HNA - Aber wie

[Erfrischungsgetraenk]

Hallihallo!!!

Um weitere Freifunk-Interessenten zu finden, habe ich beschlossen, mein kleines lahmes WWW auch dem Freifunk-Netzwerk zur verfügung zu stellen - aber wie???
Bräuchte dringends Tipps und Einstellungsdaten, um Internet am meinem Node verfügbar zu machen.
Ein ganz großes Fragezeichen steht momentan noch über den Punkt ssh-Key.

Verbindungen zu anderen Nodes habe ich zwar noch nicht gefunden, aber wie sieht das mit einem möglichen Gateway-Tunnel aus? Wie und was ist das? kann das auch hier funktionieren?

Bitte um Verständnis, da ich, wie ihr sehen könnt auch ziemlich neu bin.


Gruß

Tom

[tox]

hi, nachdem ich nun die etwas leidvolle erfahrung gemaht habe, wie das geht, kann ich auch was dazu sagen.

eine wichtige frage, die du dir stellen solltest, wenn du hna bist, ist, wie du deine private netztopologie aufbaust. die meisten leute (ich weiß, da würde mir jow widersprechen, es ist aber so), haben an ihrem dsl-router ein privates netzwerk. die meiner meinung nach übliche konfiguration ist es nun, den für freifunk bestimmten router mit an dieses netzwerk anzuschließen. eine andere möglichkeit ist es, z.b. wenn man statt eines dsl-routers nur ein dsl-modem hat oder man sonst kein weiteres privates lan hat, sich stattdessen an den freifunk-router zu stecken und das dsl-modem direkt auch an diesen router. im ersten fall genießt du sämtliche freiheiten eines normalen lokalen lans in deinem lokalen lan, musst aber auf einige bestimmte firewall-regeln achtgeben, die nach der kompletteinrichtung in den ff-router einzutragen sind, damit niemand aus dem freifunk auf dein lokales lan zugreifen kann (es sei denn, du wünschst das ausdrücklich). bei der zweiten möglichkeit ist man mit seinem rechner direkt ein teil des freifunks und hat nicht zwei getrennte lans.

ungeachtet der entscheidung, wie du das netz physisch aufbaust, steckst du den dsl-router/das dsl-modem an den wan(!)-port des ff-routers und deinen rechner zur konfiguration des routers an einen lan-port, alterantiv kannst du die einrichtung auch über wlan vornehmen. dann gehst du auf der webseite des routers auf verwalten und dann wan. dort stellst du bei "wan-protokoll" ein:

• wenn du einen dsl-router hast, der das routing des lokalen netzes übernimmt:
  • wenn darauf ein dhcp-server läuft: "dhcp-server abfragen"
  • wenn darauf kein dhcp-server läuft: "statisch" und dann füllst du die adressen entsprechend deines netzwerks darunter aus
• wenn du nur ein dsl-modem hast oder auf einem vorhanden dsl-router pppoe-pass-through eingestellt ist: "pppoe"

die häkchen darunter kannst du setzen, wenn du den router auch aus dem internet heraus oder aus dem lokalen netzwerk, wenn du die oben beschriebene erste variante genommen hast, verwalten willst. (alles, was am wan-port hängt, gleich, ob es ein lokales netzwerk ist, oder das eigentliche internet, heißt bei freifunk internet). beachte dann, dass du auf dem dsl-router noch die entsprechen ports forwarden oder umleiten musst, nummer 80, 433 und 22 respektive. beachte ferner, dass du im menüpunkt "secure admin" den haken vor "https über wan erlauben" anwählen musst. dort kannst du auch deinen privaten schlüssel und das zertifikat fürs ssl angeben. in der standardeinstellung ist der schlüssel zufällig und für jeden router eindeutig. (glaube ich, man möge mich korrigieren)

mit dem gateway-tunnel meinst du sicherlich vpn... das istn übliches openvpn, das sich über deine inernetverbindung mit zwei konzentratoren verbindet, sodass du auch als teilnehmer im ff auftauchst, wenn du sonst keinerlei weitere verbindung funkmäßig hast. du solltest dir wohlübelegen, ob du openvpn installierst (paketname: openvpn-ssl-nolzo), denn immerhin ist das 1 mb groß und belegt einen wesentlichen teil des flash-speichers. die entsprechenden zertifikate stellen dir se und cyrus aus.

