Unifi-APs für Freifunk nutzen (Work in Progress)

Kommentare

• 

  Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 

  Absenden Vorschau
• 

  Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 

  Absenden Vorschau
• 

  ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂ 3. Dezember 2023

  Sehr gut geschrieben. Danke @noexpand und liebe Grüsse vom FF3L 

• 

  opensec 23. April 2022

  Danke für den tollen Bericht. Ja, dass mit der vollen Client-Liste kenne ich.

  
  

  Eine Frage habe ich in dem Bereich noch:

  Wieso machst Du hier für den Offloader nur ein VLAN-only Netzwerk auf, an Stelle von einem richtigen kompletten Netz? So könnte man ja noch mehr Einstellungen vornehmen und auch hingehen, dass er mit "Guest Network" komplett getrennt ist vom Rest > falls es mal ne Lücke in der Freifunk Firmware (im Offloader) gibt, oder?

  • 

    noexpand 23. April 2022

    Die beiden Freifunknetze können nur VLAN-only sein, weil sie ja nicht vom Controller und/oder dem Gateway verwaltet werden. Damit sagt man ja dem Controller und dem Gateway: "Pass auf, hier sind noch zwei Netze, mit denen hast du aber nix zu tun. Du musst da nix routen, du vergibst da keine Adressen, kümmere dich einfach nicht drum, dann ist alles super." Und dann ist dem Controller vollkommen egal, ob da IP gesprochen wird oder (wie im Fall des Freifunk-Mesh) irgendein anderes abgefahrenes Protokoll. Alles, was der Controller sieht, sind Ethernet-Pakete, die von den Switches anhand der in den Netzen beteiligten MAC-Adressen hin und her geschickt werden. Es sind reine Ethernet-Netze, es wird nicht "reingefunkt".

    Bei Corporate- oder Guest-Netzen würde der Controller immer versuchen, die Kontrolle über diese Netze auszuüben. Beispielsweise, indem Adressen vergeben werden oder indem einfach IP verlangt wird. Das ist aber bei den Freifunk-Netzen weder sinnvoll noch hilfreich ...

    Da aber in dem Client-Netz zufällig in der Tat IP gesprochen wird, sollte man natürlich die Firewall so einstellen, dass Pakete nicht "übersprechen" können. Das ist ein guter Hinweis, das muss ich bei Gelegenheit mal einarbeiten.

  • 

    opensec 25. April 2022

    Danke Dir für die Antwort.

    
    

    Ich dachte halt, um es etwas mehr abzusichern mache ich ein extra "Guest-Network" auf mit einer VLAN XY > dort dran kommt dann der Offloader als WAN.

    So habe ich dann ein separiertes Netz was nicht in die anderen Netze kommt > sozusagen als Sicherheit. Das bekommt man mit VLAN only ja nicht hin.
    In dem Netz ist dann zwar vom Controller nur eine lokale IP vorhanden (der WAN Port des Offloaders), aber es ist doch dann was "sicherer", oder?

  • 

    noexpand 27. April 2022

    Doch, auch mit VLAN-only bekommt man das hin. Alle Netze sind grundsätzlich erstmal separierte VLANs. VLAN-only sind "nackt". Standard-Netze sind sozusagen VLAN-only, aber mit zusätzlichen Features (DHCP usw.). Und Gast-Netze sind sozusagen Standard-Netze, in denen automatisch eine (interne) Firewall-Regel aktiviert ist:

    
    

    Die Clients dürfen nicht mit anderen Netzwerken kommunizieren.

    
    

    Das kann man aber genauso gut über eine explizite allgemeine Firewall-Regel eingerichtet (siehe Regel 3 im Firewall-Artikel). Es gibt also mit einem Guest-Network keine "zusätzliche Sicherheit", die man nicht auch "zu Fuß" erreichen kann.