Mein Server Rack 19"

Die beiden Freifunknetze können nur VLAN-only sein, weil sie ja nicht vom Controller und/oder dem Gateway verwaltet werden. Damit sagt man ja dem Controller und dem Gateway: "Pass auf, hier sind noch zwei Netze, mit denen hast du aber nix zu tun. Du musst da nix routen, du vergibst da keine Adressen, kümmere dich einfach nicht drum, dann ist alles super." Und dann ist dem Controller vollkommen egal, ob da IP gesprochen wird oder (wie im Fall des Freifunk-Mesh) irgendein anderes abgefahrenes Protokoll. Alles, was der Controller sieht, sind Ethernet-Pakete, die von den Switches anhand der in den Netzen beteiligten MAC-Adressen hin und her geschickt werden. Es sind reine Ethernet-Netze, es wird nicht "reingefunkt".

Bei Corporate- oder Guest-Netzen würde der Controller immer versuchen, die Kontrolle über diese Netze auszuüben. Beispielsweise, indem Adressen vergeben werden oder indem einfach IP verlangt wird. Das ist aber bei den Freifunk-Netzen weder sinnvoll noch hilfreich ...

Da aber in dem Client-Netz zufällig in der Tat IP gesprochen wird, sollte man natürlich die Firewall so einstellen, dass Pakete nicht "übersprechen" können. Das ist ein guter Hinweis, das muss ich bei Gelegenheit mal einarbeiten.

Danke Dir für die Antwort.

Ich dachte halt, um es etwas mehr abzusichern mache ich ein extra "Guest-Network" auf mit einer VLAN XY > dort dran kommt dann der Offloader als WAN.

So habe ich dann ein separiertes Netz was nicht in die anderen Netze kommt > sozusagen als Sicherheit. Das bekommt man mit VLAN only ja nicht hin.
In dem Netz ist dann zwar vom Controller nur eine lokale IP vorhanden (der WAN Port des Offloaders), aber es ist doch dann was "sicherer", oder?

Doch, auch mit VLAN-only bekommt man das hin. Alle Netze sind grundsätzlich erstmal separierte VLANs. VLAN-only sind "nackt". Standard-Netze sind sozusagen VLAN-only, aber mit zusätzlichen Features (DHCP usw.). Und Gast-Netze sind sozusagen Standard-Netze, in denen automatisch eine (interne) Firewall-Regel aktiviert ist:

Die Clients dürfen nicht mit anderen Netzwerken kommunizieren.

Das kann man aber genauso gut über eine explizite allgemeine Firewall-Regel eingerichtet (siehe Regel 3 im Firewall-Artikel). Es gibt also mit einem Guest-Network keine "zusätzliche Sicherheit", die man nicht auch "zu Fuß" erreichen kann.

Hi, entschuldigt meine naive Nachfrage....aber gibt es hier mittlerweile Optimierungen?

Der Ansatz das FreiFunk über die UniFi AP´s auszustrahlen ist super, aber die aufgeführten Nachteile schrecken noch immer etwas ab. Gibts was neues zu berichten? Danke

Wenn ich gar kein Mesh Feature bräuchte....sondern nur ein Client Netz als Gast Netz bieten möchte....was wäre dann anders?

Eine Besserung der Situation gibt es bisher nicht. Außer der Lösungsansätze, die hier schon beschrieben sind.

Was wäre dann anders? Wie ich im ersten Freifunk-Artikel schon geschrieben hatte:

Quote

Freifunk ist eine Community, die auf gegenseitigem Geben und Nehmen basiert. Jeder Betreiber eines Freifunk-Knotens bekommt etwas (nämlich Rechtssicherheit für den eigenen Gast-Traffic), muss allerdings dafür auch etwas geben (installierte Hardware, Bandbreite auf dem eigenen DSL, ...) und sich zusätzlich noch gewissen Regeln unterwerfen, die im Picopeering Agreement festgehalten sind. Dazu gehört beispielsweise, dass man den Traffic über sein Netz nicht stört oder gar verändert, aber auch, dass man freien Transit über sein Netz anbietet. Genau das macht das oben angesprochene Mesh-Netz. Darüber verbinden Freifunk-Knoten in der Nachbarschaft untereinander und stellen im Idealfall auch dann Konnektivität her, wenn beispielsweise dein Internetanschluss gerade ausgefallen ist. Dann wird der Traffic aus deinem Freifunk-Client-Netz über das Mesh-Netz an andere Freifunk-Knoten geroutet. Lange Rede kurzer Sinn, nach dem Picopeering Agreement gilt: Wenn es "Freifunk" heißt, muss auch ein Mesh-Netz angeboten werden. Jetzt ist das zwar kein Vertrag, den man unterzeichnet hat und es gibt auch keine Instanz, die die Nicht-Einhaltung sanktioniert. Ich verstehe das aber als "Gentlemans Agreement" und möchte mich daher daran halten.

Ich für meinen Teil möchte das Mesh-Netz deshalb anbieten, obwohl es im Umkreis keine andere Freifunk-Installation gibt, die es nutzen würde.

Es bleibt dir natürlich vorbehalten, gegen das "Gentlemans Agreement" zu verstoßen, das wäre aber schade.

Hallo ja Conectbox ist im Bridgemodus. 😜