[4huf]

mit dem gateway-tunnel meinst du sicherlich vpn

nein das ist falsch.
Sicher, es gibt openvpn und die Erklärung dazu ist auch ok,
aber gateway-tunnel ist eine neue Funktion in der aktuellen Firmware.
Als HNA musst du "Tunnel zu diesem Node zulassen" aktivieren.
Dann können andere Nodes deinen Node als "Haupt"-HNA bei sich eintragen.
Immer dann wenn dein HNA erreichbar ist wird versucht eine Tunnelverbindung
aufzubauen und nur die lokalen User dieses Nodes surfen dann über diesen Tunnel.
Ist dein Node nicht erreichbar wirkt das normale OLSR-Routing, genau so wie für alle
anderen die von diesem Node nur weitergeleitet werden.
Sinn des ganzen ist die HNA-Umschalterei zu verhindern wenn man 2 etwa gleichwertige
HNA-Verbindungen hat. Dann hüpft ja die HNA-Verbindung dauernd hin und her, mit den bekannten Folgen wie Abbrüche usw.

[tox]

achso ^^

[Erfrischungsgetraenk]

Das mit der privaten Netzwerk-Architektur ist schon klar. Aber nun scheine ich mir irgendwas zerschossen zu haben. Da das freigegebene I-Net nicht direkt am Router dran hängt sondern auch nur per w-lan erreichbar ist und mein privates Netzwerk umfangreicher als normal ist, arbeite ich gar nicht mit DHCP-Servern.
Router arbeitet normal, jedoch kann ich aus´m LAN nun gar nicht mehr drauf zugreifen - wer kann helfen??

[tox]

kannst du uns deine umfangreiche netzwerktopologie mal aufmalen?

[Erfrischungsgetraenk]

ungefähr so

[Sn1cki]

lass mich raten und du willst von PC1 ins Freifunknetz schauen?
des selbe Problem hatte ich auch und hab es nur durch einen Router mit DD-WRT lösen können... der an stelle des Router1 kommt...
dann müßte man erweitertes Routing aktivieren damit dieser dann merkt (wenn du eine 104 adresse anwählst) daß des Routing nicht Richtung Netz gehen soll, sondern Richtung FF...

[tox]

du hast zweimal internet? mh... also nach meinem verständnis, möchtest du das internetz vom router 3 fürs ff verwenden? und auf router 2 und 4 is die ff-firmware installiert?

- richte auf pc 2 einen router (aka internetverbindungsfreigabe) ein
- pc 2 wird an den wan-port von router 2 angeschlossen
- pc 3 und router 1 werden an lan-ports von router 2 angeschlossen

folgende adresskonfigurationen musst du einrichten (die konkreten werte dienen als beispiel):

• router 2
  • wan: adresse: 192.168.1.3/24, standardgateway: pc 2 (192.168.1.2)
  • lan: adresse: 192.168.1.129/25, achtung, dieses netz muss ein subnetz des adressbereichs des standardgateways sein und dieser bereich darf den standardgateway nicht beinhalten. außerdem musst du "firewall ausschalten" aktivieren, um von pc 3 und router 1 (mit anhängseln) auf rechner 2 zugreifen zu können. desweiteren musst du netfilter-regeln festlegen, dass man aus dem freifunk nicht auf rechner 2 (und anhängsel) zugreifen kann:
    iptables -I FORWARD -i eth1 -d 192.168.1.0/24 -j DROP
    iptables -I INPUT -i eth1 -d 192.168.1.0/24 -j DROP
    iptables -t nat -I PREROUTING -i eth1 -d 192.168.1.0/24 -j DROP
    iptables -t mangle -I PREROUTING -i eth1 -d 192.168.1.0/24 -j DROP
    und wenn du noch vpn betreibst, die auch noch:
    iptables -I FORWARD -i tap+ -d 192.168.1.0/24 -j DROP
    iptables -I INPUT -i tap+ -d 192.168.1.0/24 -j DROP
    iptables -t nat -I PREROUTING -i tap+ -d 192.168.1.0/24 -j DROP
    iptables -t mangle -I PREROUTING -i tap+ -d 192.168.1.0/24 -j DROP
    drittens muss man noch irgendwas einstellen, damit von rechner 2 und anhängsel auf rechner 3 und router 1 mit anhängels zugreifen kann, aber das hab ich noch nicht rausgefunden.
• pc 3: adresse 192.168.1.130/25, standardgateway: router 2 (192.168.1.129)
• router 1: adresse 192.168.1.131/25, standardgateay: eigenes modem
• pc 1 und 4: adresse 192.168.1.132(bzw. 133)/25, standardgateway: router 1 (192.168.1.131)
• pc 2: 192.168.1.2/24, standardgateway: router 3 (192.168.1.1)
• router 3: 192.168.1.1/24, standardgateay: eigenes modem
• pc 5: 192.168.1.4/24, standardgateway: router 3 (192.168.1.1)

router 4 und anhang sollte normal als freifunk-node funktionieren. ich hoffe, ich habs nicht übersehen, mögen se oder cyrus noch mal bitte drübergucken.

