Freifunk Halle

Hallo Gemeinde,

ich möchte mich als neues Mitglied bei den Freifunkern in Halle vorstellen.
Ich hatte gestern die Möglichkeit erste Eindrücke beim Treffen im Eigenbaukombinat zu sammeln und wurde freundlich aufgenommen. Vielen Dank den Freifunkern und den Eigenbaukombinatlern.

Leider hab ich nicht die Möglichkeit an meinem Standort das Dach zu nutzen. Der Balkon in der fünften Etage lässt erfreulicherweise eine Installation einer Richtfunkantenne in Richtung Südosten zu. Meinen Internetzugang kann ich bei Interesse per VPN-Tunnel zur Verfügung stellen.

Leider fehlen mir aktuell (laut Karte) noch Link-Partner in der Silberhöhe. Ich hoffe dass sich das Problem mit der Zeit auflöst.

kwm hat mir gestern einen fertigen Router angeboten, auf den ich evtl. zurückgreifen werde. Bis jetzt hab ich mich noch nicht mit dem Für und Wider auseinandersetzen können.


Mit freundlichem Gruß
Alexander Rosche

Willkommen!

dac524 hat geschrieben:Bis jetzt hab ich mich noch nicht mit dem Für und Wider auseinandersetzen können.

Freifunk fetzt, entscheide dich "dafür"

tmk hat geschrieben:Willkommen!
Freifunk fetzt, entscheide dich "dafür"

Damit war nur der Router von kwm gemeint.

Gruß Alex...

Bisschen kurzfristik kannst du heute ca. 20 Uhr.

kwm hat geschrieben:Bisschen kurzfristik kannst du heute ca. 20 Uhr.

Bei Dir zu Hause?

Ja

kwm hat geschrieben:Ja

Ist gebongt.

Adresse steht im Impressum.

.



Schutz des Heimnetzwerks



Hallo,

und vielen Dank an kwm fürs Einrichten.

Das Gerät funktioniert.

Die Tunnel werden aufgebaut und Verbindungen durch gereicht.

Die Verkabelung erfolgte nach dem Beispiel des Standard-Falls in der Meshkit-Dokumentation. Das heißt, dass der WAN-Port des FF-Routers mit einer LAN-Buchse des LAN-Routers verbunden wurde.

http://doc.meshkit.freifunk.net/daily/h ... imnetzwerk.

Aufgrund meiner Paranoia hab ich mir die Sache etwas genauer angesehen und festgestellt, dass das eigene LAN nach Außen hin Sichtbar ist.

In der Dokumentation des Meshkits wird eine "Heimnetzwerk schützen - Option" beschrieben, die beim Erstellen der Firmware gesetzt werden kann.

Im fertig geflashten Router hab ich keine Option oben genannter Art finden können, um das eigene LAN zu schützen. Fehlt diese Option? Hab ich sie übersehen? Oder kann sie grundsätzlich nur bei der Firmware-Erstellung gesetzt werden?

Vielen Dank für Eure Antworten...

Mit freundlichem Gruß
Alexander Rosche

Welches Netz bezeichnest du jetzt als dein privates LAN? Das am LAN-Port(gelb) des Freifunkrouters oder das zwischen dem WAN-Port(blau) des Freifunkrouters und dem LAN-Port deines DSL-Routers?
Habe das jetzt bei mir getestet.

Im Ergebnis es ist keine IP-Adresse aus meinem Netz zwischen WAN-Port(blau) des Freifunkrouters und LAN-Port des DSL-Routers aufrufbar.

Richtig ist, das IP-Adressen am LAN-Port(gelb) des Freifunkrouters aufrufbar sind. Diese werden aber nicht weitergeleitet, sind also nur lokal vom jeweiligen Freifunkrouter aufrufbar.

Die Bezeichnung Anhalter-Platz ist besser als Hanoier Str.

Guten Morgen,

kwm hat geschrieben:Welches Netz bezeichnest du jetzt als dein privates LAN? Das am LAN-Port(gelb) des Freifunkrouters oder das zwischen dem WAN-Port(blau) des Freifunkrouters und dem LAN-Port deines DSL-Routers?

am LAN-Port (gelb) des Freifunkrouters ist nichts angeschlossen. Mein privates LAN ist das, welches am alten Router (gelbe Ports) hängt. Die dort laufenden Server ( Samba, Mail, DNS, VNC, SSH, DLNA )sind über den ungeschützten Freifunkrouter erreichbar.

kwm hat geschrieben: Habe das jetzt bei mir getestet.

