2. SSID als Clientnetz ohne Isolierung

Hallo zusammen,
ich möchte eine LAN Party durchführen, bei der ich auch Internet anbieten möchte. Ich plane hierzu folgendes:

  • GL.iNet GL-MT1300 als Freifunk Knoten, der über Magie mit dem Internet verbunden ist, das ich den Teilnehmern aus rechtlichen Gründen nicht direkt anbieten möchte.
  • Ein Ethernet Port des Knotens wird auf das Clientnetz gelegt und ist an einen Switch angeschlossen. Damit können die drahtgebundenen Clients untereinander kommunizieren.
  • Eine zweite SSID wird analog zur freifunk SSID konfiguriert.
    • Mit Passwort
    • Ohne Isolierung von Clients in dieser SSID
  • Der Port mit dem Clientnetz hat gegenüber dieser zweiten SSID ebenfalls keine Clientisolierung und vice versa.

Ich möchte also Gluon so konfigurieren, dass ich ein normales freifunk-WLAN habe und ein passwortgeschütztes WLAN, in welchem sowohl die über diese SSID angebundenen Cleints, als auch die per LAN-Port angebundenen Clients kommunizieren können.

Wie ich eine verschlüsselte Freifunk SSID aufbaue weiß ich schon: Anleitung

Ich gehe aber davon aus, dass die client isolation über die /etc/config/firewall umgesetzt ist. Dies bedeutet, dass ich ein zweites Clientnetz ohne Isolierung bräuchte:

Zugangsart Netz Gebrücktes Netz Firewallkonfiguration
xyz.freifunk.net client bat0 default
Ethernet (Clientnetz) client_no_isolation bat0 default außer isolation
xyz.freifunk.net no isolation client_no_isolation bat0 default außer isolation

Sind meine Überlegungen bis hier hin korrekt? Wird die Isolierung tatsächlich auf Ebene der Firewall gelöst oder habe ich etwas übersehen?

Das Einrichten der zusätzlichen SSID ist kein Problem. Auch das client_no_isolation-Netz bekomme ich sicher hin. Aber ich verstehe die Firewallregeln nicht. Kann mich hier jemand aufklären, welche Regeln für das Clientnetz notwendig sind und was ich demnach anpassen müsste, um die Clientisolierung aufzuheben?

Ich weiß jetzt nicht mit welcher Community/Firmware du unterwegs bist, aber meines Wissens nach betreiben die meisten Communities die Gluon Firmware ohne Client-Isolation.

Dein Szenario lässt sich also ohne zweitem WLAN umsetzen…?

Entsprechende möglichkeit Client Isolation in Gluon als Feature hinzuzufügen gab es in: added: ap_isolation option for bat0 by seth0r · Pull Request #2714 · freifunk-gluon/gluon · GitHub

1 Like

Hey, ich hab versucht mein Smartphone im Frankfurter Freifunk am selben AP via private IPv4 anzupingen. In meinem Netzwerk ohne Client isolation ging das prima. Im Freifunknetz Frankfurt nicht mehr. Deshalb schließe ich daraus, dass eine client isolation aktiviert ist.

Kann ein Frankfurter mir hier mehr Informationen geben?

Wenn du deinen Post mit „Freifunk in Franken“ taggst, werden evtl entsprechende Menschen benachrichtig, alternativ hilft es sich direkt an die Community zu wenden.

Auf der Karte ist aber schon zu sehen, dass FF Franken keine Gluon basierte Firmware nutzt, sondern direkt von OpenWRT baut.
https://monitoring.freifunk-franken.de/map

Ist also gut möglich, dass dort eine Art Client-Isolation vorhanden ist.
Falls du kurzfristig Abhilfe schaffen möchtest, kannst du natürlich temporär auf die Firmware einer Community mit Gluon-Firmware wechseln (bspw Darmstadt, Stuttgart, München, Aachen usw…)

Viele Grüße
Florian

Frankfurt! nicht Franken :slight_smile:

My bad - hab ich mich verlesen.
FFFFM nutzt wiederum Gluon und eigentlich auch relativ standard, da sollte nichts isolieren…

Vielleicht weiß @skorpy mehr.