<div dir="ltr"><div class="gmail_default" style="font-size:small">For what it is worth, I did a couple Wireshark captures of Winlink Express connecting to the CMS. The first capture I ran with no changes, and it used port 8773. The trace shows a TLS negotiation, and then TLS packets for the duration of the session, all unreadable. For the second trace, I had the firewall block port 8773 outbound. That trace shows the connection being established on port 8772, and is in plain text. I don't know telnet well enough to know if that is the protocol, but it is easy enough to read the data as the same stuff on the Winlink session monitor.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I do think the idea of installing an instance of RMS Relay on HamWAN at a reliable location is a good near term solution that should require anything fancy.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">-Scott, NS7C</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 16, 2021 at 12:15 PM Stephen Kangas <<a href="mailto:stephen@kangas.com">stephen@kangas.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US" style="overflow-wrap: break-word;"><div class="gmail-m_3277091316911464090WordSection1"><p class="MsoNormal">Scott, thanks, I find that info helpful to better understanding the Winlink stance.  Hmmm…too bad that Winlink.org is pushing SSL and phasing out “true” telnet at some point.  Makes me wonder if there are aware of the growing use of HamWAN for Winlink client connections, and if so they are purposely discounting/ignoring it.  We need an allowed/supported solution for that to keep our self-policing ham operations low risk of FCC crack-downs or harassment from the replacement OOs (forget what they are now called).<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I’m optimistic there’s a doable inexpensive solution, however temporary or long term, and I’m impressed with the postings I’m seeing on this here on this forum.  We’ve got the hams with needed skills & knowledge to come up with that.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Stephen W9SK<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in"><p class="MsoNormal"><b>From:</b> PSDR <<a href="mailto:psdr-bounces@hamwan.org" target="_blank">psdr-bounces@hamwan.org</a>> <b>On Behalf Of </b>Scott Currie<br><b>Sent:</b> Tuesday, March 16, 2021 7:58 AM<br><b>To:</b> Puget Sound Data Ring <<a href="mailto:psdr@hamwan.org" target="_blank">psdr@hamwan.org</a>><br><b>Subject:</b> Re: [HamWAN PSDR] Newbie<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal"><span style="font-size:12pt">Here is my, probably incomplete, understanding of things. Originally, connections to the CMS from either clients (Winlink Express) or gateways (RMS Packet, RMS Trimode) were on port 8772 using telnet. About a year ago they introduced port 8773 which uses SSL. For the WDT products, this is now the preferred port and is tried first. If the connection fails, they will try port 8772, and today this will still work. At some point port 8772 will be turned off. Non-WDT clients and servers (BPQ, Pat, Outpost) can still use port 8772 today, but will need to switch to port 8773 eventually. I do not know what the traffic looks like on port 8773. They say it is still telnet, so I don't know if they are using SSL for authentication, and then switching to plain text, or if they are establishing an encrypted tunnel and then sending telnet through the tunnel. I'll have to trace it and see what is going on.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt">Client and gateway connections to RMS Relay go over port 8772 using telnet, and this will not change. P2P telnet connections will continue to be unencrypted (the port default is 8772 but can be changed). RMS Relay connections to the CMS will be over port 8773 SSL.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt">I'm not smart enough to interpret FCC rules to know if encrypted authentication is OK, as long as the actual traffic is plain text.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt">-Scott, NS7C<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Tue, Mar 16, 2021 at 6:32 AM Steve - WA7PTM <<a href="mailto:psdr-list@aberle.net" target="_blank">psdr-list@aberle.net</a>> wrote:<u></u><u></u></p></div><blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal">If we separate Winlink (the system) from Winlink Express (the client <br>program), is a SSL connection also the case with the other six clients <br>listed on the <a href="https://winlink.org/ClientSoftware" target="_blank">https://winlink.org/ClientSoftware</a> page when used in <br>telnet mode?