Im Ergebnis es ist keine IP-Adresse aus meinem Netz zwischen WAN-Port(blau) des Freifunkrouters und LAN-Port des DSL-Routers aufrufbar.

Vielleicht verstehe ich ja etwas falsch, aber was soll den zwischen WAN-Port-FF-Router (blau) und LAN-Port-DSL-Router angeschlossen sein? Der FF-Router hängt doch am Switch des DSL/Kabel-Routers parallel zu anderen Rechnern im eigenen LAN. Nur dass er einen eigenen Adressbereich
nutzt.

Richtig ist, das IP-Adressen am LAN-Port(gelb) des Freifunkrouters aufrufbar sind. Diese werden aber nicht weitergeleitet, sind also nur lokal vom jeweiligen Freifunkrouter aufrufbar.

Wie gesagt. Da hängt nix dran.

Die Bezeichnung Anhalter-Platz ist besser als Hanoier Str.

Finde ich auch. Ich strebe an dass FF dann dort auch erreichbar sein wird.
Ich hab übrigens noch zwei Router bestellt, die ich an exponierter Lage einrichten möchte.

Danke für die Antwort.

Mit freundlichem Gruß
Alexander Rosche

Gut, damit ist erst mal klar was wir jetzt als privates LAN bezeichnen. Es ist das Netz deines DSL-Routers. Aus diesem privaten LAN dürfte nichts zu erreichen sein. Da dieses Netz wie du schreibst doch erreichbar ist, liegt hier irgendein Fehler vor.

Kannst Du den Freifunkrouter in einer DMZ einsperren? Damit wäre das Problem erst mal gelöst, ohne die genaue Ursache zu kennen.

Hast du am Freifunkrouter noch etwas geändert?

Hallo,

kwm hat geschrieben: Gut, damit ist erst mal klar was wir jetzt als privates LAN bezeichnen. Es ist das Netz deines DSL-Routers. Aus diesem privaten LAN dürfte nichts zu erreichen sein. Da dieses Netz wie du schreibst doch erreichbar ist, liegt hier irgendein Fehler vor.

das sehe ich auch so.

Das ist übrigens mein Privat-Router:

• Model: Vigor2130n
  Firmware Version: v1.5.3
  Build Date/Time: Tue Nov 6 16:06:14 CST 2012
  System Date: Mon May 12 12:37:24 2014

kwm hat geschrieben: Kannst Du den Freifunkrouter in einer DMZ einsperren? Damit wäre das Problem erst mal gelöst, ohne die genaue Ursache zu kennen.

Um ihn in eine DMZ zu sperren, verlangt der Kabel-Router eine IP im eigenen Adressraum.
Vereinbart sich das mit den WAN-Einstellungen des Freifunkrouters? Dort wird ja für die Zuweisung Halle-DHCP verwendet.

kwm hat geschrieben: Hast du am Freifunkrouter noch etwas geändert?

Folgende Dinge hab ich geändert:

• Standort
  Kontakt-Daten
  LAN-IP (mehrere Varianten - eigener Adressraum, abweichender Adressraum)

Mehr war das glaub ich nicht. Ich bin kurz davor den Router noch einmal sauber zu flashen.

Mit freundlichem Gruß
Alexander Rosche

Nein da musst du nichts ändern, die Option Halle-DHCP macht alles automatisch.

3dfxatwork hat geschrieben:Nein da musst du nichts ändern, die Option Halle-DHCP macht alles automatisch.

Mein Kabel-Router hat die IP 192.168.1.1. Das Netzwerk entsprechend 192.168.1.1-.
Welche IP-Adresse (Kabel-Router) soll denn da als DMZ eingetragen werden?
Die IP der WAN-Schnittstelle am FF-Router liegt ja in einem anderen Adressraum.

Zeigt dir der Kabelrouter an, welche IP er dem Freifunkrouter zugewiesen hat und kannst du am Kabelrouter einstellen, das dem Freifunkrouter immer die selbe IP zugewiesen wird. Wenn ja, dann sperst du diese IP in die DMZ.
Und ja das ist die IP am WAN-Port des FF-Routerd.

kwm hat geschrieben:Zeigt dir der Kabelrouter an, welche IP er dem Freifunkrouter zugewiesen hat und kannst du am Kabelrouter einstellen, das dem Freifunkrouter immer die selbe IP zugewiesen wird. Wenn ja, dann sperst du diese IP in die DMZ.
Und ja das ist die IP am WAN-Port des FF-Routerd.

