Fehlbenutzung der LAN-Ports am Freifunk-Router verhindern

@Maltis,
du Prakmatiker :smile:

Vielleicht machen wir dazu wirklich einen anderen Fred auf. :smile:

Was passiert denn auf den LAN-Ports rein technisch? Damit der FF-Router über mein Internet raustelefonieren kann, muss er sich doch ne IP, DNS und nen Gateway via DHCP-Client holen, oder bin ich da auf dem Holzweg? Dann wäre meine blauäugige Lösung: Warum lauscht da der DHCP-Client nicht einfach nur auf dem WAN-Port? Oder wird das ganz anders geregelt?

Das Internet über LAN kann nur bei IPv6 passieren wegen Router Advertisements, die BATMAN versteht.
So letztens hier an einem Telekom-Anschluss noch geschehen

1 Like

Nein. Clients die an dem Knoten via WLAN angebunden sind bekommen auch vom Internet Router dann eine IPv4 von dessen DHCP Server. WLAN und LAN Port sind gebridged und BATMAN sitzt nur zwischen diesem Interface und dem MESH-VPN.

@yayachiken kannst du bitte mal alles was sich um die Belegung der Ports dreht in ein eigenes Thema unter Technik verschieben?

Wenn du deinen Freifunk Router per LAN Port mit dem LAN Port deines Heimrouters verbindest bekommt ein Client der sich per WLAN verbindet von mindestens zwei DHCP Servern eine IP Adressen angeboten. Dem des Supernodes und dem Fritz/Telkom/Whatever-Box.

In der Regel ist der Lokale der schnellste und gewinnt damit. Also bekommen User in der lokalen Wolke tendenziell eine Lokale IP Adresse und nutzen daher die lokale Verbindung.

Das ist meiner Meinung nach sinnvoll, es gibt einige Orte in Aachen an denen diese Ports für Webcams (mit pw) verwendet werden, mindestens ein Gastronom hat sein EC Terminal angeschlossen, aber auch für die Verbindung mit 5GHz Outdoor Routern ist der Port so wie er ist sinnvoll konfiguriert.

Das wir mit unserem vorgehen nicht ganz auf dem Holzweg sind zeigt auch diese Abbilfung eines kommerziellen Anbieters:

Offensichtlich hat man auch hier unser derzeitiges vorgehen gewählt. Auch ich klebe bei jedem Router den ich ins Feld entlasse die LAN Ports ab. Ich verwende auf anraten anderer Freifunker die ovalen, rote Aufkleber mit denen die Tüte des Routers verklebt ist.

Technisch zu klären wäre ob wir nicht einfach auf der br-client herein kommende DHCP Angebote verwerfen können.

Es reicht ja schon „Unitymedia-User (MitbewohnerIn, Kind) steckt versehentlich Lankabel vom gelben Port des FF-Routers in einen Lan-Port von Fritzbox/TC7200/Horizon-Router“, dann gehen mindestens ein Teil der lokalen Aktivitäten der AP-User auch „ohne Supernode“ über den lokalen Anschluss raus. Und IPv6 wird sogar für die umleigenden Node (im VPN!) über dieses „neue Gateway“ herausgezogen,

Sprich: Es ist ein realistisches Szenario, was jeden Tag vorkommt, in fast jeder Domain, die „br-client an Lanports“ der FF-Router hat.
Und wenn

Die werden „Richtung Mesh“ abgefiltert. Aber lokal (lan<>ap-wlan) geht das zumidnest derzeit nicht.
Und degen die RADV (announces of IPv6-Routen) hilft das gar nicht… die gehen netzweit durch die Domain.

kann ja sein dass ich besonders blöde bin, aber ich habe alle T-link Router nicht in blau sondern in Gelb gesteckt und bei der Fritzbox den nächstbesten der 4 LAN genommen, meist Port 3 oder 3.

Da ist nichts mit sichtbarer IP.

Das ist ja die Situation, die @Freifunker oben beschrieben hat.

Die Frage ist, was resultiert daraus nun? Bildet dein Router @Pinky nun einen Uplink, schickt aber alle Daten durch deinen „privaten“ Anschluss ins Netz und nicht über den VPN Tunnel?

ich hab hier mehrfach getestet, wie/ob ich sichtbar bin (war von Anfang an eine meiner essentiellen Bedenken) und ich sehe mich nicht von aussen, nur rheinland ev und Kloster irgendwas als Standort und Uni Wuppertal irgendwas.
Also 100% getunnelt.

Edit
irgend jemand sagte mir mal das wäre mittlerweile egal, ob blau oder gelb.

1 Like

An die gelben Buchsen eines Freifunk Knoten in der Standard Konfiguration der Firmware schließt man:

  1. weder andere Knoten an.
  2. weder sein privates Heimnetzwerk an.
  3. nur andere Geräte die auch im Freifunk Netzwerk erreichbar sein sollten (Server, RasPi, Spielkonsole, Desktop Computer)

Nur der WAN Port (Bei TP-Link Geräten die blaue Buchse) wird mit dem Heimnetzwerk verbunden.

