Fehlbenutzung der LAN-Ports am Freifunk-Router verhindern

Nur die gelben Ports mit den gelben Ports der Fritzbox zu verbinden, reicht sicherlich nicht, um über den lokalen Anschluß ins Internet zu gehen.

Die Fritzboxen haben per Default das IPv4 Netz 192.168.0.0/24 und der FF Router bei bestehendem Tunnel, 10.X.X.0/16. Da kann ohne zusätzliche Konfiguration kein Verkehr durchgehen.

Ich weiss allerdings nicht, wie es aussieht, wen beide Router IPv6 eingeschaltet haben, da sie sich dann unter Umständen auf ein gemeinsames IP6 Netzwerk einigen.

wenn du im Heimnetz DHCP machst ist dein DHCP-Server schneller als der aus dem FF-Netz … zumindest hat meine Fritzbox vielen unbekannten mal für ein paar Minuten IPs vergeben … Ist aber schon Monate her.

Kann hier als Frischling bestätigen, dass eine Fehlbenutzung der LAN-Ports schnell mal passiert. Freifunk fix installiert, zu wenig Dokumentation gelesen und schwupps hingen mein Drucker, meine Hue-Bridge und mein VDR im Freifunk-Netz statt im Privat-Netz. Zwar geht in diesem Fall der Freifunk-Verkehr nicht über meine IP raus, unschön ist es aber trotzdem…

Aus meiner Sicht wäre es das Geschickteste in der Standardkonfiguration die LAN-Ports auf den WAN-Port statt ins Freifunk-Netz zu leiten. Für die, die es anders brauchen, wäre eine Option im Web-Interface schön. Diese Lösung wäre zumindest für Neulinge failsafe.

3 Likes

Die FritzBoxen haben 192.168.178.0/24 als default.

2 Likes

Ist das nicht die 2. Adresse, die immer da ist, egal was man auf der Fritzbox konfiguriert? Aber ist hier eh egal. Wir sind uns ja einig, das die Fritzbox nicht 10.x.x.0/?? hat.

@Lumo: ja, da hast Du Recht. Wenn die Fritzbox per DHCP 'ne Addresse rauswirft, sind die Geraete am FF-Router im IP Netz der Fritzbox und gehen auch ueber diese ins Internet.

Abhilfe wuerde ein Filter auf den Lanports des FF Routers schaffen, der ganz simpel die DHCP Antwort des Servers blockt.
Die anderen vorgeschlagenen Konfigurationsänderungen sollten auch Abhilfe schaffen.

Du kannst auf einer Bridge meines Wissens nix blocken. Lasse mich aber gerne eines Besseren belehren.

Dann hätten wir ja endlich den gefunden, der ständig dafür sorgt, dass die halbe Domain mehr schlecht als Recht läuft.
Danke für’s freiwillige Melden! (Wenn Du kein IPv6 hast an Deinem Router, dann warst Du zumindest kein Gateway. Ansonsten kannst Du schonmal überlegen, ob nicht vielleicht doch in den nächsten Monaten Post kommt. Weil du nämlich dann Gateway auch für andere Leute „ganz woanders“ an einem Router in der Domaine tätig gewesen sein kannst.

3 Likes

bitte bitte, keine Ursache, bei der Rangliste der DAUs versuche ich immer, den ersten Platz zu belegen, und IPv6 hab ich aus Prinzip bei mir immer völlständig disdabled. :wink:

Aber ernsthaft: Das ist ein Beispiel dafür, wie Missverständnisse zu Fehlern führen können, wenn der eine meint, das sei doch klar und der andere das eben (noch) nicht weis. Das „bauer Port ist nicht mehr notwendig“ bezog sich wohl auf die Installation der Firmware. (und so weit ich sehen kann, gibt es auch keine Anschluss-Anleitung im Netz, bei der ausdrücklich vor dieser möglichen Fehlverbindung gewarnt wird (weil das eben alle, die mit der Sache zu tun haben, als soooo selbstverständlich ansehen). Deswegen, Anleitungen immer aus der Perspektive des Super-DAUs auf Verständlichkeit überprüfen (muss also auch mal meine Webseite checken).

Halten wir fest:

Neue User können durch das wählen eines falschen LAN ports:

  1. das Netz gewaltig stören
  2. eine ganz private Abmahnwelle generieren

Es bleibt nur die Schlussfolgerung die ‚gelben‘ ports als default zu entschärfen.

Wem es technisch nicht zusagt der bedenke, dass die negative Presse gegen Freifunk richtig Anlauf nehmen könnte! Das muss DAU sicher werden.

1 Like

Wie genau stört man das Netz eigentlich durch senden von Router Advertisements bzw. DHCP an die LAN Ports? Bei uns in Lübeck wird das durch ebtables Regeln abgefangen und ich dachte bisher, dass jede andere Community das so übernommen hat. Falls das nicht funktioniert, ist das ein Bug: Wie kann man das Problem reproduzieren?

Ein IPv6-Router mit RA etc. an Gelb:

Welche Firmware läuft dort (d.h. Gluon aus welchem Commit und mit welcher site.conf)?

Ist Rheinufer, aber mehr weiß ich nicht, vielleicht der @pixelistik

Hab’s gerade mal mit radvd und einem Freifunk Lübeck Knoten mit Firmware 0.6 ausprobiert:

Router Advertisements werden nicht ins Mesh gelassen. Ebenso wird DHCP geblockt. Die Fehlbenutzung der LAN-Ports wird also bereits verhindert und es ist gefahrlos möglich einen Freifunkknoten falsch anzuschließen.

1 Like

also hab gerade mal getestet, Wupper-Firmware:
wenn ich die gelben Ports benutze, bekomme ich kein Internet.
Fehlverbindung also auch für DAU ausgeschlossen.
(weswegen das für mich auch nie ein Thema war, es ging ja nur der blaue)

Bei dem erwähnten Problem müsste es schon die 2014.4-stable-3 gewesen sein, die site.conf müsste also diese hier sein: https://github.com/ffrl/sites-ffrl/blob/master/site-rheinufer/site.conf

Wie wäre es die LAN Ports an gefährdeten Stellen einfach abzuschließen? :wink:

http://www.lindy.de/RJ45-Port-Schloss-10-Stueck-mit-Schluessel.htm?websale8=ld0101&pi=40470

Da kann ich auch Stecker ohne Kabel mit gekürzter Klemme benutzen, ist günstiger

Genau das hatte ich ja schon vor einiger Zeit mal vorgeschlagen.
Die billigsten Stecker kosten 3 Euro im Hunderterpack. Ohne Kabel zucrimpen und Lasche kürzen. Fertig.

1 Like

Ich hätte es nicht so kurz gemacht,damit sie doch noch einmal rausgehen, wenn man sie ganz rein schiebt, nicht wie du nur halb