Ich nutze einen extra DHCP/DNS-Server im LAN, der alle an den Kabel-Router angeschlossenen Geräte bedient und Müll aus dem Inet verwirft. Der DHCP-Server des Kabelrouters ist abgeschaltet. Ich habe dem FF-Router eine feste IP über meinen im LAN befindlichen DHCP-Server zugewiesen. Der DHCP-Server erhält jedoch keine Anfrage, so dass die IP nicht zugewiesen wird. Wenn ich das Kabel einstecke (FF-Router/blau Kabel-Router/gelb) passiert gar nichts. Die Schnittstelle wird in den Logs lediglich als UP angezeigt. Möglicherweise würde dieser Aufbau ehh nicht funktionieren, wenn der FF-Router in der DMZ wäre und ein im LAN erreichbarer DHCP-Server sich um die IP-Adresse kümmern soll.

Ich werde den Router neu flashen und hoffen, dass das Problem dann gelößt ist. . Ich werde beim erstellen durch das Meshkit die Option "Heimnetzwerk schützen" auswählen. Ich denke dass hier die Lösung für mein ursprüngliches Problem liegt.

Vielen Dank für Eure Antworten.


Mit freundlichem Gruß
Alexander Rosche

dac524 hat geschrieben:Ich werde beim erstellen durch das Meshkit die Option "Heimnetzwerk schützen" auswählen.

Die ist bei uns standardmäßig ausgewählt.

Ich empfehle einfach ein 2. VLAN zu benutzen und auf deinem Router per Firewall die Bereiche zu trennen. Ich weiß nicht was die DMZ-Implementierung von Vigor genau macht, aber möglicherweise halt keine Trennung per VLAN und dann auf dem Vigor noch einen DHCP für das 2. VLAN einschalten. Oder wenn du keinen 2. DHCP Server willst, dann vergibt statische Adressen und füge die hier beschriebenen statischen Routen zum FF-Router hinzu.

3dfxatwork hat geschrieben:

dac524 hat geschrieben:Ich werde beim erstellen durch das Meshkit die Option "Heimnetzwerk schützen" auswählen.

Die ist bei uns standardmäßig ausgewählt.

<span>Ich empfehle einfach ein 2. VLAN zu benutzen und auf deinem Router per Firewall die Bereiche zu trennen. Ich weiß nicht was die DMZ-Implementierung von Vigor genau macht, aber möglicherweise halt keine Trennung per VLAN und dann auf dem Vigor noch einen DHCP für das 2. VLAN einschalten. Oder wenn du keinen 2. DHCP Server willst, dann vergibt statische Adressen und füge die [url=<a href="https://www.freifunk-halle.net/mediawik ... t_mit_Luci]hier[/url]" class="smarterwiki-linkify">https://www.freifunk-halle.net/mediawik ... t_mit_Luci]hier[/url]</a> beschriebenen statischen Routen zum FF-Router hinzu.</span>

Guten Morgen,

genau das hab ich gemacht:

* Firmware neu aufgespielt (die Netzwerk-Schützen-Option verwendet)
* VLAN für FF-Router aufgemacht
* DHCP-Server auf Kabel-Router mit fester IP für FF-Router
( setzt sich selbst als DNS-Server und Default-Route )
eingerichtet; der DHCP/DNS-Server im LAN ist nicht sichtbar
* DMZ-Einrichtung für FF-Router wieder rückgängig gemacht

Jetzt ist nur noch der Kabel-Router sichtbar, welcher jedoch Passwort-geschützt ist und es funktioniert alles. Ohne eigenes VLAN greift der FF-Router immernoch auf das heimische LAN hinter dem Kabelrouter zu. Warum weiß ich nicht. Wie auch immer. Der FF-Router ist eingesperrt und ich hab eine Lösung die funktioniert. Jeder sollte dennoch prüfen, dass nix nach draußen gelangen kann. Das ganze hatte auch etwas Gutes. Man lernt dazu, wenn man erst einmal selbst alles eingerichtet hat.


Mit freundlichem Gruß
Alexander Rosche

Ich habe gerade auch festgestellt, dass mein LAN mit der neuen Firmware erreichbar ist.
Nur WAN angeschlossen, Firmware geflasht (LAN-schützen ausgewählt), auf Halle-DHCP umgestellt.

