LAN der Verheißung - The Promised Lan

 (tpl.house)
1 Punkte von GN⁺ 2025-07-25 | 1 Kommentare | Auf WhatsApp teilen
  • LAN der Verheißung ist ein geschlossenes 24/7-LAN-Party-Netzwerk im kleinen Kreis auf Basis persönlicher Bekanntschaften
  • Jedes LAN ist über ein Backbone-Netzwerk verbunden und strebt dabei ein Gleichgewicht zwischen Wartbarkeit und Sicherheit an
  • Eine eigene .tpl-TLD und mehrere DNS-Root-Server verbessern Netztrennung und Ausfallsicherheit
  • Ein x509-basiertes PKI-System systematisiert TLS- und Zertifikatsverwaltung
  • Eine auf DNS und SSH basierende vereinfachte Struktur zur Zertifikatsausstellung erhöht die Effizienz der internen Wartung

Einführung

  • LAN der Verheißung ist ein geschlossenes Mitgliedschaftsnetzwerk und seit 2021 ein dauerhafter LAN-Party-Raum
  • Die offiziellen Dokumente werden größtenteils im internen LAN aufbewahrt; diese Website bietet Interessierten und Bekannten eine Einführung in das Netzwerk

Manifest von LAN der Verheißung

  • Veröffentlicht ist ein Manifest, das den Hintergrund, die Ziele sowie den sozialen und technischen Ansatz beschreibt, die zum Start des LAN geführt haben
  • Das Manifest soll zum Aufbau ähnlich strukturierter LANs ermutigen; technische und soziale Aspekte sind dabei eng miteinander verknüpft

Struktur des Backbone-Netzwerks

  • Jedes Segment von LAN der Verheißung verbindet sich nicht direkt, sondern mit einem Backbone-Netzwerkknoten

    • Direkte Verbindungen zwischen LANs sind ineffizient, da sie die Verwaltungskomplexität durch IP-Änderungen, Schlüsselaustausch, Aushandlung von Verschlüsselung usw. erhöhen

  • Auf verschiedenen Betriebssystemen (Debian, OpenBSD) arbeitet die Struktur als IPSec-basiertes Peering mit strongSwan bzw. iked

  • Die gewählten Algorithmen suchen den optimalen Punkt zwischen Geschwindigkeit, Sicherheit und Kompatibilität

    • IKE-SA-Authentifizierung: HMAC SHA2 512
    • IKE-SA-Verschlüsselung: AES 256
    • IKE-SA-DH: Curve25519
    • Child-SA-Verschlüsselung: ChaCha20 Poly1305
    • Child-SA-DH: Curve25519

  • Im dediziert zugewiesenen /24-Bereich erhält jedes Backbone eine IP auf Basis der Node-ID

  • In jedem Backbone sind nur die Routen zu per IPSec verbundenen Knoten fest einkodiert

  • Das System arbeitet nach dem Konzept der Default Free Zone (DFZ); nach Aufbau der IP-Verbindung werden die Benutzer-LANs über das gesamte Backbone hinweg per BGP (mit bird oder bgpd) angekündigt

DNS-System

  • Es wird eine eigene TLD namens .tpl verwendet; beim Beitritt eines LAN wird automatisch eine Domain zugewiesen
  • Auch neue Domain-Anfragen sind möglich; die Root-DNS-Server (ns1.tpl, ns2.tpl, ns3.tpl) sind im Backbone von drei verschiedenen LANs installiert
  • Ziel ist die Aufrechterhaltung zentraler Dienste auch beim Ausfall eines einzelnen Knotens
  • Die autoritativen Nameserver verwenden nsd und synchronisieren ihre Konfigurationsdateien, indem sie regelmäßig ein zentrales Git-Repository abrufen
  • Jedes LAN betreibt seinen eigenen Nameserver unter der festen IP x.x.x.254, was automatische Konfiguration und Template-Nutzung erleichtert
  • Jedes LAN muss nicht zwingend die vollständige Root-Liste kennen
  • Die Backbones betreiben unter einer anycasteten IP (x.x.0.1) einen rekursiven Resolver (unbound) zur Verarbeitung von DNS-Anfragen