<br><br>Steve<br><br><br>Scott Currie wrote on 3/15/21 10:06 PM:<br>> Yeah, I discussed this with the WDT, and the issue with using HamWAN or<br>> ARDEN. I had asked if we could force a non-SSL connection to the CMS. They<br>> have been under pressure from AWS to switch to all SSL connections, so they<br>> had to make the change. They did commit to leaving the client or gateway<br>> connection to RMS Relay as non-SSL, so that is why we have suggested having<br>> a regional instance of RMS Relay on HamWAN that the RMS Gateways and<br>> clients could point to. Backend of the RMS Relay would then connect to the<br>> CMS over SSL on a hardened Internet connection (like at a county EOC or the<br>> State EOC), or even HF forwarding if the Internet is down.<br>> <br>> -Scott<br>> <br>> On Mon, Mar 15, 2021 at 9:41 PM Stephen Kangas <<a href="mailto:stephen@kangas.com" target="_blank">stephen@kangas.com</a>> wrote:<br>> <br>>> Scott, thanks for that update, interesting.  “Telnet” is a misnomer in<br>>> this WinLink instance, as that port 22 protocol is historically and<br>>> normally unencrypted, and widely understood in the industry as such<br>>> (whereas SSH is encrypted).   It looks like the email client is connecting<br>>> locally to an RMS Relay in that mode, which then connects to the CMS on the<br>>> internet.<br>>><br>>><br>>><br>>> --Stephen W9SK<br>>><br>>><br>>><br>>> *From:* PSDR <<a href="mailto:psdr-bounces@hamwan.org" target="_blank">psdr-bounces@hamwan.org</a>> *On Behalf Of *Scott Currie<br>>> *Sent:* Monday, March 15, 2021 5:56 PM<br>>> *To:* Puget Sound Data Ring <<a href="mailto:psdr@hamwan.org" target="_blank">psdr@hamwan.org</a>><br>>> *Subject:* Re: [HamWAN PSDR] Newbie<br>>><br>>><br>>><br>>> This is not entirely true. Winlink does use TLS/SSL connections for some<br>>> things. The normal telnet connection is now SSL (will fallback to non-SSL<br>>> if the connection fails). Also, RMS Gateway to the CMS is now SSL. Telnet<br>>> P2P and telnet to RMS Relay is not SSL. I believe updates are also SSL now.<br>>><br>>><br>>><br>>> Winlink Express Link Test:<br>>><br>>> Test started 2021/03/16 00:52 UTC<br>>><br>>> Testing CMS telnet connection to <a href="http://cms.winlink.org" target="_blank">cms.winlink.org</a> through port 8772...<br>>>    Successfully connected to a CMS through port 8772 in 253 Milliseconds<br>>><br>>> Testing CMS SSL telnet connection to <a href="http://cms.winlink.org" target="_blank">cms.winlink.org</a> through port 8773...<br>>>    Successfully connected to a CMS through port 8773 in 311 Milliseconds<br>>><br>>> Testing API service access through port 443 to api.winlink.org...<br>>>    Successfully performed API service to <a href="http://api.winlink.org" target="_blank">api.winlink.org</a> through port 443<br>>> in 756 Milliseconds<br>>><br>>> Testing Autoupdate server access through port 443 to<br>>> autoupdate2.winlink.org...<br>>>    Successfully checked autoupdate server through port 443 in 439<br>>> Milliseconds<br>>><br>>> Testing connection to web site - <a href="http://www.winlink.org:443" target="_blank">www.winlink.org:443</a><br>>>    Successfully connected to <a href="http://www.winlink.org" target="_blank">www.winlink.org</a> through port 443 in 47<br>>> Milliseconds<br>>><br>>> Testing FTP connection to SFI site -<br>>> <a href="ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt" target="_blank">ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt</a><br>>>    Successfully connected to <a href="ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt" target="_blank">ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt</a><br>>> through port 20/21 in 1522 Milliseconds<br>>><br>>> Test completed successfully.<br>>><br>>> -Scott, NS7C<br>>><br>>><br>>><br>>> On Mon, Mar 15, 2021 at 5:45 PM Stephen Kangas <<a href="mailto:stephen@kangas.com" target="_blank">stephen@kangas.com</a>> wrote:<br>>><br>>> Phil, an example of the ham band traffic that Kenny mentioned is not<br>>> permitted by the FCC is encrypted communications traffic…this means the<br>>> majority of websites your visit today and many email hosters, since<br>>> websites commonly use TLS/SSL encryption (indicated by “https” in front of<br>>> the URL in your browser address bar) or encrypted settings in your email<br>>> hoster & client.  Winlink does NOT use encryption, thus is legal, and is<br>>> the primary application for my ARES team using HamWAN.  As Kenny points<br>>> out, certain routers (not inexpensive home models) can be used to split<br>>> that traffic appropriately, but it is not an easy setup unless you have a<br>>> background in data networks or cybersecurity…so it’s far easier to either<br>>> use HamWAN just for your dedicated ARES laptop use or switch a cable back<br>>> and forth using one pipe at a time.<br>>><br>>><br>>><br>>> FWIW, Stephen W9SK<br>>><br>>><br>>><br>>><br>>><br>>> *From:* PSDR <<a href="mailto:psdr-bounces@hamwan.org" target="_blank">psdr-bounces@hamwan.org</a>> *On Behalf Of *Kenny Richards<br>>> *Sent:* Monday, March 15, 2021 12:49 PM<br>>> *To:* Puget Sound Data Ring <<a href="mailto:psdr@hamwan.org" target="_blank">psdr@hamwan.org</a>><br>>> *Subject:* Re: [HamWAN PSDR] Newbie<br>>><br>>><br>>><br>>> Just want to add two things to what Carl said already.<br>>><br>>><br>>><br>>> 1) Line of sight means you can actually 'see' the HamWAN node, or at least<br>>> you can with something like a pair of binoculars.