[hannover] Freifunk bei uns im Verein

Robert Räke robert at raeke.net
So Jan 4 00:02:47 CET 2015 

Hallo Mytze, hallo Dominik,

vielen Dank für die schnellen Antworten. Um den administrativen Aufwand
so gering wie möglich zu halten, würde ich den IPCOP gerne außer Betrieb
nehmen, und den Freifunk-Router direkt am Speedport betreiben. Da
zwischen den Gebäuden zum Teil LAN-Kabel verlegt sind, kann ich die den
zweiten WLAN Access Point direkt am Freifunk-Router betreiben. Die
Geräte aus dem Vorstandsbüro können dann zukünftig direkt an dem
Speedport betrieben werden, ohne dass Sicherheitsbedenken bestehen.

Um darzustellen, wie ich das Netz aufbauen möchte, habe ich hier mal
eine ganz grobe Skizze hinterlegt:
http://www.file-upload.net/download-10086957/Freifunk.pdf.html

Bleiben sonst noch drei kurze Fragen:

  *     Ist Freifunk Hannover der Richtige Ansprechpartner für einen
    Hotspot in Hodenhagen?
  *     Kann der Freifunk-Router DHCP  auf den WLAN-/LAN-Schnittstellen
    bzw. kann die Subnetmask frei angepasst werden?
  *     Werden Port-Weiterleitungen in das Freifunk-Netz unterstützt?

Ansonsten kann ich Freifunk unserem Vorstand demnächst mal präsentieren.
Vielen Dank für eure Unterstützung!

