[Freifunk_info] PL-Haselbrunner*: Getunneltes Mesh-VPN ueber FreifunkVogtland-VPN-Server
Hallo,
Ich habe festgestellt, dass jemand (PL-Haselbrunner-West) versucht ueber das interne Netz eine Mesh-VPN Verbindung aufzubauen. Das heisst, dass er eine VPN-Verbindung innerhalb einer VPN-Verbindung aufgemacht hat. Dies fuehrte zu einiger Last auf dem VPN03-Server. Ich vermute, dass das Geraet mit der IPv6- Addresse 2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 (PL-Haselbrunner-West) an den LAN-Ports eines anderen Geraets angesteckt wurde.
root@PL-Haselbrunner-West:~# ip addr show dev br-wan: 8: br-wan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue link/ether c6:c3:45:71:9c:f8 brd ff:ff:ff:ff:ff:ff inet 10.204.23.80/16 brd 10.204.255.255 scope global br-wan valid_lft forever preferred_lft forever inet6 2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8/64 scope global dynamic valid_lft 86396sec preferred_lft 14396sec inet6 fe80::c4c3:45ff:fe71:9cf8/64 scope link valid_lft forever preferred_lft forever
Hier die Meldungen vom VPN03:
[ 8569.576236] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=163 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=44392 DPT=10003 LEN=123 MARK=0x1 [ 8569.608384] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=143 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=44392 DPT=10003 LEN=103 MARK=0x1 [ 8569.646633] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=163 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=44392 DPT=10003 LEN=123 MARK=0x1 [ 8569.655975] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=163 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=44392 DPT=10003 LEN=123 MARK=0x1 [ 8569.666611] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=163 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=44392 DPT=10003 LEN=123 MARK=0x1 [ 8573.502678] fastdinfastdIN=bat0 OUT= MAC=02:ba:7a:df:03:00:c6:c3:45:71:9c:f8:86:dd SRC=2a03:2260:200f:1337:c4c3:45ff:fe71:9cf8 DST=2a01:04f8:0121:22b3:0000:0000:0006:0001 LEN=195 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=38494 DPT=10003 LEN=155 MARK=0x1
Und hier ein paar Meldungen von VPN01:
[2923654.933795] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=143 TOS=0x00 PREC=0x00 TTL=63 ID=41710 PROTO=UDP SPT=42693 DPT=10003 LEN=123 MARK=0x1 [2923654.935774] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=143 TOS=0x00 PREC=0x00 TTL=63 ID=41711 PROTO=UDP SPT=42693 DPT=10003 LEN=123 MARK=0x1 [2923654.985729] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=99 TOS=0x00 PREC=0x00 TTL=63 ID=41712 PROTO=UDP SPT=42693 DPT=10003 LEN=79 MARK=0x1 [2923655.030131] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=523 TOS=0x00 PREC=0x00 TTL=63 ID=41715 PROTO=UDP SPT=42693 DPT=10003 LEN=503 MARK=0x1 [2923655.032159] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=143 TOS=0x00 PREC=0x00 TTL=63 ID=41716 PROTO=UDP SPT=42693 DPT=10003 LEN=123 MARK=0x1 [2923655.045907] fastdinfastdIN=bat0 OUT=bb-a-fra2-fra MAC=02:ba:7a:df:01:00:c6:c3:45:71:9c:f8:08:00 SRC=10.204.23.80 DST=46.4.245.141 LEN=135 TOS=0x00 PREC=0x00 TTL=63 ID=41717 PROTO=UDP SPT=42693 DPT=10003 LEN=115 MARK=0x1
Wem auch immer PL-Haselbrunner-West gehoert, bitte schalte darauf entweder Mesh-VPN aus oder verkabel des Geraet nicht ueber ein anderes FreifunkVogtland Geraet.
Ebenfalls gab es gestern Abend bzw. heute frueh jemanden der das FreifunkVogtland-Netz mit dem Freifunk Chemnitz zusammengeschaltet hat. Soetwas fuehrt zu extra Last in beiden Netzen und zu Routen, die dann nicht mehr von Clients genutzt werden koennen. Einige Clients hatten daher heute wohl Verbindungsprobleme.
Ich bitte hiermit nocheinmal darum soetwas zu unterlassen.
Gruesse, Sven
On Montag, 2. Oktober 2017 20:16:55 CEST Sven Eckelmann via Freifunk_info wrote: [...]
Wem auch immer PL-Haselbrunner-West gehoert, bitte schalte darauf entweder Mesh-VPN aus oder verkabel des Geraet nicht ueber ein anderes FreifunkVogtland Geraet.
Leider hat sich darum niemand gekummert. Daher wurde jetzt auf dem Geraet die VPN-Einwahl gesperrt.
Gruesse, Sven
-
Sven Eckelmann