Fehlbenutzung der LAN-Ports am Freifunk-Router verhindern

@pinky verbinde mal die LAN Ports deines Freifunk Routers mit denen deines eigentlichen Routers.

Bitte akzeptiere, dass dies hier aber nichts zur Sache tut und ich schlicht eine Auskunft haben möchte ob wir als Verein dem Router Betreiber mit vom Verein bezahlten Anwälten zur Seite stehen.

Achso, du willst den Fall abdecken in dem ein Freifunk Router falsch angeschlossen/konfiguriert wurde und somit nicht das Freifunknetz selber benutzt wurde sondern der Traffic aus versehen über den normalen Anschluss abgewickelt wurde. Also quasi wie der Fall in Berlin wo es dann die negativen Feststellungsklagen gab.

Ob dafür der Verein herangezogen werden kann für rechtliche Unterstützung zu sorgen ist fraglich.

Wäre dafür nicht noch Kohle von Operation Störerhaftung (zweckgebunden) da? :smiley:

??? was wie???
der FF Router hat die FF Firmware, tunnelt also in jedem Fall. Oder er hat die FF Firmware nicht, dann ist es kein FF Router, sondern ein normaler mit Original oder sonstwas Firmware, und dann ist es kein FF Router.
Und dafür ist nun wirklich keiner zuständig, ausser dem, der das verbockt hat. Und da hiflt immer noch obige (3)

Auch wenn ein Knoten die FF Firmware hat kann man durch falsches verkabeln dafür sorgen das Traffic der über die Freifunk SSID abgewickelt wird nicht über das Freifunk Netzwerk sondern direkt von deinem Anschluss aus ins Internet gelangt. Dafür reicht es aus, wenn man eine LAN Buchsen des Freifunk Routers (Gelbe Buchsen) mit den LAN Buchsen deines Internet Routers verbindet.

OT: Kann man das nicht seitens der Firmware verhindern?

Jaein. Man könnte sie quasi abschalten bzw. schaltbar machen. Man könnte für weniger technisch versierte die Firmware so gestalten, das nur der WAN Port aktiv ist. Im Expertmodus könnte man dann eine Funktion hinzufügen die das Bridging zwischen WLAN und LAN Ports dann einschaltbar macht. Hilft aber nicht wenn die dann mal eingeschaltet worden sind und man sich später doch wieder verkabelt, weil man denkt die gelben Buchsen beim Freifunk Router mit den gelben Buchsen des Telekom Speedports verbinden zu müssen, weil gleiche Farbe. Bei DAUs habe ich das alles schon erlebt.

Es wäre doch schön, wenn defaultmäßig die LAN-Ports mit dem WAN-Port gebrückt wären, dann könnte ein unbedarfter User nicht versehentlich sein LAN im FF-Netz veröffentlichen. So geschehen bei meinem Nachbar, der daraufhin auf seinem Laptop Windows-Sicherheitswarnungen erhalten hat und den FF-Router zu T-Systems (!) geschleppt hat, wo das Ding dann als „total unsicher, Finger weg“ deklariert wurde.
In den Experteneinstellungen kann man dann die LAN-Ports zum FF-Netz umschalten. Die wenigsten hätten dafür doch Bedarf.

1 „Gefällt mir“

Ich finde die Idee der deaktivieren LAN-Ports im Grunde gut. So kann eine versehentliche Fehlschaltung vermieden werden. Die Leute, die dann im Expertenmodus die Ports wieder aktivieren, müssen dann wie bisher auch darauf achten, richtig zu verkabeln (Ich vermute in den meisten Fällen reicht der WAN-Port auch). Leider weiß ich nicht wie groß der technische Aufwand ist, die LAN-Ports lediglich im Config-Mode aktiv zu halten, ansonsten standardmäßig inaktiv zu schalten?

Ich löse das mit Tesafilm und schreibe mit Edding drauf „Hier nicht“

3 „Gefällt mir“

@Maltis,
du Prakmatiker :smile:

Vielleicht machen wir dazu wirklich einen anderen Fred auf. :smile:

Was passiert denn auf den LAN-Ports rein technisch? Damit der FF-Router über mein Internet raustelefonieren kann, muss er sich doch ne IP, DNS und nen Gateway via DHCP-Client holen, oder bin ich da auf dem Holzweg? Dann wäre meine blauäugige Lösung: Warum lauscht da der DHCP-Client nicht einfach nur auf dem WAN-Port? Oder wird das ganz anders geregelt?

