Hallo zusammen,
was ist eine günstige und zugleich performante Möglichkeit, nicht nur ein Device, sondern ein ganzes Heimnetz (per NAT) hinter dem Freifunk-Netz (über WLAN) zu betreiben? (Alle Gerätschaften müssten neu besorgt werden)
Mir fallen ad hoc 2 Möglichkeiten ein:
a) Ein FF-knoten empfängt das MESH-WLAN in der Umgebung und spuckt am LAN-Port das Freifunk-Netz aus. Dort den WAN-Port eines Routers/einer FritzBox anschließen, welcher zudem das Heimnetz-LAN und WLAN bereitstellt.
b) Ein Rasberry PI verbindet sich über das onboard-WIFI in das Client-WLAN des FF Netzes. Über iptables werden der LAN-Port und ein externes WLAN-Modul per NAT gebridged und über dhcpd und co. das Heimnetz “manuell” bereitgestellt.
Fällt euch noch was ein? Ich tendiere zu a), müsste dann aber 2 Geräte kaufen und installieren…
a) geht, hast dann aber nur ipv4 und was mit 2xNAT. ipv6 natten tut so eine Fritzbox vielleicht auch. Musst du mal ausprobieren. Soweit ich weiß machen wir für ipv6 aber nix mit prefix-delegation (obwohl man das natürlich mal ausprobieren könnte…).
b) geht genau so. Wen der Rasberry das unterstützt, kannst du dich auch gleich in den MESH hängen. Mit dem LAN-Port hab ich das schon gemacht, ob der WIFI-Chip das unterstützt weiß ich nicht. Kannst aber auch gleich von dem Rasberry l2tp auf ein Gateway machen. Haben wir da kein Image für?
fritzbox und rasberry sind auch nur Router.
a) ist einfacher, aber die Frage ist, warum du das machen willst. Wenn du eh Netz vor Ort hast, und auf ipv4 NAT machen willst, gewinnst du nix. NAT ist keine Firewall nur statefull…
Hallo, danke für die Rückmeldung.
Mit “Heimnetz” meine ich tatsächlich wie in der AVM-Notation einen eigenen 192.168er-Netzbereich, also das private lokale LAN, mit DHCP, DNS Resolver, eigenem WLAN und Co. Dieses soll möglichst unangetastet bleiben. Der Gedanke, das ganze Heimnetz “in” das Freifunk-Netz zu hängen wäre natürlich machbar, aber dies ist durch die IP-Umstellung aller Geräte und ohne Firewall dazwischen ungünstig bis riskant.
Es hängt natürlich vom Gateway ab ob es meint, NATten zu müssen. So wie ich das sehe würde eine Fritzbox am Ende bei a) dann nicht NATten, und man kann sogar entscheiden ob ein eigener Adressbereich genutzt werden soll oder nicht:
Da die RPI-Lösung mehr Gebastel ist und nicht gerade DAU-Fest, versuche ich mal a) mit zwei alten 841N, davon einer mit Stock-Firmware oder OpenWRT. Wenn alles funktioniert kann ich ja mal ne Anleitung schreiben.
Ein Image für einen RPI wäre so oder so recht nützlich - da die ja jetzt alle WLAN on board haben. Ein LEDE-Image gibt es dafür schon. Ich hatte nur bislang immer Probleme mit der out-of-the-box unterstützung von externen LAN und WLAN adaptern
Was “müsste” eigentlich mehr Durchsatz bringen: Mesh-WLAN oder Client-WLAN bei FreiFunk?
Gruß
Heerde
Hallo Heerde,
ich hab’s schon erfolgreich mit einer älteren Fritzbox 7312 getestet, läuft recht stabil. Mein Grundgedanke war auch, bestimmte private Netzwerkgeräte vom FF-Client-Netz abzuschotten, ohne dabei den Zugriff auf und die Möglichkeiten das / des FF-Client-Netz/es vollständig zu verlieren.
Deren LAN-Port wurde - wie du es schon beschrieben hast - als “WAN”-Port (aus der Sicht der 7312) eingestellt. Dieser wiederum ist angeschlossen an einen LAN-Port eines TP-Link TL-WR940N. Auf dessen LAN-Ports wurde das Meshing deaktiviert und die Ports dem FF-Client-Netz zugeordnet (lässt sich im conifg-Mode per SSH und mit Hilfe des Texteditors vi unter /etc/config in den entsprechenden config-files einstellen). Der TP-Link TL-WR940N wiederum mesht per WLAN mit einem weiteren TP-Link TL-WR1043N, der sich dann via L2P über einen “normalen” DSL-Router mit dem FF-Gateway verbindet. Der TP-Link TL-WR940N dient damit nicht nur als “wireless ethernet bridge” zur Anbindung der Fritzbox sondern “verstärkt” auch das FF-Client-WLAN (Entfernung über zwei Stockwerke). Ein paar kurze, schnelle Tests im FF-Client-WLAN (Port-Scans) auf die WAN-IP der Fritzbox waren negativ (ICMP echo request “ping” geht).
