Bei Anbindung durch mesh crypto im Einsatz?

Hallo zusammen,
ich habe nun schon öfter gehört, dass der Datendurchsatz gerade bei Ubiquiti Nodes auch durch für Crypto benötigte Rechenpower begrenzt ist. Wenn die Picostation mit einem WDR3600 mesht und der WDR3600 am kabel hängt, muss dann die fastd-Verbindung inklusive crypto von der Picostation gecryptet werden oder übernimmt das der WDR3600?
Also zusammengefasst was findet auf welcher Ebene statt? Gibt es zur Struktur einen Artikel mit verständlichen Grafiken (habe bis jetzt keinen gefunden)? Ist die Kommunikation durchs mesh verschlüsselt? Baut die Picostation eine fastd-Verbindung auf?
LG PetaByteBoy

Das crypto ist Teil von fastd und findet somit nur an einem Node mit direkter Internetverbindung statt.

PS: Ist kein wupper-spezifisches Thema

Es machen grundsätzlich nur direkt an das Internet angeschlossene Knoten die Crypto. Innerhalb des Meshes ist alles unverschlüsselt (also nutze TLS!)

Wenn du also möchtest, dass der Ubiquiti keine Crypto macht, der WDR3600 aber doch, dann solltest du bei der Ubiquiti Mesh-VPN deaktivieren, beim WDR3600 Mesh-VPN aktivieren. Du kannst natürlich immer noch beide an den selben Switch hängen. Das ist sogar empfehlenswert, dann am besten bei beiden „Mesh-On-WAN“ anschalten, damit innerhalb des LAN (sic!) gemesht wird. (Ja die Benennung ist leicht verwirrend)

1 Like

Es gibt „Mesh-on-VPN“ und „Mesh-on-WAN“

Wenn du in deinem Netzwerk mehrere Router hast, brauchst du Mesh-on-WAN.
Mesh-on-WAN dient dazu, die einzelnen FF-Router über dein lokales netz zu Verbinden.

Für die Verbindung zur Aussenwelt brauchst du Mesh-on-VPN.
Das ist der VPN-Tunnel ins FF-Netz.

Den brauchst du nur 1 mal. und dafür braucht man das Crypto.
Das sollte auf dem leistungsfähigsten Router laufen.

Der Rest geht auto-magisch :wink:

2 Likes

Vielen Dank für die schnellen, zahlreichen und ausführlichen Antworten!
Eine weitere Frage: Wäre es möglich, eine private ssid, die bereits jetzt parallel zu FF auf dem WDR3600 ausgestrahlt wird, durchs mesh zu leiten, sodass die Picostation diese auch ausstrahlen kann? Wie würde es da um die Sicherheit der Daten stehen (wo findet die WPA2-Verschlüsselung dieses Netzes statt (vor oder nach dem mesh))?

Kurz und knapp: NEIN :wink:

1 Like

Zur Zeit ist eine Weiterleitung/Meshing des privaten Netzes nicht konfigurierbar und m.W. auch nicht vorgesehen. Da Over Air nicht verschlüsselt wird, sind die Sicherheitsprobleme offensichtlich. WPA2-gesichert strahlt nur der Router aus, der direkt an den Uplink angeschlossen ist.

1 Like

BATMAN kennt nur MAC-Adressen, aber keine SSIDs…das ist Zukunfts-Musik…sicher ne tolle Idee, aber mit der aktuellen Software unmöglich.

Ist das durch BATMAN entstehende Netzwerk nicht ein normales TCP/IP-adressiertes Netz? Dann könnte man doch durch das mesh hindurch ein fastd machen (mit starken Einbußen und unelegant) und so das wan Netz direkt wireless und verschlüsselt forwarden (?)

1 Like

Mit einem Fastd-Offloader oder einem stärkeren Router (zB Archer) könnte man evtl ein lokal administriertes und ausgestrahltes VLAN über ein eigenes BATMAN Interface mit eigenem Fastd Crypto aufspannen. Das wäre mal eine Aufgabe für einen Workshop :wink:

Das klingt tatsächlich nach einem Projekt. Wenn ich etwas zustande bringe, werde ich darüber berichten :wink:

Nein, BATMAN ist ein Ad-Hoc-Routingprotokoll auf Layer 2.

Was im Endeffekt beim privaten WLAN gemacht wird, ist dass das WAN-Interface (Verbindung zum Internet) mit einem WLAN-Interface gebridget wird. So wird der Tunnel komplett umgangen.

Das ist auch der Grund, warum in dieser Konfiguration bloß kein Mesh-On-WAN laufen darf. Sonst würde man den gesamten BATMAN-Broadcast, der auf dem WAN-Interface landet, auch noch einmal auf dem privaten WLAN rausschicken. :wink:

Dokumentation gibt es genug:
zu BATMAN: http://www.open-mesh.org/projects/batman-adv/wiki/Doc-overview
zu Fastd: Welcome to fastd’s documentation! — fastd 22+ documentation
zu Gluon: Welcome to Gluon — Gluon 2021.1 documentation

1 Like

Das nächste Problem ist WPA(2)
Selbst wenn man sowas hin bekommt, braucht man min. einen Radius-Server zur Authentifizierung für das WLAN.

Einen zweiten Router (auf anderem Kanal) hinzustellen ist da dann doch einfacher zu haben als Kisten hinzustellen, die den skizzierten Overhead („privateSSID via 2nd fastd“) weggeschaufelt bekommen.

In der Tat ist der Sinn bei den Geschwindigkeiten wahrscheinlich schon nicht mehr so wirklich da. Ist es überhaupt möglich auf einem Router 2 SSIDs auf verschiedenen Kanälen zu machen?

Wenn du zwei WLAN-Module hast :blush:

Hat das ein TP-LINK WDR3600? Der kann zumindest auf 2.4 GHz und 5 GHz gleichzeitig hat also schon 2 Module (?) nur für unterschiedliche Frequenzbereiche

Ja. Die Dualband Geräte haben immer 2 WLAN Module verbaut. Anders ginge es auch garnicht.

Aber kein 5 GHz outdoor mit OpenWRT (Gluon) :stuck_out_tongue:, also auch kein privates Netz darüber zur Picostation

1 Like