idee. Das könnte sich zu einem Sicherheitsrisiko entwickeln. War auch schonmal in den Medien, weil die Xbox One Probleme damit hat.

Quelle:
http://www.golem.de/news/teredo-protokoll-xbox-one-braucht-riskante-routerfunktion-fuer-onlinespiele-1312-103211.html

Insbesondere in Netzwerken mit Windows-Clients ist es wichtig, darauf zuachten, dass Clients nicht von sich aus Tunnel aufbauen und auf diese Weise möglicherweise das Sicherheits-Gateway umgehen.

Ich glaub die Leute denken immer noch in NATs. Wenn das Endgerät in Freifunk ist, hat es auch eine öffentliche IPV6.

Und ich glaube auch nicht, dass die L2TP-Funktionalität des Linux-Kernels Standards verletzt. AVM hat da vermutlich einfach bei der Implementierung geschlampt. Bei mir kommen keine fragmentierten Pakete durch, wenn der an ist.

Man könnte es optional unter Fehlerbehebung auflisten. Aber so wie ich das hier sehe, schreibt eh niemand diesen Artikel. Ich war nur gestern drüber gestolpert.

1 „Gefällt mir“

Was an der Stelle gesagt werden sollte, nur bei AVM wird Teredo gefiltert, bisher gibt es keine anderen Router die das Problem haben.

Da sollte man sich die Frage stellen warum filtert die Fritzbox das Protokoll, und warum ist die Implementierung fehlerhaft, so das wenn man bei einer 7270 den Filter deaktiviert dies
keinerlei Auswirkungen hat, egal ob der Haken gesetzt ist oder nicht.

1 „Gefällt mir“

Hi,

das sollte man genauer sagen. Auch noch die „alten“ Router der Telekom (Speedport), die auf AVM Hardware basieren haben das Problem. z.B. Speedport W 501V hatte ich das selbe Fehlerbild.

Liste mit Modellen:

Sie setzen damit einen RFC Standard um. Es handelt sich dabei um RFC 6169. Genauer wird es im Punkt 3.1.3 beschrieben.

Dokument:

Wäre das nicht genau die Frage, die man Richtung AVM schicken könnte. Das wäre vielicht auch verständlicher zu erfragen. Geht diese Option, lieber Support AVM?

Moin,

wir haben hier genau so ein Szenario: Eine Versicherung hat eine Firewall und der FF-Router verbindet sich nicht. Wir würden also gerne dem Admin sagen, welche Ports er freigeben muss.

Laut dem Link zur IP-Aufteilung gilt für Domäne 39 der Port 20039.

Welche Empfehlung (Minimum & Optimum sollen wir dem Admin geben)?

UDP 20039 augehend reicht als Minimum?

Was ist mit TCP, UDP 53? UDP 123? Sind die notwendig oder optional?

Sollte man einen Bereich 20000 - 20200 vorschlagen, um auf zukünftige Änderungen am FF-Netz vorbereitet zu sein?

Ich schaffs gerade nicht, mir den letzen Stand der Empfehlung aus der Diskussion hier zusammenzureimen :disappointed:

Cheers,
Mike

soweit ich das gesehen habe ist 200xx in diesem Fall xx bisher immer die Domänen-Nummer
Ein wenig Spielraum macht natürlich sinn, zumal mir nichts einfällt was sonst auf Port 20000-20200 läuft.

Da das ganze aber nur outgoing freigegeben werden muss und nicht incoming ist das ganze ja noch ein wenig unkritischer, jagut Versicherungen und deren Sicherheit darf man da natürlich nicht außer Acht lassen.

Besser; man gibt einfach nur den einzelnen FF-Router-MAC für den Port-Range frei.

Gibt es da keine direkte Internetanbindung nach außen ohne deren WAN-Netz ggf. nutzen zu müssen?

So bleibt der Rest der Clients geschützt und unter Freifunk läuft kein Windoof, was Viren verbreiten könnte.

1 „Gefällt mir“

DNS und 200XX sollte vorerst reichen. Wichtig ist, dass sie auch etwaige Floddingfilter abschalten, die stören auch oft.

Grüße
Matthias

2 „Gefällt mir“