Viele Grüße

Robert

Am 01.01.2015 um 21:12 schrieb Raute:
> Hallo Robert,
>  
> jetzt war Mytze schneller als ich, aber zum wegwerfen ist mir meine Mail auch zu schade. Doppelt hält besser. 
>
>
> Schön, dass ihr euch für Freifunk interessiert.
> Was du beschreibst klingt erstmal nicht außergewöhnlich: Ihr möchtet Zugang zum Freifunk-Netz bieten, ohne dass Nutzer in euer privates Netzwerk gelangen können, dass weiter normal funktionieren soll.
>  
>  Der Zugang zu Freifunk erfolgt über einen separaten Router, auf dem die Freifunk-Firmware läuft. Wenn dieser Router eine Internetverbindung hat, nutzt er diese nur, um einen verschlüsselten Tunnel zum Rest des Freifunk-Netzes aufzubauen. Durch diesen Tunnel wird aller Datenverkehr geleitet, der im offenen WLAN anfällt. Der Nutzer "sieht" also euer internes Netzwerk gar nicht.
>  
>  Ob ihr zwischen eurem Speedport und dem Freifunk-Router noch den IPCOP einsetzen wollt bleibt euch überlassen. Bei mir zu Hause hängt der Freifunk-Router direkt am Netzwerk. Der Tunnel des Freifunk-Routers verhindert dabei, dass sich meine Nachbarn die Urlaubsfotos auf meiner NAS ansehen.
>  
>  Am Freifunk-Router gibt es – je nach verwendetem Gerät – meist mehrere freie  Netzwerk-Anschlüsse. Was dort angeschlossen wird befindet sich genau so im Freifunk-Netz, als wenn es eine WLAN-Verbindung hätte. Hier könntet ihr also z.B. eure öffentlichen PCs anstöpseln.
>  
>  Euer privates Netzwerk (inklusive NAS, SIP und was immer ihr dort sonst noch tut) funktioniert normal weiter. Es kann höchstens (wie jetzt auch) passieren, dass die Internetverbindung langsamer wird, wenn das offene WLAN intensiv genutzt wird. In diesem Fall gibt es die Möglichkeit, den Freifunk-Router zu drosseln – meistens ist das aber nicht notwendig.
>  
>  Router mit der Freifunk-Firmware verbinden sich per WLAN auch untereinander. Wenn also z.B. der Freifunk-Empfang in eurer Gaststätte nicht so gut ist, könnt ihr dort einen zweiten Freifunk-Router aufstellen. Weil der keine direkte Internetverbindung hat, nutzt er automatisch per Funk die Verbindung des anderen Freifunk-Routers, solange dieser noch in Reichweite ist.
>  
>  Ich hoffe ich konnte deine Fragen beantworten. Infos gibt es auch in unserem Wiki, unter http://hannover.freifunk.net/wiki .
>  
>  Viele Grüße
>  Dominik
>
> Am 1. Januar 2015 20:46:19 MEZ, schrieb Mytze <freifunk at kreutzer-it.de>:
>> Hallo, Robert.
>>
>> Schön, dass ihr auf uns aufmerksam geworden seid.
>>
>> Ich denke, dass sich eure Erwartungen an Freifunk realisieren lassen.
>>
>> *** SIP-Telefonie:
>>
>> Ich kenne die aktuelle Speedport-Serie nicht. Vor einigen Jahren ist
>> die
>> Telekom mit der Speedport-Serie zu Acadyn gewechselt und lässt dort
>> ihre
>> Router produzieren. Die vormals verwendeten AVM-Geräte beherrschten
>> alle
>> eine Priorisierung von Diensten wie zum Beispiel VoIP. Ich denke, dass
>> auch die aktuellen Geräte solche Eigenschaften mitbringen.
>> Störungsfreie
>> Telefonie sollte so auch bei ausgelasteter DSL-Leitung möglich sein.
>>
>> Funkstrecken zwischen Freifunk-Router und Freifunk-Router, oder
>> Freifunk-Router und Klient entsprechen derzeit N-Standard, die
>> verschlüsselten Tunnel der Uplinks in unsere Server begrenzen den
>> Datendurchsatz je nach Gerät auf 12 bis 30 MBit. Darüber hinaus kann
>> man
>> auf jedem Freifunk-Router, der einen VPN-Tunnel als Uplink aufbauen
>> soll, sowohl im Upload als auch im Download beschränken.
>> Erfahrungsgemäß
>> macht es Sinn dem Freifunk-Router 40 bis 80% der zur Verfügung
>> stehenden
>> Bandbreite von Up und Download zuzuweisen. Diese Angaben sind statisch
>> im Freifunk-Router zu hinterlegen.
>>
>> *** Trennung der Netze:
>>
>> Unsere Freifunk-Router brauchen für die Nutzung eines Uplinks zu den
>> Freifunk-Gateways die Möglichkeit per DNS (UDP Port 53) die
>> Internet-Adressen unserer Server aufzulösen. Für den Aufbau von
>> verschlüsselten Tunneln zu den Gateways UDP Port 10000. Das Einbinden
>> eines Freifunk-Routers kann "automatisch" per DHCP oder "statisch"
