Ich habe doch schon die ganze Bude mit Unifi-APs vollgehängt. Kann ich die nicht für Freifunk benutzen? Warum muss ich noch ein zusätzliches Gerät kaufen?
Wir rekapitulieren: Freifunk strahlt zwei WLANs aus:
- Das Client-Netz, meistens mit dem Namen "<lokale Gruppe>.freifunk.net". Das ist unverschlüsselt und jedes Gerät kann sich einfach so einwählen. Dieses Netz kannst du als Gastnetz verwenden und hast damit (im Gegensatz zum Unifi-Gastnetz) absolute Rechtssicherheit gewonnen.
- Das Mesh-Netz, über das sich idealerweise Knoten in deiner Nachbarschaft miteinander verbinden und so auch dann eine Internetverbindung herstellen, wenn beispielsweise dein Anschluss ausgefallen ist. Der Traffic aus deinem Freifunk-Client-Netz wird dann dynamisch über das Mesh-Netz an andere Konten geroutet.
Ich habe leider keine Möglichkeit gefunden, das Freifunk-Mesh-Netz zusätzlich über meine Unifi-APs verteilen zu lassen. Für das Client-Netz können wir aber unsere sowieso vorhandenen Unifi-APs verwenden und so exakt die gleiche Ausleuchtung für unser Freifunk-Gastnetz herstellen, wie wir es für unser Unifi-Heimnetz aufgebaut haben.
Also:
Was wollen wir?
Wir wollen das Freifunk-Client-Netz (unser Gastnetz) über unsere sowieso vorhandenen Unifi-APs verteilen.
Warum wollen wir das?
Damit wir nicht neben jeden Unifi-AP einen zusätzlichen Freifunk-Knoten hängen müssen, nur um eine ähnliche Ausleuchtung von (Unifi-)Heimnetz und (Freifunk-)Gastnetz hinzubekommen.
Was benötigen wir dafür?
- Einen sogenannten Offloader
- Einen Unifi-Router (USG(-Pro-4) oder UDM(-P))
- Zwei freie Ethernetports auf einem Switch
Bei einem Offloader handelt es sich um einen Freifunk-Knoten, der über deine DSL-Leitung eine VPN-Verbindung zu einem der zentralen Freifunk-Server aufbaut, dann Traffic aus den Mesh-Netz entgegennimmt und über die VPN-Verbindung zum Freifunk-Server routet. Im Prinzip kann man fast jeden Router, für den es die Freifunk-Firmware gibt, zum Offloader konfigurieren. In der Praxis ist es jedoch sinnvoll, leistungsfähigere Geräte dafür zu verwenden, da die VPN-Verschlüsselung über die CPU geht. Trotzdem müssen die Geräte nicht viel kosten: in kleineren Installationen reicht ein TL WDR3600, bei großen Datenmengen wird dagegen gerne ein Fujitsu Futro S550 genommen. Für den mittleren Bedarf erfreut sich ein Gerät unseres Haus- und Hoflieferanten einiger Beliebtheit: der ER-X. Ich habe die Variante ohne SPF gewählt, da ich die über PoE, also ohne Netzteil betreiben kann.
Im Netz sind viele Anleitungen zu finden, wie man die Freifunk-Firmware auf das Geräte flasht. Auch hier wieder der Hinweis: nur Mut, das ist keine Raketenwissenschaft und wendet euch im Zweifelsfall an eure lokale Freifunk-Gruppierung, die helfen gerne weiter.
Und wie binde ich den jetzt in mein Netzwerk ein?
<Kommt noch>
Gibt es auch Nachteile?
Ja. <Kommt aber noch>
Noch etwas?
Ja! Auch hier noch einmal der Hinweis auf Spendenmöglichkeiten oder (Förder-)Mitgliedschaften. Der Betrieb der zentralen Server kostet die Freifunk-Community Geld. Daher freuen sich die verschiedenen Gruppierungen über jede Zuwendung.
<Kommt noch>
Kommentare
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂
Sehr gut geschrieben. Danke @noexpand und liebe Grüsse vom FF3L
opensec
Danke für den tollen Bericht. Ja, dass mit der vollen Client-Liste kenne ich.
Eine Frage habe ich in dem Bereich noch:
Wieso machst Du hier für den Offloader nur ein VLAN-only Netzwerk auf, an Stelle von einem richtigen kompletten Netz? So könnte man ja noch mehr Einstellungen vornehmen und auch hingehen, dass er mit "Guest Network" komplett getrennt ist vom Rest > falls es mal ne Lücke in der Freifunk Firmware (im Offloader) gibt, oder?
noexpand
Die beiden Freifunknetze können nur VLAN-only sein, weil sie ja nicht vom Controller und/oder dem Gateway verwaltet werden. Damit sagt man ja dem Controller und dem Gateway: "Pass auf, hier sind noch zwei Netze, mit denen hast du aber nix zu tun. Du musst da nix routen, du vergibst da keine Adressen, kümmere dich einfach nicht drum, dann ist alles super." Und dann ist dem Controller vollkommen egal, ob da IP gesprochen wird oder (wie im Fall des Freifunk-Mesh) irgendein anderes abgefahrenes Protokoll. Alles, was der Controller sieht, sind Ethernet-Pakete, die von den Switches anhand der in den Netzen beteiligten MAC-Adressen hin und her geschickt werden. Es sind reine Ethernet-Netze, es wird nicht "reingefunkt".
Bei Corporate- oder Guest-Netzen würde der Controller immer versuchen, die Kontrolle über diese Netze auszuüben. Beispielsweise, indem Adressen vergeben werden oder indem einfach IP verlangt wird. Das ist aber bei den Freifunk-Netzen weder sinnvoll noch hilfreich ...
Da aber in dem Client-Netz zufällig in der Tat IP gesprochen wird, sollte man natürlich die Firewall so einstellen, dass Pakete nicht "übersprechen" können. Das ist ein guter Hinweis, das muss ich bei Gelegenheit mal einarbeiten.
opensec
Danke Dir für die Antwort.
Ich dachte halt, um es etwas mehr abzusichern mache ich ein extra "Guest-Network" auf mit einer VLAN XY > dort dran kommt dann der Offloader als WAN.
So habe ich dann ein separiertes Netz was nicht in die anderen Netze kommt > sozusagen als Sicherheit. Das bekommt man mit VLAN only ja nicht hin.
In dem Netz ist dann zwar vom Controller nur eine lokale IP vorhanden (der WAN Port des Offloaders), aber es ist doch dann was "sicherer", oder?
noexpand
Doch, auch mit VLAN-only bekommt man das hin. Alle Netze sind grundsätzlich erstmal separierte VLANs. VLAN-only sind "nackt". Standard-Netze sind sozusagen VLAN-only, aber mit zusätzlichen Features (DHCP usw.). Und Gast-Netze sind sozusagen Standard-Netze, in denen automatisch eine (interne) Firewall-Regel aktiviert ist:
Die Clients dürfen nicht mit anderen Netzwerken kommunizieren.
Das kann man aber genauso gut über eine explizite allgemeine Firewall-Regel eingerichtet (siehe Regel 3 im Firewall-Artikel). Es gibt also mit einem Guest-Network keine "zusätzliche Sicherheit", die man nicht auch "zu Fuß" erreichen kann.