[lug-ld] S) Bericht und Kurzvorträge-Wunschzettel

Jean-Jacques Sarton jj.sarton at t-online.de
Mo Jan 20 22:05:42 CET 2020


Hallo,

mein Vortrag sollte nicht tiefer in der Welt der Netzwerktechnck
gehen, Zerotier bedarf eigentlich keine Kenntnisse über die
Kleinigkeiten wie Routing, Schlüssel usw. Das einzuges was mann
wissen muss ist, dass ein IP Adressenbereich reserviert werden soll.
Alles wird automatisch eingerichtet.

LG,

Jean-Jacques

Am 20.01.20 um 21:04 schrieb Christian Boltz:
> Hallo Heinz, hallo zusammen,
> 
> erstmal danke für die Zusammenfassung und das Auflisten der offenen
> Fragen.
> 
> Ich weiß, dass Du die Fragen lieber mündlich behandelt haben willst,
> daher halte ich mich mal großteils zurück. Einzige Ausnahme ist die
> Frage nach der Schlüsselvergabe bei VPN - das sehe ich eher als Nachtrag
> zum letzten Treffen.
> 
> Am Sonntag, 19. Januar 2020, 11:15:53 CET schrieb Pahle Heinz:
>> Diese Mail ist u.a. ein SCHRIFTLICH gefasster Wunschzettel, für
>> mögliche MÜNDLICHE Kurzvorträge bei unseren Treffen, um Wissenslücken
>> zu schließen. Nachfragen können, das geht mündlich bestens.
>>
>> Das Treffen 15.1. bei LUG war Ok, auch wenn der liebe H. B. ...
>> Zum Glück reichten die Plätze wie abgezählt aus. Zum Vortrag VPN: Jean
>> Jacques hat mit Wissen geglänzt und gezeigt was möglich ist. Die vom
>> Thema Angehauchten konnten dann noch ein letztes Wissensquäntchen
>> herauskitzeln. Weil der Vortrag nicht als „Einführung in VPN“
>> deklariert war, darf ich nicht meckern, weil ich nur wenig verstanden
>> habe. Es hat sich aber in der Runde gezeigt, dass nicht nur bei mir
>> einiges an Grundlagenwissen fehlte.
> 
> Hakon hat schon eine Liste für eine Vortragsserie "Netzwerk" angefangen
> (beginnend mit Layer 1 - Netzwerkkabel selbst crimpen - das wird für
> mich definitiv Neuland ;-)
> 
> Ob Deine Fragen/Themen schon alle auf der Liste stehen oder nicht, darf
> Hakon nachsehen - der hat den Zettel mitgenommen.
> 
>> Es wäre daher zum Einstellen
>> darauf schön, beabsichtigte Vorträge im Voraus zu deklarieren mit
>>
>> WORKSHOP über … EINFÜHRUNG in … ÜBERBLICK über ...
>>
>> SCHLÜSSELVERGABE bei VPN
>> Davon war übrigens bei dem Kleinkreis der Wissenden in keinem Satz in
>> Vortrag/Diskussion die Rede. Aber, ist das nicht mit entscheidend,
>> betreffend „privat“ in VPN? Kurzvortrag wäre bestens.
> 
> Das ist eine Besonderheit bei ZeroTier - da läuft das (nach meinem
> Verständnis) alles automatisch im Hintergrund, und Du hast keine Arbeit
> damit.
> 
> Die Doku unterscheidet zwischen "Zertifikat" (certificate) und
> "Schlüssel" (key). Von https://www.zerotier.com/
> 
>      All traffic is automatically end-to-end encrypted using keys only
>      you control.
>      Access to virtual networks is controlled by certificates.
> 
> Das Zertifikat wird wohl zentral vom "Network Controller" (in der Regel
> wohl der zentrale zerotier.com-Server) erstellt und verteilt (siehe dazu
> auch https://www.zerotier.com/manual/#2_2_1 - "Network controllers serve
> as certificate authorities for ZeroTier virtual networks")
> 
> Wie das mit den Keys läuft, ist mir trotz lesen der Doku (Abschnitt
> 2.1.2 und 2.1.3 im obigen Link) noch nicht ganz klar. Es wird wohl beim
> ersten Start von ZeroTier ein idendity.public und idendity.private
> erstellt, was halbwegs vergleichbar mit SSH-Keys sein dürfte.
