Neuling mit EdgeRouter-X und UniFi

Christian Dresel freifunk at dresel.systems
Di Aug 24 08:58:47 CEST 2021


Hi

da sich bisher niemand um eine Langfassung gekümmert hat, mach ich das 
nochmal hinterher :)

Am 23.08.21 um 15:58 schrieb Martin Reicher:
> Hallo Freifunker,
>
> sofern ihr mich als (Rand-)Oberpfälzer aus Postbauer-Heng aufnehmt, würde ich gerne eurer Community beitreten.
Wir haben kein "Gebiet" wo man wohnen "muss" um mitmachen zu dürfen. Von 
daher bist du Willkommen wenn es dir bei uns am besten gefällt :)
>
> Vorhanden ist ein UniFi-Netzwerk von Ubiquiti (USG3, USW24, 3 Access-Points). Dazu habe ich mir den EdgeRouter-X für Freifunk zugelegt. Das Ganze sollte über VLAN dann so laufen, dass die Access-Points sowohl mein privates Netz aussenden als auch Freifunk.
Klingt super!
> Ein Freifunk-Mesh wäre natürlich ebenfalls möglich, ein Access-Point hängt sogar draußen.
Macht vermutlich wenig Sinn. Wir sind etwas weg gekommen von diesen 
"Automesh" lieber, wenn es sich über einen Nachbar (oder dank hohen 
Gebäude auch weiter weg) ergibt, absprechen und eine gezielte PtP RiFu 
Verbindung aufbauen mit gezielter dafür dedizierter Hardware (Ubiquiti 
z.b. Airmax Serie oder 60GHz oder oder...), davon hat man am Ende viel mehr.
>
> Auf dem ER-X habe ich eure Layer3-Firmware drauf, fehlt „nur“ noch die Konfiguration und auch die Einbindung in das UniFi-Imperium.
>
> Über etwas technische Unterstützung würde ich mich durchaus freuen ;-) Ich bin wahrlich kein Netzwerk-Profi lerne aber gerne dazu. Meine Erfahrung
> zeigt, dass manchmal schon ein falsches Zeichen unerwünschte Effekte auslöst und ich möchte das Netz natürlich nicht negativ beeinflussen!
kann eigentlich fast nicht passieren, entweder es geht oder geht nicht. 
Im schlimmsten Fall machst du dir ne Loop in dein Unifi Netz und dir 
dein Netz kaputt :P Das Freifunk bekommst du mit falscher config eher 
nicht kaputt da muss man schon (fast) bewusst einiges falsch machen 
damit es knallt ;)
>
> Ein erster Entwurf der Config des ER-X:
>
> #dadurch würde ich erreichen, dass ich den ER-X nur an Port 0 mit dem USW-24 verbinden muss und dort sowohl mein privates Netz (als WAN) und FF darüber laufen? Alternativ Port 1 an den normalen Switch-Port des USW und Port 2/3 an einen "Native Network"-Port mit VLAN20 (Konfig im UniFI)
Am besten wäre wohl du legst das alles auf einen Port und nutzt tagged 
VLANs. Du brauchst also 2 VLANs. Einmal ein priv. Netz mit DHCP/RA für 
WAN Uplink und einmal das Freifunk Client Netz zurück in dein Unifi Netz 
wo der Freifunkrouter dann DHCP Server/RA macht. Mal sehen ob ich das so 
in deiner config finde
>
> config vlan '20' # wir verwenden das VLAN20 für...
> 	option comment 'client'  # Clientzugang zum Freifunknetz, hier kann z.b. ein Stock Firmware Accesspoint oder ein PC angeschlossen werden
> 	option ports '0t 2 3 4t 6t' # Übersicht welcher Port an welchen Port extern anliegt ist je nach Modell unterschiedlich und findet man unter den Link oben
ok, du willst Port 0 verwenden (hast du ja oben gesagt) d.h. es ist hier 
getagged (0t) und du musst am Unifi also getagged 20 ein WLAN aufspannen 
das dann das Freifunk Netz ist, das ist soweit richtig.
>
> config vlan '1' # VLAN 1 ist IMHO das UniFi Management-VLAN
> 	option comment 'wan' # WAN Uplink, hier kann der Router mit dem priv. Netz verbunden werden um per wireguard eine Verbindung über einen Tunnel über den eigenen Internetanschluss aufzubauen
> 	option ports '0t 1 6t' # Übersicht welcher Port an welchen Port extern anliegt ist je nach Modell unterschiedlich und findet man unter den Link oben
Hier das selbe, der Router bekommt also auf VLAN 1 tagged auf Port 0 
(0t) eine IP Adresse von deinen Netz zugewiesen und kann darüber ins 
Internet? Dann ist das auch richtig.
>
> #Brauche ich VLAN 7 überhaupt? In eurer FF-Community scheint ein WLAN-Mesh nicht vorgesehen, so wie das sonst üblich ist?
>
> config vlan '7' # wir verwenden das VLAN 7 für...
> 	option comment 'RICHTFUNK' # eine Verbindung per Richtfunk
> 	option ports '5t' # Übersicht welcher Port an welchen Port extern anliegt ist je nach Modell unterschiedlich und findet man unter den Link oben, da wir auf dem Richtfunkgerät den Port getagged haben, müssen wir hier ein t an die Portnummer anhängen
>
> config babelpeer 'RICHTFUNK' #hier konfigurieren wir das Richtfunk für Babel, der Name muss der gleiche sein wie oben bei VLAN 7
> 	option vlan '7' # weil weiter oben für Richtfunk vlan 7 war, muss hier eine 7 hin
> 	option type 'wired' # default
> 	option rxcost '16384' # auf Rücksprache mit den Richtfunkpartner anpassen, erstmal 16384 belassen, wird dann angepasst wenn alles funktioniert.
Nein, das ist ein Beispiel um Babel (unser Routingprotokoll) über RiFu 
weiter zu geben wenn da z.b. eine RiFu Antenne dran hängt für einen 
Nachbar o.ä. Das sind im Monitoring z.b. die blauen Linien quer über 
Nürnberg/Fürth/Erlangen das sind alles RiFu Verbindungen über die Stadt 
und die sind so konfiguriert. Wenn das nicht der Fall ist kannst du es 
weglassen. Wenn es sich irgendwann mal ergibt, kann man es auch noch 
nachkonfigurieren, die config ist ja nicht in Stein gemeißelt ;)
>
> #Hier ist mir nicht klar, welche Daten hier rein müssen. Vermutlich die Teile des Netzwerks, welche ich mir im Wiki reservieren soll?
> Den WLAN-Kram kann ich beim ER-X sicherlich weglassen, da ich das im UniFi konfigurieren müsste
>
>
> config client # hier konfigurieren wir das Clientinterface
> 	option vlan '20' # weil weiter oben Client vlan 1 war, muss hier eine 1 hin
> 	option ipaddr '10.83.227.225' # hier kommt die IPv4 Adresse des Gateways mit Subnetz Maske rein
https://wiki.freifunk-franken.de/w/Portal:Netz dir hier ein Netz 
reservieren, so groß wie du es für nötig hälst, so klein wie möglich. 
Denk beim Eintragen auch an die Subnetzmaske, die fehlt in deinem Beispiel…
> 	list ip6addr '2001:db8::1/64' # hier kommt die public IPv6 Adresse des Gateways mit Subnetz Maske rein
> 	list ip6addr 'fd43:5602:29bd:xx::1/64' # hier kommt die ULA IPv6 Adresse des Gateways mit Subnetz Maske rein

