Fehlbenutzung der LAN-Ports am Freifunk-Router verhindern

Freifunker · 13. März 2015 um 19:00

oldman:

Die FritzBoxen haben 192.168.178.0/24 als default.

Ist das nicht die 2. Adresse, die immer da ist, egal was man auf der Fritzbox konfiguriert? Aber ist hier eh egal. Wir sind uns ja einig, das die Fritzbox nicht 10.x.x.0/?? hat.[/quote]
Nein das ist die erste Adresse. IIRC ab 7270 gibts auch die IP Adresse 169.254.1.1 über die man eine Fritte immer erreichen kann. Default, also nach Reset auf Werkseinstellungen erreichst du die FritzBox immer über 192.168.178.1 oder über http://fritz.box wenn der anfragende Rechner den DNS der Fritte benutzt.

@Lumo: ja, da hast Du Recht. Wenn die Fritzbox per DHCP 'ne Addresse rauswirft, sind die Geraete am FF-Router im IP Netz der Fritzbox und gehen auch ueber diese ins Internet.

Und eventuell die Clients die am Freifunk Netz des Knotens hängen. Die Surfen dann auch fröhlich über deinen Anschluss.

[quote]Abhilfe wuerde ein Filter auf den Lanports des FF Routers schaffen, der ganz simpel die DHCP Antwort des Servers blockt.
Die anderen vorgeschlagenen Konfigurationsänderungen sollten auch Abhilfe schaffen.

Du kannst auf einer Bridge meines Wissens nix blocken. Lasse mich aber gerne eines Besseren belehren.

adorfer · 13. März 2015 um 23:14

Dann hätten wir ja endlich den gefunden, der ständig dafür sorgt, dass die halbe Domain mehr schlecht als Recht läuft.
Danke für’s freiwillige Melden! (Wenn Du kein IPv6 hast an Deinem Router, dann warst Du zumindest kein Gateway. Ansonsten kannst Du schonmal überlegen, ob nicht vielleicht doch in den nächsten Monaten Post kommt. Weil du nämlich dann Gateway auch für andere Leute „ganz woanders“ an einem Router in der Domaine tätig gewesen sein kannst.

Pinky · 14. März 2015 um 01:00

bitte bitte, keine Ursache, bei der Rangliste der DAUs versuche ich immer, den ersten Platz zu belegen, und IPv6 hab ich aus Prinzip bei mir immer völlständig disdabled.

Aber ernsthaft: Das ist ein Beispiel dafür, wie Missverständnisse zu Fehlern führen können, wenn der eine meint, das sei doch klar und der andere das eben (noch) nicht weis. Das „bauer Port ist nicht mehr notwendig“ bezog sich wohl auf die Installation der Firmware. (und so weit ich sehen kann, gibt es auch keine Anschluss-Anleitung im Netz, bei der ausdrücklich vor dieser möglichen Fehlverbindung gewarnt wird (weil das eben alle, die mit der Sache zu tun haben, als soooo selbstverständlich ansehen). Deswegen, Anleitungen immer aus der Perspektive des Super-DAUs auf Verständlichkeit überprüfen (muss also auch mal meine Webseite checken).

apo · 14. März 2015 um 09:21

Halten wir fest:

Neue User können durch das wählen eines falschen LAN ports:

das Netz gewaltig stören
eine ganz private Abmahnwelle generieren

Es bleibt nur die Schlussfolgerung die ‚gelben‘ ports als default zu entschärfen.

Wem es technisch nicht zusagt der bedenke, dass die negative Presse gegen Freifunk richtig Anlauf nehmen könnte! Das muss DAU sicher werden.

tcatm · 14. März 2015 um 09:30

Wie genau stört man das Netz eigentlich durch senden von Router Advertisements bzw. DHCP an die LAN Ports? Bei uns in Lübeck wird das durch ebtables Regeln abgefangen und ich dachte bisher, dass jede andere Community das so übernommen hat. Falls das nicht funktioniert, ist das ein Bug: Wie kann man das Problem reproduzieren?

wirfman · 14. März 2015 um 09:45

Ein IPv6-Router mit RA etc. an Gelb:

tcatm · 14. März 2015 um 09:51

Welche Firmware läuft dort (d.h. Gluon aus welchem Commit und mit welcher site.conf)?

wirfman · 14. März 2015 um 10:04

Ist Rheinufer, aber mehr weiß ich nicht, vielleicht der @pixelistik

tcatm · 14. März 2015 um 10:05

Hab’s gerade mal mit radvd und einem Freifunk Lübeck Knoten mit Firmware 0.6 ausprobiert:

Router Advertisements werden nicht ins Mesh gelassen. Ebenso wird DHCP geblockt. Die Fehlbenutzung der LAN-Ports wird also bereits verhindert und es ist gefahrlos möglich einen Freifunkknoten falsch anzuschließen.

Pinky · 14. März 2015 um 22:57

also hab gerade mal getestet, Wupper-Firmware:
wenn ich die gelben Ports benutze, bekomme ich kein Internet.
Fehlverbindung also auch für DAU ausgeschlossen.
(weswegen das für mich auch nie ein Thema war, es ging ja nur der blaue)

pixelistik · 14. März 2015 um 23:04

Bei dem erwähnten Problem müsste es schon die 2014.4-stable-3 gewesen sein, die site.conf müsste also diese hier sein: https://github.com/ffrl/sites-ffrl/blob/master/site-rheinufer/site.conf

irqnet · 22. März 2015 um 19:44

Wie wäre es die LAN Ports an gefährdeten Stellen einfach abzuschließen?

http://www.lindy.de/RJ45-Port-Schloss-10-Stueck-mit-Schluessel.htm?websale8=ld0101&pi=40470

wirfman · 22. März 2015 um 20:12

Da kann ich auch Stecker ohne Kabel mit gekürzter Klemme benutzen, ist günstiger

marc_re · 22. März 2015 um 20:18

Genau das hatte ich ja schon vor einiger Zeit mal vorgeschlagen.
Die billigsten Stecker kosten 3 Euro im Hunderterpack. Ohne Kabel zucrimpen und Lasche kürzen. Fertig.

wirfman · 22. März 2015 um 20:20

Ich hätte es nicht so kurz gemacht,damit sie doch noch einmal rausgehen, wenn man sie ganz rein schiebt, nicht wie du nur halb

marc_re · 22. März 2015 um 20:23

Die sind ganz drin. Raus gehen sie, wenn man den Rest der Lasche mit einem kleinen Schraubendreher runterdrückt.

DSchmidtberg · 22. März 2015 um 23:12

Ich würde da nicht drauf wetten, besonders da bei dir IPv6 deaktiviert ist.

DerTrickreiche · 22. März 2015 um 23:20

Wenn ich das Freifunk-LAN mit meinem privaten LAN verbinde, gibt es 2 DHCP-Server im selben Netz-Segment mit völlig unterschiedclichen Vorstellunggen davon, welche IP „angemessen“ ist…da feiert jedes Netz Kirmess

oldman · 23. März 2015 um 07:53

Noe, nicht Kirmes, sondern jeder Client im Netz nimmt an der Lotterie teil, welcher DHCP Server gerade schneller ist.
Der geneigte Eignetümer der Installation nimmt dann an der Verlosung teil, 'Bekomme ich ‚ne Abmahnung, wenn einer hier Mist macht, oder nicht‘

yayachiken · 23. März 2015 um 23:20

Den Trick werde ich mir unabhängig vom Freifunk mal abschauen damit mein Switch unter dem Tisch hier in den ungenutzten Outlets nicht so zustaubt