Freifunk in bestehendem Unifi-Netz


#1

Hallo zusammen,

ich setze bei mir ein Unifi USG, einen Unifi Switch und Unifi AP’s ein. Über ein Vlan habe ich einen 841 angebunden und strahle Freifunk über meine AP’s aus. Es funktioniert auch soweit, ich erhalte allerdings in der Übersicht sehr viele Gäste-Verbindungen. Habe ich etwas falsch konfiguriert oder ist das normal? Was für Verbindungen sind das?

Gruß


#2

Das ist normal.

Der AP reported eingebuchte Endgeräte an den Controller und irgendwo scheint da eben auch DHCP Snooping zu passieren.


#3

Dann bin ich ja beruhigt. Bin froh dass ich es zumindest ans Laufen bekommen habe :wink: Gibt es die Möglichkeit es so zu konfigurieren, dass andere Freifunk-Knoten über Wlan Meshen?


#4

Ne, wir haben auch viele solcher Installationen und laut Ubiquity-Support kann man das nicht filtern.

Die Anzahl der angemeldeten Geräte an den APs sind auch völiige Fantasiezahlen, wenn die in einem Freifunk-Netz hängen. Ich würde auf den 841er gucken.


#5

Wir haben einen UBNT Management Key und einen UBNT Switch sowie APs im Clientnetz.

Das Managemt Web-If listet sämtliche Cllients im FF-Segment — so etwa 250 — auf und der Key sammelt fleißig Daten pro Client (MAC, IPv4, Hostnamen, usw…) Die Protokollierung kann man nicht abstellen, lediglich die Speicherdauer minimieren.

Im Prinzip kann jeder Freifunkteilnehmer mit geeigneten Geräten bzw. Software diese Daten protokollieren und Abspeichern.

Im Zuge der Diskussion hier im Forum und auf Github/Gluon bezüglich DSGVO frage ich mich nun, wie ich im speziellen dem UBNT Key das Datensammeln und -Speichern abgewöhnen kann und im allgemeinen, wie die Möglichkeit der Datenerhebung durch jeden Freifunkteilnehmer hinsichtlich DSGVO einzuordnen ist.


#6

Ich frage mich, warum ihr den den UBNT Management Schlüssel nicht einfach abzieht? Wir haben die Controllersoftware in einer VM laufen und kommen wunderbar ohne aus.


#7

Verstehe ich das nun richtig, dass man die Mangement Software nur zum Einrichten braucht und dann für den laufenden Betrieb nicht mehr? Mit anderen Worten, auf dem Key läuft eine Software zum Provisionieren und im Betrieb wird dann nichts mehr gemanagt wie z. B. Roaming von einem AP zum anderen?


#8

Der Ubiquity-Zoo hat zwei Stufen des Controllings. Stufe eins ist die Kontrollersoftware, die all das tut, wovon du schriebst. Die protokolliert aber eigentlich nichts. Dieser Management Key bietet dann glaube ich noch so fragwürdige Sachen wie DPI oben drauf? Oder ist das bei euch nicht mit drin?

Bzgl. der Kontrollersoftware, die bei uns auf einer VM im Internet läuft, verbinden sich die Knoten, indem wir für unifi.suchdomäne (bei uns unifi.ffms) einen DNS-Eintrag setzen. So verbinden sich die neue APs automatisch dorthin. Wir müssen sie einfach nur irgendwo ins Freifunknetz hängen.

Oder tut auch die Controllersoftware schon nach der DSGVO fragwürdige Dinge? Das war mir bisher nicht aufgefallen.


#9

Der Management Key selbst kann kein DPI. Dafür braucht man das Security Gateway, welches man direkt hinter einen FF-Knoten und vor den APs sitzen muss.

Ich war erstaunt, als ich die Einstellung DPI zum ersten mal gesehen habe.

Jetzt muss ich nochmal nachfragen:
Ob ich einen Hardwarecontroler habe, in der die Management Software läuft oder eine VM, das sollte doch egal sein. Ihr habt diese ja dann auch ständig am Laufen, also „eingesteckt“.
Provisioniert und protokolliert diese Software nur oder verleiht sie den APs in einer Site mehr „Intelligenz“?


#10

Ja.

Das weiß ich nicht genau.


#11

Nachdem die APs provisioniert wurden, funktionieren diese auch noch ohne eingesteckten Key.

Danke noch für den Tipp mit der Suchdomäne.

Bezüglich der potentiellen Datenerhebung durch jeden Freifunknutzer sollte vielleicht ein anderer Thread aufgemacht werden. Das hat ja nicht nur mit UBNT zu tun.


#12

Den fürchterlichen Broadcast&Pingscan-Arp-Sturm kann man auch anders verhindern, wenn man Zugriff auf den DHCP-server hat, z.B. (hier syntax isc-dhpcd)

option space ubnt;
option ubnt.unifi-address code 1 = ip-address;

class "ubnt" {
        match if substring (option vendor-class-identifier, 0, 4) = "ubnt";
        option vendor-class-identifier "ubnt";
        vendor-option-space ubnt;
}

subnet ..... {
....
        option ubnt.unifi-address 192.168.........
....
}