Aber überall wird von unterschiedlichen Ports gesprochen, weshalb ich mich genötigt sehe, das hier noch einmal gesondert anzusprechen.
Welche Ports müssen den nun in der FB freigegeben werden? Die einen sagen nur fastd (UDP), die anderen noch DHCP(UDP) und DNS (TCP+UDP). Wieder andere sagen http und https (TCP) für wget muss auch noch mit. Wieder andere erlauben dann noch ICMPusw. usw. …
Was stimmt denn nun? - Ich kann es leider, mangels LAN-Gastzugang hier nicht testen.
Gruß
Zusammenfassung: (wird nach und nach bearbeitet)
Was man auf jeden Fall benötigt:
VPN Ports der Commnity (fastd UDP, siehe site.conf Abschnitt: fastd_mesh_vpn)
Beides noch nicht probiert. Kam nur sagen, dass der Normalbetrieb funktioniert.
Da der Autoupdater über den Tunnel läuft, sollte es kein Problem geben.
welche Ports du freigeben musst, hängt von der Konfiguration deiner Community ab. Die Ports kannst du in eurer site.conf einsehen, bei uns in Münster ist es z.B. 14242.
Es geht mir darum herauszufinden welche Ports ggf. noch zwingend freigegeben werden müssen.
Ich würde es selbst testen mir fehlt jedoch die passende FB dafür und möchte sowas aber bald einrichten und dann schon wissen was genau eingestellt werden muss und es nicht erst testen…
Vielleicht an dieser Stelle als Tipp, weil uns das hier in Düren mal einiges an Nerven gekostet hat: Die FritzBox-Filter gelten nur für neu aufgebaute Verbindungen. D.h. wenn der VPN-Tunnel einmal aufgebaut ist und man dann die Ports schließt (weil man Sachen ausprobiert und nicht weiß, welches die richtigen Ports sind), dann bleibt der Tunnel trotzdem bestehen, bis die Verbindung (durch z.B. Reboot) mal getrennt wird.
Drüber hinaus ist zu beachten, dass -je nach Fritzbox-OS/-Modell- das Gastnetz nicht vollständig von der Priorisierung („Hintergrundanwendung“) geregelt werden kann.
Eine sinnvolle Bandbreitenbeschränkung „nach Bedarf/Vorrang der ‚normalen‘ Lan-Benutzenden“ ist damit evtl nicht einstellbar oder -schlimmer- einstelllbar, wirkt aber nicht.
Wenn die Bandbreiten-Steuerung denn mit funktioniert. Jedes Endgerät wird mit eigener IP durch das Netzwerk getunnelt. Meines Wissen nach funktionieren alle Filter dann nicht. Auch keine Blacklist Einträge, Zeitsteuerungen usw.
Eine Bandbreiten Regelung der Geräte kann daher erst am Ende des Tunnel erfolgen.
Ich schließe aber nicht aus, das die Hauptgeräte als Echtzeitanwendung schon theoretisch behandelt werden können. In der Praxis bricht es schnell ein, die NAT Chips überlasten sehr schnell bei viel Traffic und einer höheren Anzahl der Verbindungen.
Wir fahren Autoupdate zweigleisig. Sprich eine Domain die nur im FF Netz erreichbar ist und eine die, wenn der Knoten MeshVPN aktiv hat, auch über den normalen Internet Zugang erreichen kann. Dafür muss der Knoten aber auch via Port 80 nach draußen kommen.
Nein.
Beide Aspekte Deines Postings sind geelcht.
Vielleicht solltest Du doch besser Fritzbox-Gastlan machen statt hier Leute (unabsichtlich) an der Nase herumzuführen.
Das würde mich wundern wenn es anders ist. Ich habe mich eine Woche damit beschäftigt eigene Systeme zu hacken und Sicherheitslücken zu schliessen. Dabei bin ich mit VPN Tunnel Apps auf diese Probleme gestossen. Würde mich wundern wenn FF dieses tunnelt mit Filter Berücksichtigung.
Viele VPN Apps betreiben damit auch Werbung alle Filter zu tunneln. Auch Bandbreiten Einschränkungen auf diversen Downloadbörsen vom ISP werden getunnelt.
Ich glaube, dass Du hier unterscheiden musst, worauf die Filter wirken.
Filter, die die Zieladresse betreffen, können für FF Traffic nicht funktionieren, da die Pakete getunnelt und daher nicht erkannt werden, was ja im Rahmen von Freifunk genau so gewollt ist.
Die Filter, die auf die Quelladresse reagieren, oder nicht durch den Tunnel geschickt werden, so wie die Bandbreitenbeschränkung, funktionieren problemlos, da die Adresse des FF-Router der Fritzbox ja nicht verborgen bleibt.