[hannover] Freifunk bei uns im Verein

Mytze freifunk at kreutzer-it.de
Do Jan 1 20:46:19 CET 2015 

Hallo, Robert.

Schön, dass ihr auf uns aufmerksam geworden seid.

Ich denke, dass sich eure Erwartungen an Freifunk realisieren lassen.

*** SIP-Telefonie:

Ich kenne die aktuelle Speedport-Serie nicht. Vor einigen Jahren ist die
Telekom mit der Speedport-Serie zu Acadyn gewechselt und lässt dort ihre
Router produzieren. Die vormals verwendeten AVM-Geräte beherrschten alle
eine Priorisierung von Diensten wie zum Beispiel VoIP. Ich denke, dass
auch die aktuellen Geräte solche Eigenschaften mitbringen. Störungsfreie
Telefonie sollte so auch bei ausgelasteter DSL-Leitung möglich sein.

Funkstrecken zwischen Freifunk-Router und Freifunk-Router, oder
Freifunk-Router und Klient entsprechen derzeit N-Standard, die
verschlüsselten Tunnel der Uplinks in unsere Server begrenzen den
Datendurchsatz je nach Gerät auf 12 bis 30 MBit. Darüber hinaus kann man
auf jedem Freifunk-Router, der einen VPN-Tunnel als Uplink aufbauen
soll, sowohl im Upload als auch im Download beschränken. Erfahrungsgemäß
macht es Sinn dem Freifunk-Router 40 bis 80% der zur Verfügung stehenden
Bandbreite von Up und Download zuzuweisen. Diese Angaben sind statisch
im Freifunk-Router zu hinterlegen.

*** Trennung der Netze:

Unsere Freifunk-Router brauchen für die Nutzung eines Uplinks zu den
Freifunk-Gateways die Möglichkeit per DNS (UDP Port 53) die
Internet-Adressen unserer Server aufzulösen. Für den Aufbau von
verschlüsselten Tunneln zu den Gateways UDP Port 10000. Das Einbinden
eines Freifunk-Routers kann "automatisch" per DHCP oder "statisch"
gesetzt werden. Zugriff aus dem Freifunk-Netz auf die darunterliegenden
Heimnetzwerke ist Klienten nicht möglich. Einzig allein der "Root" des
Freifunk-Routers hat die Möglichkeit durch den Zugriff auf das Gerät in
das darunterliegende Heimnetzwerk zuzugreifen. Der Root-Zugang auf dem
Freifunk-Router wird durch "Passwort" oder "SSH-Key" gesichert, kann
aber auch deaktiviert werden, dann kann man sich nur noch durch
physikalischen Zugriff Zugang zum Freifunk-Router verschaffen.

Eine zusätzliche Trennung der Netze zum Beispiel durch IPCOP ist
durchaus eine sinnvolle Lösung, aber nicht zwingend notwendig.

Für die Installation eines Freifunk-Routers in eurer Infrastruktur
kommen 2 Stellen in Frage.
1.) Direkt am Speedport, der Freifunk-Router liegt dann aus Sicht eures
gesicherten "grünen" LANs an der "roten" Schnittstelle eurer IPCOP Firewall.
2.) An der "blauen" LAN-Schnittstelle eurer IPCOP-Firewall. Im "blauen"
Netz sollte es dem Freifunk-Router gestattet werden DNS-Anfragen an
IPCOP oder den Speedport auf Port 53 UDP zu versenden und über UDP auf
Port 10000 Verbindungen zu unseren Servern aufzubauen.

*** Freifunk Kabelgebunden

Die meisten der von uns unterstützen Freifunk-Router haben neben einem
WAN Port für den Uplink noch 4 weitere Anschlußmöglichkeiten für
Netzwerkgeräte. Diese 4 Ports sind meist farblich abgegrenzt und werden
über ein virtuelles Interface in das Freifunk-Netz gebrückt.
Netzwerkgeräte an diesen Switch-Ports erhalten IP-Adressen aus dem
Freifunk und können transparent mit Freifunk und untereinander
kommunizieren. Es ist möglich das Freifunk-Netz über Kabel mit einzelnen
PCs zu verbinden, die Ports über Switche weiter zu verteilen oder auch
einen weiteren NAT-Router anzuschliessen.
Freifunk betreibt zwar einen privaten IP-Adressraum, der vom Internet
durch NAT abgegrenzt ist, Freifunk selber ist aber als öffentliches
Netzwerk anzusehen. Sowohl Klienten in den Hotspots als auch
kabelgebundene Klienten sollten über eine Firewall verfügen, nicht
benötigte Dienste abgeschaltet werden. Private Kommunikation ist wie im
Internet durch zusätzliche Verschlüsselung zu schützen.

Frohes Neues!

Mytze


On 01.01.2015 17:41, Robert Räke wrote:
> Hallo,
> 
> wir haben bei uns im Verein ca. 45 km nördlich von Hannover ein LAN, das
> folgendermaßen aufgebaut ist:
> Der Internetzugang mit SIP-Telefonie wird aktuell über einen Speedport
> realisiert. Hinter dem Speedport sitzt ein IPCOP.
> Auf der "grünen" Schnittstelle befindet sich das LAN des Vorstandsbüros
> mit 2 PCs und einer NAS.
> Auf der "blauen" Schnittstelle befindet sich ein LAN mit 2 PCs sowie 2
> offenen WLAN Access Points bei uns auf dem Gelände, die nur über den
> Proxy-Server des IPCOPs ins Internet gelangen. Hierfür sind für die
> Vereinsmitglieder lokale Benutzerkonten auf dem Proxy-Server
> eingerichtet. Ein Zugriff von dem "blauen" Netzwerk auf das "grüne" ist
> im IPCOP unterbunden.
> 
> Da einige Vereinsmitglieder mit der Nutzung des Proxy-Servers
> überfordert sind, möchte ich unserem Vorstand gerne vorschlagen,
> Freifunk einzurichten. Hinzu kommt, dass so auch den Gästen unserer
> Vereinsgaststätte der Internetzugang ermöglicht wird.
> Hierzu müssen allerdings folgende Bedingungen erfüllt sein:
> 
>   * Ein Zugriff von dem Freifunk-Netzwerk (derzeit "blaues" Netzwerk)
>     auf das LAN des Vorstandbüros (derzeit "grünes" Netzwerk) darf nicht
>     möglich sein.
>   * Die SIP-Telefonie muss weiterhin möglich sein.
>   * Es müssen auch Geräte über LAN (Kabel) an Freifunk angebunden werden
>     können.
> 
> Kann das realisiert werden?
> 
> Viele Grüße
> 
> Robert
> 
> 
>

Mehr Informationen über die Mailingliste hannover