Re: Hybrider Accespoint (Freifunk und privates WLAN auf einem Gerät)

Miki salzmagazin at michelaweb.eu
Mo Mai 30 00:26:20 CEST 2022 

Hallo Markus,

für verschlüsseltes WLAN brauchst du ein größeres wpad-Paket mit OpenSSL
oder WolfSSL. Hostapd wird vermutlich nicht reichen. Das heißt, du musst
die Firmware selber bauen, dabei manuell das kleine Paket abwählen und
das große Paket der Wahl anwählen. Für ein Einzelstück ist das die
einfachere Methode, als Patch für die offizielle Firmware müsste das
natürlich ins Buildscript eingearbeitet werden.
https://openwrt.org/docs/guide-user/network/wifi/mesh/80211s
https://wiki.freifunk-franken.de/w/FirmwareEntwicklung
=> Nach dem Schritt "./buildscript prepare" nun "./buildscript config
openwrt" aufrufen, es erscheint ein Dialog. Nach dem Speichern der
gewünschten Modifikationen weiter mit "./buildscript build".
Ich hatte so mal vor einiger Zeit erfolgreich verschlüsseltes Babel aufs
WLAN gelegt.

Gerade vor ein paar Wochen habe ich das Client-Netz als Tunnel in mein
Hausnetz geleitet. Wenn du es schaffst, dein Hausnetz auf einen Tunnel
zu kriegen, würde das natürlich auch umgekehrt gehen. Wichtig ist, einen
VLAN-Kanal mit hoher Nummer zu wählen, z.B. 100. Sonst gibt es leicht
Konflikte mit existierenden VLANs, die der Provider-Router aufspannt.

Wie man den Tunnel jetzt an die Antenne kriegt? Vielleicht etwas in der Art?

config vlan '100'
    option comment 'client2'
    option ports 'wan:t'  # getagged

config client2
    option vlan '100'
    ...

Ob es möglich ist, zwei Client-Interfaces zu konfigurieren, weiß ich
nicht. Du brauchst aber ein separates Interface, um das verschlüsseln zu
können. Unter dem Vorbehalt, dass man einfach so ein zweites
Client-Interface aufsetzen kann, nicht updatefest (!) in der
"/etc/config/wireless". Am besten vom vorhandenen "client" Block
abschreiben:

config wifi-iface 'client2'
    option device 'radio0'
    option network 'client2'
    option ifname 'client2'
    option mode 'ap'
    option encryption 'psk2/aes'
    option key '784e0K767.................'
    option hidden '1'
    option disabled '0'
    option ssid 'irgend_was'

Disclaimer: Das ist jetzt alles eine ungetestete Trockenübung.
Viele Grüße,
Miki


Il 29.05.22 22:22, Markus Trenkle (Freifunk) ha scritto:
> Hallo, 
>
> ich versuche den Freifunk Router so zu pimpen, dass er mein privates
> WLAN-Signal mit ausstrahlt. Dann stehen weniger Devices rum und
> verbrauchen Strom und Platz. Macht das schon jemand? Ich finde, das
> Thema hat ne ordentliche Anleitung verdient. Schick wäre auch eine
> Integration in die gateway config, damit es sicher ein reconfig oder
> update überlebt.
>
> Ich mache das auf einer Layer3-FW, sehe aber keinen Grund warum das
> mit node nicht gehen sollte. Die Anleitung auf der fff Site
> https://wiki.freifunk-franken.de/w/Hybrider_Access_Point_(WPA2/privat_%2B_Freifunk) ist
> fehlerhaft. Macht man das so, geht es mit IPv4, bricht aber IPv6 auf
> dem Device. Ich hab es mit einem zusätzlichen dhcpv6 versucht, geht nicht
>
> config interface            'privnet'
>         option ifname       'eth1'  
>         option type         'bridge'  
>         option proto        'dhcp'
> ->      option proto        'dhcpv6'
>
> Weitere Versuche sind etwas schwierig für mich, mangels IPv6 zuhause
> kann ich das nur mit einer remote Installation machen und das Teil hab
> ich schon mehrfach gebrickt.
>
> Weitere Herausforderungen:
>
> 1. feste IP Adresse des Routers: Ich vermute mal, ich kann in der
> /ectc/config/network analog zur Bridge 'client‘ die Adresse festlegen:
>
> option proto 'static'
> list ip6addr '2a0b:f4c0:47:9::1/64'
> list ipaddr '192.168.208.1/20'
>
> Natürlich irgendwas passendes zum lokalen Netzwerk.
>
> 2. Switch-Ports wahlweise Freifunk, Privat oder beides (als vlan, zur
> Verteilung von Freifunk an weitere Hosts/APs im Netzwerk)
> Könnte das funktionieren: 
>
> In /etc/config/gateway
>
> config vlan '1'
> option comment 'client'
> option ports 'lan1:* lan2:*'
> ->option ports 'lan2:*'
>
> config vlan '2'
> option comment 'wan'
> option ports 'wan:*'
> ->option ports 'wan:* lan1:*'
>
> Legt lan1 auf das private Netz
>
> vlan nach aussen auf einem Switchport hab ich keine Idee.
>
> 3. WPA3 Absicherung: Damit die funktioniert (option encryption
> ’sae-mixed’) braucht es vermutlich ein zusätzliches
> Paket 'hostapd-openssl‘. Problem: opkg gibt es nicht.
>
> Danke für Input.
> Gruß,
> Markus
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20220530/b929db7d/attachment-0001.htm>

Mehr Informationen über die Mailingliste franken