PKI-System

  • Obwohl das Netzwerk intern bereits ausreichend sicher ist, wurde für die Nutzung von TLS und die Kompatibilität mit bestehenden Tools ein PKI-System aufgebaut
  • Eine root x509 CA wird in einem Drei-Jahres-Zyklus betrieben
      1. Jahr: Verteilung/Aktualisierung der Root-CA
      1. Jahr: reguläre Zertifikatsausstellung
      1. Jahr: Ablauf- und Übergangsphase der Zertifikate
  • Die Root-CA verwendet ECDSA P-384, SHA384-Signaturen und beschränkt sich per X509v3 Name Constraints auf .tpl-Domains/E-Mails
  • Es wurde ein DNS-basierter Prozess zur Zertifikatsausstellung entworfen: Für jede Domain wird ein OpenSSH-Public-Key im _pki-TXT-Record hinterlegt
  • Zertifikate werden nach SSH-Authentifizierung und DNS-Prüfung ausgestellt und ohne externe Systeme wie ACME anhand interner Regeln und Automatisierung verarbeitet

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-25
Hacker-News-Kommentare

  • Es ist interessant, wie unterschiedlich die Bedeutung von „LAN Party“ je nach Person sein kann. Für mich bedeutet eine traditionelle LAN Party, dass alle ihren eigenen Computer mitbringen, vor Ort spielen und Dateien austauschen, während es bei mir eher so läuft, dass Freunde zu mir nach Hause kommen und einfach die Computer benutzen, die ich bereits eingerichtet habe. Weil niemand seinen Rechner selbst mitbringt, gibt es kaum Dateiaustausch oder Demo-Sharing; im Mittelpunkt steht die direkte soziale Interaktion. In letzter Zeit hat sich LAN zudem zu einer Struktur weiterentwickelt, die mehrere Häuser virtuell verbindet, was ich interessant finde, weil man von zu Hause aus ähnliche Aktivitäten wie bei früheren LAN Parties genießen kann. Es gibt auch eine Vorstellung meines Hauses unter lanparty.house. Ich frage mich, bei welcher dieser Definitionen ich wohl öfter zu hören bekäme, dass sie eher „falsch“ sei.

    • Dieses Setup ist extrem beeindruckend. Für die Zukunft würde mir so etwas wahrscheinlich auch besser gefallen, aber der Reiz früherer LAN Parties lag darin, dass alle ihre jeweils einzigartigen PCs mitbrachten, man sie sich gegenseitig ansah, einander half und dadurch gemeinsame Erinnerungen entstanden. Von RGB-LEDs bis zu Wasserkühlungen war jeder PC anders aufgebaut, und genau diese Vielfalt machte das Ganze zu einer magischen Erfahrung. Den schweren PC mühsam mitzuschleppen war zugleich ein Ausdruck von Hingabe und Zuneigung.

    • Um 1999 herum gab es eine exklusive Unreal-Tournament-Demo, die angeblich nur Leute mit einer 3dFX-Grafikkarte herunterladen und spielen konnten. Tatsächlich reichte es aber, im Spielverzeichnis einfach eine Textdatei namens „glide2.dll“ anzulegen, und schon lief sie im Software-Rendering-Modus. Damals gab es einen großen Schulungsraum mit vielen Computern; wir klebten schwarze Pappe an die Tür, damit es so aussah, als wäre der Raum leer, und trafen uns nach Feierabend oft mit gleichgesinnten Kollegen, um stundenlang die Demo-Map zu spielen. Später kamen noch Half-Life-Deathmatch und Counterstrike dazu, und obwohl wir keine dedizierten Grafikkarten hatten und in 320x200 mit Software-Rendering spielten, waren wir ziemlich glücklich. Das war wirklich eine schöne Zeit.