>> gesetzt werden. Zugriff aus dem Freifunk-Netz auf die darunterliegenden
>> Heimnetzwerke ist Klienten nicht möglich. Einzig allein der "Root" des
>> Freifunk-Routers hat die Möglichkeit durch den Zugriff auf das Gerät in
>> das darunterliegende Heimnetzwerk zuzugreifen. Der Root-Zugang auf dem
>> Freifunk-Router wird durch "Passwort" oder "SSH-Key" gesichert, kann
>> aber auch deaktiviert werden, dann kann man sich nur noch durch
>> physikalischen Zugriff Zugang zum Freifunk-Router verschaffen.
>>
>> Eine zusätzliche Trennung der Netze zum Beispiel durch IPCOP ist
>> durchaus eine sinnvolle Lösung, aber nicht zwingend notwendig.
>>
>> Für die Installation eines Freifunk-Routers in eurer Infrastruktur
>> kommen 2 Stellen in Frage.
>> 1.) Direkt am Speedport, der Freifunk-Router liegt dann aus Sicht eures
>> gesicherten "grünen" LANs an der "roten" Schnittstelle eurer IPCOP
>> Firewall.
>> 2.) An der "blauen" LAN-Schnittstelle eurer IPCOP-Firewall. Im "blauen"
>> Netz sollte es dem Freifunk-Router gestattet werden DNS-Anfragen an
>> IPCOP oder den Speedport auf Port 53 UDP zu versenden und über UDP auf
>> Port 10000 Verbindungen zu unseren Servern aufzubauen.
>>
>> *** Freifunk Kabelgebunden
>>
>> Die meisten der von uns unterstützen Freifunk-Router haben neben einem
>> WAN Port für den Uplink noch 4 weitere Anschlußmöglichkeiten für
>> Netzwerkgeräte. Diese 4 Ports sind meist farblich abgegrenzt und werden
>> über ein virtuelles Interface in das Freifunk-Netz gebrückt.
>> Netzwerkgeräte an diesen Switch-Ports erhalten IP-Adressen aus dem
>> Freifunk und können transparent mit Freifunk und untereinander
>> kommunizieren. Es ist möglich das Freifunk-Netz über Kabel mit
>> einzelnen
>> PCs zu verbinden, die Ports über Switche weiter zu verteilen oder auch
>> einen weiteren NAT-Router anzuschliessen.
>> Freifunk betreibt zwar einen privaten IP-Adressraum, der vom Internet
>> durch NAT abgegrenzt ist, Freifunk selber ist aber als öffentliches
>> Netzwerk anzusehen. Sowohl Klienten in den Hotspots als auch
>> kabelgebundene Klienten sollten über eine Firewall verfügen, nicht
>> benötigte Dienste abgeschaltet werden. Private Kommunikation ist wie im
>> Internet durch zusätzliche Verschlüsselung zu schützen.
>>
>> Frohes Neues!
>>
>> Mytze
>>
>>
>> On 01.01.2015 17:41, Robert Räke wrote:
>>> Hallo,
>>>
>>> wir haben bei uns im Verein ca. 45 km nördlich von Hannover ein LAN,
>> das
>>> folgendermaßen aufgebaut ist:
>>> Der Internetzugang mit SIP-Telefonie wird aktuell über einen
>> Speedport
>>> realisiert. Hinter dem Speedport sitzt ein IPCOP.
>>> Auf der "grünen" Schnittstelle befindet sich das LAN des
>> Vorstandsbüros
>>> mit 2 PCs und einer NAS.
>>> Auf der "blauen" Schnittstelle befindet sich ein LAN mit 2 PCs sowie
>> 2
>>> offenen WLAN Access Points bei uns auf dem Gelände, die nur über den
>>> Proxy-Server des IPCOPs ins Internet gelangen. Hierfür sind für die
>>> Vereinsmitglieder lokale Benutzerkonten auf dem Proxy-Server
>>> eingerichtet. Ein Zugriff von dem "blauen" Netzwerk auf das "grüne"
>> ist
>>> im IPCOP unterbunden.
>>>
>>> Da einige Vereinsmitglieder mit der Nutzung des Proxy-Servers
>>> überfordert sind, möchte ich unserem Vorstand gerne vorschlagen,
>>> Freifunk einzurichten. Hinzu kommt, dass so auch den Gästen unserer
>>> Vereinsgaststätte der Internetzugang ermöglicht wird.
>>> Hierzu müssen allerdings folgende Bedingungen erfüllt sein:
>>>
>>>   * Ein Zugriff von dem Freifunk-Netzwerk (derzeit "blaues" Netzwerk)
>>>     auf das LAN des Vorstandbüros (derzeit "grünes" Netzwerk) darf
>> nicht
>>>     möglich sein.
>>>   * Die SIP-Telefonie muss weiterhin möglich sein.
>>>   * Es müssen auch Geräte über LAN (Kabel) an Freifunk angebunden
>> werden
>>>     können.
>>>
>>> Kann das realisiert werden?
>>>
>>> Viele Grüße
>>>
>>> Robert
>>>
>>>
>>>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.freifunk.net/pipermail/hannover-freifunk.net/attachments/20150104/850556bc/attachment.html>

Mehr Informationen über die Mailingliste hannover