Sowohl im FF-Client-WLAN als auch im privaten WLAN der Fritzbox tummeln sich bei mir im Durchschnitt nur ein paar Clients, d.h. bei einer Beschränkung am TP-Link TL-WR1043N auf 3456kBit/s down / 512kBit/s up ist genug Airtime und auch Internetbandbreite für alle da. Durch sinnvolle Wahl der Funkkanäle fürs FF-Client-bzw. Mesh-WLAN (Kanal 1) und mein privates WLAN (Kanal 13) werden Störungen minimiert. Natürlich erhöht jeder zusätzliche (W)LAN-Hop die Paketlaufzeiten ; hab aktuell ping-Zeiten von ca. 60ms ins Internet ; bin ich direkt per Kabel am 1. FF-Node TL-WR1043N im Client-Netz, sind es ca. 50ms ; und ganz direkt vom DSL-Router ca. 30ms.
Wie schon erwähnt wurde, bietet diese Netzabschottung etwas mehr Sicherheit (dürfte für Privatanwender i.d.R. ausreichen), ist aber nicht mit professionellen Firewalls oder gar Intrusion Detection bzw. Prevention-Systemen zu verwechseln. Wichtig ist halt, dass man keine privaten Daten über das ungesicherte FF-Client-WLAN zwischen seinen Heimgeräten austauscht…denn zwischen denen gibt es nur selten eine Transportlayer-Verschlüsselung, deren Einrichtung dem normalen Anwender nicht zumutbar wäre. Hat man nun daheim Geräte, die sowohl private Daten mit weiteren Heimgeräten als auch Daten mit dem FF-Client-Netz austauschen sollten, ist das doch eine gute Lösung. Der oben genannte DSL-Router hat nämlich keinen integrierten WLAN-Access-Point, sodass für mich die Möglichkeit des Repeating eines bereits vorhandenen, privaten WLANs über die beiden TP-Link-Router entfällt (würde sich auch ungünstig auf die Airtime auswirken). Zudem benötige ich das private WLAN nur in der Nähe des TP-Link TL-WR940N. Und nicht zuletzt bleibt durch das Verteilen der eigenen Geräte auf ein privates und auf das FF-Client-WLAN (unterschiedliche Kanäle) mehr Airtime für Gäste in FF über
Vielen Dank für den ausführlichen Beitrag!
Inzwischen ist meine FritzBox 7390 (gebraucht ca. 30€) angekommen und ich konnte das private “Netz mit Freifunk-Uplink” nach ein paar Zuordnungsproblemen aufbauen. Es funktioniert überraschend gut. Ich habe auch Ping-Zeiten von 50-60ms, was sich im normalen Web nicht allzu negativ auswirkt. Selbst Skype & Co geht passabel. Der Durchsatz ist mit 10 Mbit nicht hoch, aber ausreichend. Evtl. würde hier mehr gehen, wenn man stärkere Nodes einsetzt…ich habe aber auf der Empfängerseite gerade nur den betagten WR841N zur Hand.
Ipv6 wird hinter einer Fritzbox nicht mehr funktionieren. Das Prefix das von unseren gateways an die Fritte verteilt wird ist zu klein um noch weiter zerhackt zu werden. Maximal V6 Natten auf fe80 Adressen könnte gehen wenn die Fritte das unterstützt. Das führt aber dazu das die Geräte hinter der Fritte nicht global via V6 erreichbar sind.
Mich würde aber mal interessieren warum man das überhaupt so machen möchte das Heimnetz über Freifunk anzubinden. Für eine Otto-Normal-Anwendung macht das eigentlich keinen Sinn.
In meinem konkreten Fall geht es darum, eine Wohneinheit vorübergehend über den Anschluss des Nachbarn mit Internet zu versorgen. Hier sind auch Netzwerkdrucker, WLAN-Boxen etc. im Einsatz, die ohne einen Router dazwischen ansonsten offen im FF-Netz hängen würden. Das wäre ein zu hohes Sicherheitsrisiko.
Gruß
Ich glaube, dir ist der Unterschied zwischen NAT und Firewall nicht klar.
Du brauchst nicht zwangsläufig ein eigenes Netz. Du kannst einfach das Clientnetz nochmal durch eine Firewall schicken und Verbindungen von außen unterbinden. Dann würde auch IPV6 richtig funktionieren.
Das geht halt leider nicht mit einer Fritzbox, wohl aber mit einem OpenWRT-Router oder man könnte die Firewallregeln sogar direkt in den Freifunkrouter eintragen, der die Verbindung zum Nachbarn herstellt.