    • The Promised LAN ist streng genommen eher eine WAN-Party, aber ich denke, dass der Begriff „LAN Party“ auch virtuelle LANs einschließen kann. Tatsächlich finde ich, dass heute auch Situationen dem Geist einer LAN Party entsprechen, in denen Menschen im selben Raum dasselbe Online-Spiel gemeinsam auf Laptops, Tablets oder Smartphones spielen. Serien wie Diablo haben sich ebenfalls in Richtung Online entwickelt, und bei MMOs ist es genauso. Wenn man mit Mitbewohnern oder Freunden gemeinsam im selben Raum spielt, kann man das immer als die beste Form einer LAN Party bezeichnen.

    • Für mich ist ein wesentliches Element einer LAN Party, dass sich alle Spieler im selben physischen Raum befinden. Wenn ich online mit entfernten Freunden spiele, nenne ich das einfach einen „Gaming-Abend“.

    • Die Website lanparty.house hat wirklich Spaß gemacht zu lesen. Besonders eindrucksvoll war die Episode über den Umzug nach Austin, Texas: Seine Frau war zunächst dagegen, weil der Schulbezirk in Palo Alto landesweit auf Platz 12 lag, änderte ihre Meinung aber sofort, als sie erfuhr, dass Austin auf Platz 8 lag. Da spürt man diesen für chinesische Eltern typischen Bildungseifer – wirklich liebenswert.

  • Im Text gibt es einen Link zum Manifest/ausführlichen Erläuterungstext. Ich finde, das ist deutlich interessanter zu lesen als die Originalseite selbst.

    • Tatsächlich war das Manifest im zweiten Absatz verlinkt. Die Seite zusammen mit dem Manifest zu lesen, war eine ziemlich gute Erfahrung.

    • Dank des Links habe ich Dinge verstanden, die ich beim flüchtigen Lesen der Originalseite übersehen hatte. Der Inhalt ist an sich herzerwärmend und macht Lust, selbst etwas Ähnliches aufzubauen. Besonders die Idee, sich gegenseitig Nachrichten über einen Belegdrucker zu schicken, war wirklich genial.

    • Wow, persönlich war das mein Lieblingsteil.

  • Es wird die Verwendung der nicht standardisierten TLD „.tpl“ erwähnt. Ich halte das im Gegenteil nicht unbedingt für eine falsche Entscheidung. Das Internet wurde ursprünglich nicht für Zentralisierung entworfen, und ich denke, man sollte sich gegen zentrale Autoritäten wie das heutige ICANN wehren. Noch besser wäre es, wenn es statt des manuellen Austauschens von Host-Dateien eine Möglichkeit gäbe, mit der Einzelne ihre Identität direkt selbst kontrollieren können.

    • Das stimmt schon, aber ich frage mich, was dann die Reaktion wäre, falls ICANN .tpl als neue TLD festlegen und ein Unternehmen sie besitzen würde.

  • Das wirkt sehr ähnlich zu dn42. Siehe dn42-Homepage.

    • dn42 ist wirklich ein unterhaltsames Spielzeug; es fühlt sich fast wie direkt ans echte Internet angeschlossen an, und auch die internen Dienste werden immer mehr.

  • Ich bin neugierig, weil es zu wenig Erklärung dazu gibt, welche Spiele dort hauptsächlich gespielt werden. Die Idee ist interessant, aber die Informationen sind so knapp, dass es auch ein bisschen wie ein Baumhaus wirkt, in das nur Jungs dürfen.

    • Zu der Meinung, es wirke wie „ein Baumhaus, in das nur Jungs dürfen“: Ich finde, solche kleinen privaten Treffen dieser Art sind völlig zulässig und gesellschaftlich gesund. Wenn Menschen mit ähnlichen Vorlieben und Eigenschaften freiwillig Gemeinschaften bilden, ist das eher etwas Positives.