edit: moment, da is irgendwie der wurm drin, man kann von rechner 1 und 4 nicht auf pc 2 und anhängsel zugreifen, weil der standardgateway die anfrage sofort ins internet schicken würde, mensch, musst du dort auch noch ein paar regeln einrichten... ich glaub die einfachste lösung wär, wenn du direkt zwischen pc 2 und router 2 nochn switch knallst und router 1 und pc 3 an diesen switch klemmst, dann wär das adresstechnisch deutlich einfacher zu lösen...

[Erfrischungsgetraenk]

Danke erstmal - werde ich nächste Woche mich mal drum kümmern - habe bis Sonntag Nachtschicht. Aber da ist nun da o.g. Problem, dass ich momentan auf meinen Router 2 nicht zugreifen kann. Lt. Topo ist er zwar hin und wieder in Kontakt mit SAW, Gardenia hat vermutlich eine zu kleine Antenne, obwohl näher bei Angersdorf. Datenaustausch zwischen PC1 und PC2 funzt auch. Jedoch kann ich auf den Router nicht zugreifen . Jemand Idee, wie das behoben werden könnte?
PS:

also nach meinem verständnis, möchtest du das internetz vom router 3 fürs ff verwenden?

Korrekt.

[tox]

nun wie hast du die geräte denn im moment verstöpselt?

von wo aus kannst du nicht auf router 2 zugreifen?

[Erfrischungsgetraenk]

verstöpselt??? normal mit gekreuztem Netzwerkkabel
Zugriff von jedem Rechner nicht möglich. Erreichbarkeit aus FF -> k.A. da Router4 noch nicht Teil vom FF-Netzwerk. Scheinbar Antenne zu klein oder blöder Standort. GPS-Daten: 51.46352286316749 11.919292286038398

[tox]

verstöpselt??? normal mit gekreuztem Netzwerkkabel

nee, ich meine, welchen rechner du an router 2 in welche buchse gesteckt hast

Zugriff von jedem Rechner nicht möglich.

mh, das is mrkwürdig, du solltest mindestens von pc 3 draufkommen. und von pc 2 abhängig davon, wie du die netzwerkkonfiguration dort vorgenommen hast. du solltest auch mit rechner 1 und 4 draufkommen, sofern sie im gleichen adressbereich sind wie der anschluss des routers sind, an den du router 1 angeschlossen hast.

Erreichbarkeit aus FF -> k.A. da Router4 noch nicht Teil vom FF-Netzwerk. Scheinbar Antenne zu klein oder blöder Standort. GPS-Daten: 51.46352286316749 11.919292286038398

bei dir in der nähe gleich is angersdorf, wenn du dahin zielst, solltest du im ff landen. alternativ kannst du auch auf unterplan (nähe holzplatz) zielen.

[Erfrischungsgetraenk]

Bin normal an den Lan-Buchsen, Wan ist an router2 nicht belegt

Zugriff nicht möglich, Adressbereich meinerseits ist 192.168.0.xxx ; wobei im kompletten Netzwerk logischerweise die letzten 3 Zahlen verschieden sind. nur eben, dass die bisher vergebene Adresse für den Router nicht angezeigt werden kann, scheinbar ist sie nicht mehr existent.

Erreichbarkeit ist hin und wieder über SAW gegeben, bloss leider ist von meinem Standort aus das "zielen" in Richtung süd/südwest möglich. Positionsdaten von Router2: 51.468391 11.923269.

SAW hat diese Probleme richtung Norden, daher habe ich scheinbar nur bei guten Bedingungen Verbindung. Auch wenn 6 Etage problemlos ist, ist Verbindung Richtung Norden baulich mit Schwierigkeiten versehen.

[tox]

Bin normal an den Lan-Buchsen, Wan ist an router2 nicht belegt

Zugriff nicht möglich, Adressbereich meinerseits ist 192.168.0.xxx ; wobei im kompletten Netzwerk logischerweise die letzten 3 Zahlen verschieden sind.

hast du auch auf dem router die lan-adresse dementsprechend angepasst? standardmäßig is das die 192.168.11.1/24. is eigentlich das einzige was das problem verursachen kann...

nur eben, dass die bisher vergebene Adresse für den Router nicht angezeigt werden kann, scheinbar ist sie nicht mehr existent.

was meinst du damit?