Das Internet über LAN kann nur bei IPv6 passieren wegen Router Advertisements, die BATMAN versteht.
So letztens hier an einem Telekom-Anschluss noch geschehen

1 „Gefällt mir“

Nein. Clients die an dem Knoten via WLAN angebunden sind bekommen auch vom Internet Router dann eine IPv4 von dessen DHCP Server. WLAN und LAN Port sind gebridged und BATMAN sitzt nur zwischen diesem Interface und dem MESH-VPN.

@yayachiken kannst du bitte mal alles was sich um die Belegung der Ports dreht in ein eigenes Thema unter Technik verschieben?

Wenn du deinen Freifunk Router per LAN Port mit dem LAN Port deines Heimrouters verbindest bekommt ein Client der sich per WLAN verbindet von mindestens zwei DHCP Servern eine IP Adressen angeboten. Dem des Supernodes und dem Fritz/Telkom/Whatever-Box.

In der Regel ist der Lokale der schnellste und gewinnt damit. Also bekommen User in der lokalen Wolke tendenziell eine Lokale IP Adresse und nutzen daher die lokale Verbindung.

Das ist meiner Meinung nach sinnvoll, es gibt einige Orte in Aachen an denen diese Ports für Webcams (mit pw) verwendet werden, mindestens ein Gastronom hat sein EC Terminal angeschlossen, aber auch für die Verbindung mit 5GHz Outdoor Routern ist der Port so wie er ist sinnvoll konfiguriert.

Das wir mit unserem vorgehen nicht ganz auf dem Holzweg sind zeigt auch diese Abbilfung eines kommerziellen Anbieters:

Offensichtlich hat man auch hier unser derzeitiges vorgehen gewählt. Auch ich klebe bei jedem Router den ich ins Feld entlasse die LAN Ports ab. Ich verwende auf anraten anderer Freifunker die ovalen, rote Aufkleber mit denen die Tüte des Routers verklebt ist.

Technisch zu klären wäre ob wir nicht einfach auf der br-client herein kommende DHCP Angebote verwerfen können.

Es reicht ja schon „Unitymedia-User (MitbewohnerIn, Kind) steckt versehentlich Lankabel vom gelben Port des FF-Routers in einen Lan-Port von Fritzbox/TC7200/Horizon-Router“, dann gehen mindestens ein Teil der lokalen Aktivitäten der AP-User auch „ohne Supernode“ über den lokalen Anschluss raus. Und IPv6 wird sogar für die umleigenden Node (im VPN!) über dieses „neue Gateway“ herausgezogen,

Sprich: Es ist ein realistisches Szenario, was jeden Tag vorkommt, in fast jeder Domain, die „br-client an Lanports“ der FF-Router hat.
Und wenn

Die werden „Richtung Mesh“ abgefiltert. Aber lokal (lan<>ap-wlan) geht das zumidnest derzeit nicht.
Und degen die RADV (announces of IPv6-Routen) hilft das gar nicht… die gehen netzweit durch die Domain.

kann ja sein dass ich besonders blöde bin, aber ich habe alle T-link Router nicht in blau sondern in Gelb gesteckt und bei der Fritzbox den nächstbesten der 4 LAN genommen, meist Port 3 oder 3.

Da ist nichts mit sichtbarer IP.

Das ist ja die Situation, die @Freifunker oben beschrieben hat.

Die Frage ist, was resultiert daraus nun? Bildet dein Router @Pinky nun einen Uplink, schickt aber alle Daten durch deinen „privaten“ Anschluss ins Netz und nicht über den VPN Tunnel?

ich hab hier mehrfach getestet, wie/ob ich sichtbar bin (war von Anfang an eine meiner essentiellen Bedenken) und ich sehe mich nicht von aussen, nur rheinland ev und Kloster irgendwas als Standort und Uni Wuppertal irgendwas.
Also 100% getunnelt.

Edit
irgend jemand sagte mir mal das wäre mittlerweile egal, ob blau oder gelb.

1 „Gefällt mir“

An die gelben Buchsen eines Freifunk Knoten in der Standard Konfiguration der Firmware schließt man:

  1. weder andere Knoten an.
  2. weder sein privates Heimnetzwerk an.
  3. nur andere Geräte die auch im Freifunk Netzwerk erreichbar sein sollten (Server, RasPi, Spielkonsole, Desktop Computer)

Nur der WAN Port (Bei TP-Link Geräten die blaue Buchse) wird mit dem Heimnetzwerk verbunden.

1 „Gefällt mir“