> 
> Die interessante Frage ist, wie sichergestellt wird, dass man auch mit
> dem richtigen Rechner redet - die zentral (von einem per Definition
> "nicht vertrauenswürdigen" Server) erstellten Zertifikate würde ich
> schonmal nicht als Basis nehmen wollen (ja, ich bin bei so Sachen
> paranoid ;-) und idendity.* hilft auch nur, wenn man schon Kontakt mit
> der Gegenstelle hatte und sich den public key des Gegenübers gemerkt hat
> (bei SSH "known_hosts").
> 
> 
> Da "faul" und "sicher" eher selten zusammenpassen, sind die Automatismen
> beim Key- und Zertifikatshandling auch gleichzeitig ein (IMHO: der
> größte) Nachteil - Du weißt nie, ob noch jemand ein Zertifikat hat, weil
> der Network Controller die Zertifikate erstellt und nicht Du selbst.
> (Trotzdem: sicherer als die Daten im Klartext übers Internet zu
> schicken, ist es - schlimmer als "jeder kann mitlesen" kann es nicht
> werden, höchstens besser ;-)
> 
> Bei z. B. openVPN erstellst Du alle Schlüssel selbst. Die Details dazu
> können wir gern irgendwann[tm] in einem openVPN-Vortrag durchgehen (und
> dabei auch das Thema TUNNEL besprechen), allerdings eher gegen Ende der
> Netzwerk-Serie ;-)
> 
> Alles, was ich über ZeroTier geschrieben habe, basiert auf dem Vortrag
> und stichpunktartigen Lesen der Doku, selbst benutzt habe ich es nie.
> Daher: Jean-Jacques, falls ich mit irgendwas falsch liege, korrigiere
> mich bitte ;-)
> 
>> TUNNEL wurde mehrfach genannt
>> Was tunneln ist kann ich mir nur denken. Das müsste über Kenntnisse
>> ISO-Referenzmodell erklärbar sein. Kurzvortrag wäre bestens.
> 
> Alternativ (vielleicht sogar verständlicher) könnte man das auch mit
> Papier und Briefumschlägen erklären ;-)  und bei der Gelegenheit auch
> gleich die Frage klären, welche IP-Adressen/-bereiche jeweils im Einsatz
> sind. Dazu gab es ja auch etwas Gesprächsbedarf ;-)
> 
> [...]
>> ÖFFENTLICHES NETZ war mehrfach dran
>> Das mit "öffentlich" muss für Dummies (zähle mich dazu) erklärt
>> werden. Denn: Es ist ein großer Unterschied, ob das Netz für die
>> Öffentlichkeit ist, oder, ob es öffentlich zugänglich ist. Letzteres
>> wäre wie ein öffentliches Telefonbuch, bei dem jeder
>> nachgucken/wählen kann. Und wäre es so, was es bestimmt nicht ist,
>> dann bräuchte man keinen Dyn-DNS-Dienst. Übertrieben geschrieben ist
>> es doch so, dass dieses sogenannte „öffentlich“ Netz, eine für die
>> Öffentlichkeit quasi geheime, nur für einen Provider-Klienten
>> bestimmte und sichtbare (dazu noch dynamische) IP bereithält.
>> Ein paar "Nebenbeisätze" beim Treffen wären hilfreich.
> 
> Dazu hätte ich sogar ein paar Hauptsätze auf Lager ;-)  - stell diesen
> Absatz doch beim nächsten Treffen zur Diskussion.
> 
> Die extrem verkürzte Definition wäre "öffentliches Netz = Internet".
> Das ist nicht völlig falsch, aber je nach Umfeld zu sehr verkürzt.
> 
> Nebenbei: auch ohne Telefonbuch kannst Du eine "zufällige" Nummer ins
> Telefon tippen und abwarten, ob jemand drangeht ;-)
> Sprich: Ohne (Dyn-)DNS-Eintrag ist eine IP zwar nicht gezielt
> auffindbar, aber trotzdem öffentlich.
> 
> [...]
>> Da die LUGer eine nette (Wissens-)Gemeinschaft bilden, glaube ich
>> definitiv, dass wir zukünftig alles hinkriegen (Achtung Nichtpfälzer!
>> „Alles hinkriegen“ ist im falschen Tonfall toxisch).
> 
> Diese Warnung... *lol*
> 
> 
> Gruß
> 
> Christian Boltz
>