1 Like

Nur die gelben Ports mit den gelben Ports der Fritzbox zu verbinden, reicht sicherlich nicht, um über den lokalen Anschluß ins Internet zu gehen.

Die Fritzboxen haben per Default das IPv4 Netz 192.168.0.0/24 und der FF Router bei bestehendem Tunnel, 10.X.X.0/16. Da kann ohne zusätzliche Konfiguration kein Verkehr durchgehen.

Ich weiss allerdings nicht, wie es aussieht, wen beide Router IPv6 eingeschaltet haben, da sie sich dann unter Umständen auf ein gemeinsames IP6 Netzwerk einigen.

wenn du im Heimnetz DHCP machst ist dein DHCP-Server schneller als der aus dem FF-Netz … zumindest hat meine Fritzbox vielen unbekannten mal für ein paar Minuten IPs vergeben … Ist aber schon Monate her.

Kann hier als Frischling bestätigen, dass eine Fehlbenutzung der LAN-Ports schnell mal passiert. Freifunk fix installiert, zu wenig Dokumentation gelesen und schwupps hingen mein Drucker, meine Hue-Bridge und mein VDR im Freifunk-Netz statt im Privat-Netz. Zwar geht in diesem Fall der Freifunk-Verkehr nicht über meine IP raus, unschön ist es aber trotzdem…

Aus meiner Sicht wäre es das Geschickteste in der Standardkonfiguration die LAN-Ports auf den WAN-Port statt ins Freifunk-Netz zu leiten. Für die, die es anders brauchen, wäre eine Option im Web-Interface schön. Diese Lösung wäre zumindest für Neulinge failsafe.

3 Likes

Die FritzBoxen haben 192.168.178.0/24 als default.

2 Likes

Ist das nicht die 2. Adresse, die immer da ist, egal was man auf der Fritzbox konfiguriert? Aber ist hier eh egal. Wir sind uns ja einig, das die Fritzbox nicht 10.x.x.0/?? hat.

@Lumo: ja, da hast Du Recht. Wenn die Fritzbox per DHCP 'ne Addresse rauswirft, sind die Geraete am FF-Router im IP Netz der Fritzbox und gehen auch ueber diese ins Internet.

Abhilfe wuerde ein Filter auf den Lanports des FF Routers schaffen, der ganz simpel die DHCP Antwort des Servers blockt.
Die anderen vorgeschlagenen Konfigurationsänderungen sollten auch Abhilfe schaffen.

Du kannst auf einer Bridge meines Wissens nix blocken. Lasse mich aber gerne eines Besseren belehren.

Dann hätten wir ja endlich den gefunden, der ständig dafür sorgt, dass die halbe Domain mehr schlecht als Recht läuft.
Danke für’s freiwillige Melden! (Wenn Du kein IPv6 hast an Deinem Router, dann warst Du zumindest kein Gateway. Ansonsten kannst Du schonmal überlegen, ob nicht vielleicht doch in den nächsten Monaten Post kommt. Weil du nämlich dann Gateway auch für andere Leute „ganz woanders“ an einem Router in der Domaine tätig gewesen sein kannst.

3 Likes

bitte bitte, keine Ursache, bei der Rangliste der DAUs versuche ich immer, den ersten Platz zu belegen, und IPv6 hab ich aus Prinzip bei mir immer völlständig disdabled. :wink:

Aber ernsthaft: Das ist ein Beispiel dafür, wie Missverständnisse zu Fehlern führen können, wenn der eine meint, das sei doch klar und der andere das eben (noch) nicht weis. Das „bauer Port ist nicht mehr notwendig“ bezog sich wohl auf die Installation der Firmware. (und so weit ich sehen kann, gibt es auch keine Anschluss-Anleitung im Netz, bei der ausdrücklich vor dieser möglichen Fehlverbindung gewarnt wird (weil das eben alle, die mit der Sache zu tun haben, als soooo selbstverständlich ansehen). Deswegen, Anleitungen immer aus der Perspektive des Super-DAUs auf Verständlichkeit überprüfen (muss also auch mal meine Webseite checken).

Halten wir fest:

Neue User können durch das wählen eines falschen LAN ports:

  1. das Netz gewaltig stören
  2. eine ganz private Abmahnwelle generieren

Es bleibt nur die Schlussfolgerung die ‚gelben‘ ports als default zu entschärfen.

Wem es technisch nicht zusagt der bedenke, dass die negative Presse gegen Freifunk richtig Anlauf nehmen könnte! Das muss DAU sicher werden.

1 Like

Wie genau stört man das Netz eigentlich durch senden von Router Advertisements bzw. DHCP an die LAN Ports? Bei uns in Lübeck wird das durch ebtables Regeln abgefangen und ich dachte bisher, dass jede andere Community das so übernommen hat. Falls das nicht funktioniert, ist das ein Bug: Wie kann man das Problem reproduzieren?