Keyserver das Ausliefern von vxlan-peers beibringen #295
Labels
No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
No Milestone
No Assignees
5 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: freifunk-franken/firmware#295
Loading…
Reference in New Issue
No description provided.
Delete Branch "%!s(<nil>)"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Die nodes können schon seit längerem vxlan. Damit es auch genutzt werden kann, müsste der Keyserver auch die info ausliefern können.
Sieht dann im Hoodfile so aus:
"vpn": [ { "name": "vxlan-gateway", "protocol": "vxlan", "address": "gateway.fff.community" },
Hierfür sind keine Änderungen an der Firmware nötig, richtig?
Der KeyXchange in seiner aktuellen Form wird (wurde) hier entwickelt: https://github.com/FreifunkFranken/VPNkeyXchange
Da wir aktuell keinen guten Weg haben dieses Issue anderweitig zu tracken lasse ich hier für den Moment mal offen.
Muss die Zeile genau so drinnen stehen oder sollen die Daten ersetzt werden?
das wäre ein weiterer "vpn" Block, falls eine Gateway vxlan anbietet.
Ein vollständiges hoodfile könnte dann so aussehen:
http://rl-fff1.fff.community/v2/index.php?hoodid=7
Das habe ich soweit verstanden. Ich meinte eher ob "name" und "address" ersetzt werden müssen oder ob der Block so für alle Hoodfiles gleich wäre.
Das ist die Adresse des jeweiligen Gateways. "name" wäre schön, ist aber nicht wichtig.
"protocol" muss "vxlan" sein.
Ich möchte an dieser Stelle "lemmis" VPNkeyXchange in den Ring werfen:
https://git.freifunk-franken.de/freifunk-franken/VPNkeyXchange
Das, zusammen mit den Hooddaten hier im Git, wäre eine einfache Lösung.
Die Hooddaten sind statisch und ändern sich nur, wenn wenn sich Hoods ändern. Was kaum noch vorkommt und gut im Git abgebildet werden kann.
Keys werden schon seit 10 Jahren nicht mehr ausgetauscht, wofür der KeyXchange ursprünglich zuständig war.
Probeweise läuft das Ding hier schon seit Jahren: http://rl-fff1.fff.community/v2/
https://git.freifunk-franken.de/freifunk-franken/VPNkeyXchange war als Demo gedacht, zu zeigen, dass der ganze Keyserver eigentlich überhaupt nicht mehr nötig ist und die ganze Berechnung auch mit den Boardmitteln (
bash
+awk
) unserer Firmware direkt funktioniert.Für eine Onlineversion würde ich aber dann doch noch einmal eine separate Implementation in einer ernstzunehmenden Programmiersprache empfehlen. Die Arbeit sollte sich in Grenzen halten und man umgeht damit einiges an potentiellen Sicherheitsprobleme.
Worin genau besteht denn der spezifische Änderungsbedarf beim jetzigen KeyXchange bzgl. vxlan?
Man bräuchte bei den Gateways eine checkbox ob vxlan in der hood angeboten wird oder nicht.
Falls ja, wird ein weiterer vpn-Block (s. oben) ausgeliefert.
Das ist schon alles.
Wichtig sind die beiden Zeilen "protocol" und "address", "name" wird nicht benötigt bzw. ausgewertet.
"protocol" muss "vxlan" sein und "address" ist der FQDN vom Gateway oder die ipv6. Der FQDN ist vorzuziehen, da auch die Möglichkeit besteht, daß ipv4 funktioniert. Ist allerdings noch nicht implementiert.
Ich würde das gerne selbst machen, aber ich kann das nicht.
Wer wäre denn bereit, die Änderungen zu machen?
Ich hab da mal was zusammenge-nicht-pfuscht: https://git.freifunk-franken.de/fbl/keyserver
Naja. Sagen wir ich hab mir zumindest ein bisschen Mühe gegeben dass es nicht totaler Mist ist.
@jkimmel
Dort könnte man das trivial eintragen, und das ganze performt auch einigermaßen.