Jetzt werde ich nochmal die alte Variante probieren.
Da war das LAN nicht erreichbar.

Edit:

Auch bei der "alten" Herangehensweise (bis 04.05.) ist bei aktueller Firmware das LAN erreichbar.

Ich finde den bei freifunk.net beschriebenen Standardfall gar nicht mal so gut gewählt, ich würde lieber den ff-router vor den "Heimrouter" stellen, bzw. die meißten haben dann nur noch einen FF Router. Aber dazu haben wir noch keine Strategie, wie man das am besten einstellt, sodass es "einfach" funktioniert.

Und nun?
Das LAN Kabel kann man ja einfach abziehen. Die Beste Firewall die es gibt.
Beim WAN-Kabel kann man das auch machen, nur wird's dann mit dem VPN schwierig

Habe den Effekt letzte Nacht nachstellen können.
Privates LAN 10.0.0.0/13 keine reinkommen. Wenn ich es ändere auf 192.168.0.0/16 dann kommt man rein.

Das war in einer älteren Version aber nicht so.
Ich hatte das schon mal probiert.
Da kam ich auch mit 192.168... nicht rein.

Gut zu wissen.

So, FW neu erstellt.
Dabei Halle-DHCP in DHCP geändert damit die Optionen eingeblendet werden.
Zugriff über WAN-Schnittstelle abgewählt.
Wieder in Halle-DHCP geändert.
FW erstellt und geladen.
-> kein Zugriff aufs LAN, keine Internetverbindung über den FF-Router
Zertifikate kopiert und neu gebootet.
-> Tunnel stehen, kein Zugriff aufs LAN,

Klops hat geschrieben:So, FW neu erstellt.
Dabei Halle-DHCP in DHCP geändert damit die Optionen eingeblendet werden.
Zugriff über WAN-Schnittstelle abgewählt.
Wieder in Halle-DHCP geändert.
FW erstellt und geladen.
-> kein Zugriff aufs LAN, keine Internetverbindung über den FF-Router
Zertifikate kopiert und neu gebootet.
-> Tunnel stehen, kein Zugriff aufs LAN,

OK, dann braucht 3dfx nur an den Voreinstellungen im Meshkit nochmal etwas ändern. Werden wir heute besprechen und dann testen.

Naja, der Nachteil besteht natürlich darin, dass ich dann über den WAN-Port nicht mehr auf den Router komme.
Ich habe jetzt wir 3dfx mal beschrieben hat:

"auf dem Router unter Administration, Netzwerk, Firewall, Verkehrsregeln: eine neue Regel anlegen, dass aus dem Bereich WAN auf das gerät zugegriffen werden darf. Dazu unter "Ports auf dem Router öffnen" eine Regel hinzufügen mit Name, Protokoll: TCP, Port: 80."

gemacht.
Funktioniert. D.h. aus dem LAN auf den Router ist möglich. Aus dem FF-Netz in das LAN nicht.

Nachtrag:

Ich habe festgestellt, dass die WAN-Schnittstelle auf "DHCP-Cist ein Zugriff auf das LAN aus dem FF-Netz wieder möglich!lient" stand, obwohl ich im Meshkit "Halle-DHCP" ausgewählt hatte.
Nach Änderung auf "Halle-DHCP" ist ein Zugriff auf das LAN aus dem FF-Netz wieder möglich!

Nebenbei bemerkt ist die Internetverbindung über die Tunnel bei mir mit 0,3MBit/s arschlahm.
Ich fange also nochmal von vorn an.

Ja es gibt noch einen Fehler, sodass Halle-DHCP nicht aus dem Meshkit übernommen wird, das muss ich mal noch irgendwann berichtigen.

Zu dem LAN Problem, das muss ich mir erst mal genauer anschauen.

Ja der Tunnel nach Schweden ist wohl gerade ganz langsam, ich werde ihn gleich mal neustarten, vielleicht wird es dann besser.

Klops hat geschrieben: Dabei Halle-DHCP in DHCP geändert damit die Optionen eingeblendet werden.
Zugriff über WAN-Schnittstelle abgewählt.

Die Optionen werden jetzt auch bei Halle-DHCP angezeigt.
Es gibt dort 4 Optionen, welche genau hast du abgewählt, vermutlich "erlaube SSH" und "erlaube Webzugriff"?
Ich habe jetzt einfach beide standardmäßig abgeschalten. Kann das mal jemand ausprobieren?