Wir konfigurieren standardmäßig zwei IPv6 Subnetze. Einmal ein Public 
Netz für das Internet welches du hier beziehen kannst: 
https://wiki.freifunk-franken.de/w/Portal:Netz/IPv6 Ein weiteres ULA ( 
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast ) Netz für 
Freifunk interne Zwecke, dieses kannst du dir hier holen 
https://wiki.freifunk-franken.de/w/Portal:Netz/IPv6 Beide Netze müssen 
wie bei IPv6 Clientnetze üblich /64 Netze sein.

> 	option dhcp_start '10.83.227.230' # hier kommt die Startadresse vom DHCP rein
logisch?
>          option essid 'bla.freifunk' # hier kannst du deine SSID frei wählen
> 	option chan2ghz '13' # hier kannst du den Kanal für 2,4GHz frei wählen
> 	option chan5ghz '36' # hier kannst du den Kanal für 5GHz frei wählen
wie du selbst bemerkt hast, macht das dein Unifi Netz, diese Optionen 
sind eh alle optional, können also weg.
>
> config dns # hier kommen DNS Server rein, einige aktuell funktionierende Beispiele:
> 	list server 'fd43:5602:29bd:ffff:a:a:a:a'
> 	list server 'fd43:5602:29bd:ffff::42'
> 	list server 'fd43:5602:29bd:ffff:a:a:a:a'
> 	list server '10.83.252.11'
> 	list server '10.83.252.0'
kannst du prinzipiell so übernehmen aber 2x der gleiche ist irgendwie 
unsinnig, steht das wirklich so im Beispiel?
>
> #Für Wiregard würde ich die Daten nehmen die ich bei dresel.systems erzeugt habe (hier noch nicht individualisiert sondern aus dem Wiki kopiert)
>
> config wireguardpeer 'NAME' # hier kann der Name frei gewählt werden für die wireguard Verbindung, es gibt eine Zeichenbegrenzung ich glaub 12 Zeichen lasst es einfach kurz
> 	option endpoint_host 'example.com' # der Hostname der Gegenseite, es kann auch eine IPv4 oder IPv6 Adresse (ohne []) eingetragen werden
> 	option endpoint_port '31337' # Port der Gegenseite
> 	option persistent_keepalive '20' # default, so stehen lassen
> 	option remote_public_key '/AB0Y2gSqdbdsuMWsEu+NQf/d9lHdSgTOF5IQj/4Mk4=' #hier muss der public Key der GEGENSEITE rein
> 	option rxcost '4096' # sollte keinesfalls kleiner als 4096 eingestellt werden, um die Verbindung abzuwerten wenn man seinen eigenen Anschluss nur als Backup verwenden will kann er erhöht werden bis max 16384
> 	option mtu '1412' # Nur bei Verbindungen mit MTU 1492 nötig, zur Sicherheit so lassen
> 	option local_private_key 'GCRmvTmmuxCIRHZ4zADjXitUj0AOcR4ZX48fC3j/60Y=' der eigene private Key

dazu hab ich ja bereits was gesagt.

Gruß

Christian

>
>
> Viele Grüße
> Martin


Mehr Informationen über die Mailingliste franken