<br>>><br>>><br>>><br>>> 2) Remember that HamWAN is not meant to be a replacement for your home<br>>> internet. Be very conscious of what traffic you are putting over HamWAN. I<br>>> don't recommend connecting it to your home network unless you are familiar<br>>> enough with routing rules to limit what traffic goes out the HamWAN link.<br>>><br>>><br>>><br>>> Good luck,<br>>><br>>> Kenny, KU7M<br>>><br>>><br>>><br>>><br>>><br>>> On Mon, Mar 15, 2021 at 12:40 PM <<a href="mailto:carl@n7kuw.com" target="_blank">carl@n7kuw.com</a>> wrote:<br>>><br>>> Hi Phil,<br>>><br>>> You can do all of the configuration while on the ground, but obviously you<br>>> won’t have any signal. You don’t indicate what specific equipment you have,<br>>> but if you have the mAnt30 dish and separate router/modem, make sure you<br>>> have the antenna connected before powering it up.<br>>><br>>><br>>><br>>> As to trees, they are an absolute show stopper. You must have clear,<br>>> visual, line of sight to the HamWAN site you are shooting to. Hopefully you<br>>> will have that, or can achieve that, from where you plan to mount the<br>>> dish.  As to “just over them”, a microwave shot consists of the direct,<br>>> pure line of sight, but also what is referred to as the Fresnel zone – a<br>>> cigar shaped “balloon” around the pure line of sight.  Items in the Fresnel<br>>> zone (including trees) can reduce the amount of signal you have, so you may<br>>> not get optimum performance, but some.<br>>><br>>><br>>><br>>> In your initial post you commented about how to balance between your<br>>> regular internet and HamWAN for a Winlink node.  My suggestion would be to<br>>> just leave it on one (whichever one) as the norm, and only switch to the<br>>> other if the one goes down.  You can also acquire routers that include<br>>> failover capability to automatically make that switch.  You can go more<br>>> advanced with load sharing and such between multiple connections, but that<br>>> requires much better understanding of internet routing, and for a winlink<br>>> node basic failover will serve your purpose.<br>>><br>>><br>>><br>>> Good luck, let us know how things turn out.<br>>><br>>> Carl, N7KUW<br>>><br>>><br>>><br>>> *From:* PSDR <<a href="mailto:psdr-bounces@hamwan.org" target="_blank">psdr-bounces@hamwan.org</a>> *On Behalf Of *Phil Cornell via<br>>> PSDR<br>>> *Sent:* Monday, March 15, 2021 12:11 PM<br>>> *To:* <a href="mailto:psdr@hamwan.org" target="_blank">psdr@hamwan.org</a><br>>> *Subject:* [HamWAN PSDR] Newbie<br>>><br>>><br>>><br>>> OK, I figured out my problem and I now have Winbox talking to the radio<br>>> and reporting status.  I's not linking to anything since the antenna is<br>>> still on the ground.  How much configuration can I do before mounting it on<br>>> my roof.  The only question in my sight path may be some trees but I think<br>>> I can aim just over them and get a signal.  My friend Bruce/WA7BAM will be<br>>> helping with the antenna installation on Wed afternoon.  Making progress...<br>>><br>>><br>>><br>>> *Phil Cornell  *<br>>><br>>> *W7PLC *<br>>><br>>> *SHARES NCS590*<br>>><br>>> *Hybrid Gateway W7PLC*<br>>><br>>> *TCARES  VP*<br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>> _______________________________________________<br>>> PSDR mailing list<br>>> <a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>>> <a href="http://mail.hamwan.net/mailman/listinfo/psdr" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>>><br>>> _______________________________________________<br>>> PSDR mailing list<br>>> <a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>>> <a href="http://mail.hamwan.net/mailman/listinfo/psdr" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>>><br>>><br>>><br>>><br>>> --<br>>><br>>> *-Scott*<br>>> _______________________________________________<br>>> PSDR mailing list<br>>> <a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>>> <a href="http://mail.hamwan.net/mailman/listinfo/psdr" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>>><br>> <br>> <br>> <br>> _______________________________________________<br>> PSDR mailing list<br>> <a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>> <a href="http://mail.hamwan.net/mailman/listinfo/psdr" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>> <br>_______________________________________________<br>PSDR mailing list<br><a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br><a href="http://mail.hamwan.net/mailman/listinfo/psdr" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">-- <u></u><u></u></p><div><div><p class="MsoNormal"><b><i>-Scott</i></b><u></u><u></u></p></div></div></div></div>_______________________________________________<br>
PSDR mailing list<br>
<a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>
<a href="http://mail.hamwan.net/mailman/listinfo/psdr" rel="noreferrer" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><b><i>-Scott</i></b></div></div>