Erreichbarkeit ist hin und wieder über SAW gegeben, bloss leider ist von meinem Standort aus das "zielen" in Richtung süd/südwest möglich. Positionsdaten von Router2: 51.468391 11.923269.

SAW hat diese Probleme richtung Norden, daher habe ich scheinbar nur bei guten Bedingungen Verbindung. Auch wenn 6 Etage problemlos ist, ist Verbindung Richtung Norden baulich mit Schwierigkeiten versehen.

ja, missverständnis!, ich meinte doch, dass du von deinem garten, router 4, mal auf saw zielen sollst

[Erfrischungsgetraenk]

Router Adresse war immer perfekt im Lan und im FF angepasst - sonst hätte ich da neue IP nicht vergeben können.
Nun ist die bisher dem Router zugehörige IP nicht mehr vorhanden, habe auch schon probiert, mit geändertem Adressbereich auf standard-IP´s von Routern zuzugreifen - erfolglos.
Mit Router 4 wird es nicht so leit, da nur 9dB Omni dort verfügbar. Bin mit Gartenvorstand aber am verhandel betreffs größerem mast, da momentan nur auf Dach.

Mit Hard-Reset am Router - wie startet der dann? 192.169.1.1 ??

[tox]

standard nach hw-reset is 192.168.11.1/24. du könntest natürlich auch einfach erst mal probieren, dir auf pc 3 eine adresse zuweisen zu lassen. der zuweis-bereich liegt immer im bereich der lan-adresse. ich weiß, was du sagen willst: du hast dhcp abgeschaltet. aber wenn dein router die adresse vergessen hat (was meines wissens aber noch nie vorgekommen is) sollte er auch vergessen haben, dass du dhcp abgeschaltet hast.

[Erfrischungsgetraenk]

werde ich heute mal probieren, aber erst ausschlafen nach nachtschicht

[Erfrischungsgetraenk]

keine chance auf Zugriff auf den Router, selbst nach hard-reset, warten auf dhcp-vergabe oder wechseln des adressbereiches des zugreifenden rechners besteht keinerlei datenaustausch, komischerweise besteht datenverkehr im "heimatlichen" ip-netz, denn sobald ich im ip-bereich der vermuteten ip-adresse nach hard-reset (192.168.11.1) mich begebe, erkenne ich unter "status der lan-verbindung" keinerlei datenverkehr -> 0 empfangene bytes

Wie das???

meine erklärung ist einerseits, dass sich der router zwar noch im adressbereich befinden muss, andererseits -> unter welcher IP???

Hepl wanted

PS: nach möglichkeit komme ich mit dem Teil beim nächstem stammtisch vorbei, wer will kann sich dran versuchen

[tox]

komischerweise besteht datenverkehr im "heimatlichen" ip-netz, denn sobald ich im ip-bereich der vermuteten ip-adresse nach hard-reset (192.168.11.1) mich begebe, erkenne ich unter "status der lan-verbindung" keinerlei datenverkehr -> 0 empfangene bytes

die schlussfolgerung versteh ich nicht. wenn du kein verkehr angezeigt wird, wie kommst du darauf, dass verkehr stattfindet?

[Erfrischungsgetraenk]

Schlussfolgern tue ich das aus Ergebnissen: Sobald ich meinen Rechner (Nr.2) unter seiner "Haus-IP" laufen lasse, kann ich problemlos auf Daten im Heim-Netzwerk zugreifen. Im Statusfenster werden gesendete und empfangene Bytes angezeigt (logisch). Nach Hard-Reset vom Router und Vergabe einer IP im Bereich der zu erwartenden Router-IP nach Hard-Reset war kein Datenverkehr im Stausfenster zu beobachten, vom Zugriff auf den Router oder die anderen Rechner im Netz zu schweigen. Auch nach erneuten Starten des Routers und des Rechners, welcher auf Adresse vom DHCP-Client wartete war kein Erfolg zu verzeichnen. Im endgültigen Umkehrschluss -> nach Neuadressierung des Rechners war wieder Datendurchfluss durch Router zu Rechner und LAN zu verzeichnen, jedoch immer noch kein Zugriff auf den Router.
Das selbe Problem wie bisher