    • Es scheint auch kein Projekt zu sein, das von Anfang an dafür gemacht wurde, auf Hacker News und Ähnlichem vorgestellt zu werden; insofern ist es auch in Ordnung, wenn es nicht darauf angelegt ist, das Interesse Außenstehender zu wecken.

    • Bei TPL geht es eher um soziale Aktivitäten als ums Spielen. Es gibt IRC, und Leute betreiben dort ihre eigenen seltsamen Dienste. Wenn man teilnimmt, bekommt man ein LaTeX-basiertes Verbindungsinformationsdokument, in dem gut beschrieben ist, wie man sich verbindet, und das auch erklärt, wie man eine 1:1-Verbindung zu einer der zentralen Backbone-Personen aufbaut.

    • Es wirkt eher wie ein halbprivates Freund-zu-Freund-Netzwerk. Bei solchen Formen lässt sich eine gewisse Schlagseite in der Gruppenzusammensetzung vermutlich kaum vermeiden.

    • Wenn es so geschlossen ist und nicht einmal richtig offengelegt wird, was die eigentlichen Dienste sind, wirkt es auf mich eher wie etwas in Richtung Dateifreigabe als einfach nur Gaming. Ich frage mich, ob man für Spiele wirklich etwas so Komplexes bauen muss, wo Discord doch viel einfacher wäre.

  • Ich frage mich, warum IPSec statt Wireguard gewählt wurde. Ich persönlich empfinde die Einrichtung auch als umständlich und dachte daher, ob es vielleicht an Legacy-Themen liegt.

    • Ich vermute, dass vielleicht L2TP-IPSec verwendet wurde, um Layer-2-Transport zu ermöglichen. Um mit Wireguard dasselbe zu erreichen, wäre vermutlich zusätzliche Konfiguration wie GRE-Tunneling nötig.

    • Persönlich bevorzuge ich Wireguard-basierte Lösungen wie Tailscale oder Headscale. Damit lassen sich DNS und viele andere Details automatisch und unkompliziert verwalten.

    • Der größte Grund, warum ich IPSec nutze, ist, dass Mac, iPhone und mein Router es alle ohne zusätzliche Installation nativ unterstützen. So lässt sich das ohne zusätzliche Programme bequem aufbauen.

    • Im Allgemeinen ist das auch der Standard, wenn Unternehmen oder Satellitenbüros eingerichtet werden. Viele Menschen sind an IPSec-Konfigurationen gewöhnt und empfinden das deshalb nicht als besonders schwierig.

  • Was ich daran mag, ist, dass es ein Netzwerk ohne Algorithmen und Feeds ist, in dem Menschen mit ähnlichem Geschmack tatsächlich etwas Interessantes zusammen machen können. Ich halte das für ein gutes Beispiel dafür, wie sich Probleme des heutigen Internets lösen lassen, und sehe darin auch eine Rückkehr zu den Anfängen, als alle mit ihren Freunden direkt eigene Netzwerke bauten.

  • Es gibt auch Beispiele für echte P2P-LANs, die über Amateurfunk betrieben werden, konkret über Mikrowellen-Funkstrecken. Siehe hamwan.org. Leute, die ich kannte, hatten so etwas in Culver City/West LA aufgebaut; es war langsam, aber man konnte damit unabhängig E-Mails verschicken und Fotos übertragen.

    • Zur Info: Im Amateurfunk ist Verschlüsselung illegal. Auch wenn man standardisierte Protokolle durchtunnelt und dabei verschlüsselt, gilt das als illegal. Im allgemeinen Bereich (ISM-Band) ist Verschlüsselung dagegen kein Problem – darunter fällt auch WLAN.

  • Ich mag diese Netzwerkidee sehr. Sie steht auch auf meiner Liste der Dinge, die ich „irgendwann unbedingt mal machen“ will, aber diese Liste wird nur immer länger, deshalb bin ich neidisch. Ich vermisse die kleinen Communities des alten Internets und glaube, dass in vertrauensbasierten, begrenzten Räumen großes Potenzial entstehen kann.