[tox]

sag das doch gleich, dass du meinst, dass zwar grundsätzlich verkehr stattfindet, aber im speziellen nicht, wenn du die netzkonfiguartion an den router anpasst. nun ja, die lan-anschlüsse fungieren unabhängig von der erreichbarkeit des gerätes als ziel auch als switch. insofern is das normal, dass datenverkehr stattfinden kann, selbst wenn du irgendeine adresse benutzt. meine nächste idee wäre es, dass du mal ausprobierst, zwei rechner mit dem erwarteten adressbereich zu versehen (meinetwegen nummer 2 und 3) und dann datenverkehr zwischen den beiden verursachst und schaust, ob das funktioniert. ansonsten bin ich ziemlich ratlos und würde mir das gerät einfach persönlich mal anschaun wollen.

edit: unabhängig von dem zugriffsproblem auf den router, is mir noch was zu meinem vorschlag für die verkabelung oben eingefallen (oder vielmehr 3dfx hat mich dadrauf gebracht, danke dir an der stelle ). man hat ja bei der variante prinzipiell das problem, dass sämtliche rechner, die nicht am wan-port des routers 3 hängen, sich in einem subnetz des netzwerks am wan-port befinden, sodass rechner 1 und 4 nicht auf die rechner 2 und 3 zugreifen können, weil jede adresse 102.168.1.0/25 sofort ins internet über router 1 geroutet würde. dafür gibs auch unter windows (ja, man höre und staune) eine einfache lösung, man muss dort nur routen einrichten:

statt:
route add 192.168.1.0 mask 255.255.255.128 127.0.0.1 192.168.132(bzw. 133) metric 10

das:
route add 192.168.1.0 mask 255.255.255.0 127.0.0.1 192.168.132(bzw. 133) metric 5

damit wird der bereich 192.168.1.0/24 auf deinem lokalen rechner jeweils direkt in ein das lokale netzwerk geroutet.

[Erfrischungsgetraenk]

drei grosse fregezeichen - oder böhmische dörfer

weil ich habe mir mein netzwerkwissen alles nur learning by doing angeeignet, insofern sagt mir der begriff routen einrichten mittlerweile zwar etwas, aber wie und vor allem unter windows das gehen soll, keine ahnung

zum edit -> ich kann im lokalem netzwerk problemlos von rechner 1 und 4 auf sämtliche zugreifen. habe das ganze mit Netzwerkbrücke unter win xp gelegt, sodass jeder rechner unabhängig von der anzahl der NW-Adapter nur eine IP hat. scheinbar deswegen funzt zwar meine bluetoth - I-Net freigabe für´s Handy nicht mehr, aber das ist zweitrangig. Wan ports habe ich nur auf router 1 und 3 für´s I-Net belegt, es ist alles über die Lan-Ports angeschlossen.

Kannst dir davon unabhängig gern das Teil mal aus der Nähe oder in Aktion ansehen, scheinbar habe ich ja trotzdem hin und wieder al ein paar Datenfetzen von SAW empfangen, mein Node ist ja gelb in der Topographie hinterlegt. Noch ein Punkt für den Router, welcher scheinbar auch im W-Lan Bereich seine Arbeit verrichtet. Am 5.6. sieht es schlecht aus mit vorbeikommen zum Treffen, habe 13:00Uhr-Schicht, ansonsten anmailen wegen eventuellem Termin.

[tox]

drei grosse fregezeichen - oder böhmische dörfer

weil ich habe mir mein netzwerkwissen alles nur learning by doing angeeignet, insofern sagt mir der begriff routen einrichten mittlerweile zwar etwas, aber wie und vor allem unter windows das gehen soll, keine ahnung

klar, mittels des kommandozeilenbefehls route ^^

zum edit -> ich kann im lokalem netzwerk problemlos von rechner 1 und 4 auf sämtliche zugreifen. habe das ganze mit Netzwerkbrücke unter win xp gelegt, sodass jeder rechner unabhängig von der anzahl der NW-Adapter nur eine IP hat.

ja, in deiner aktuellen konfiguration geht das so. das problem is aber, dass dann der router 3 gar kein internet findet und dadurch auch keins dem freifunk zur verfügung stellt, wie du es eigentlich möchtest.

[...], mein Node ist ja gelb in der Topographie hinterlegt.

genau, gelb bedeutet, du teilst kein internet

[...], ansonsten anmailen wegen eventuellem Termin.

ich hab in den nächsten wochen prinzipiell immer zeit.

[tox]

wir haben gleich nächste woche wieder einen stammtisch am dienstag, kannst du da vorbeikommen? sonst würd ich mittwoch mal als termin vorschlagen, ganztägig hab ich zeit.