in Aachen sind wir aktuell dabei so ziemlich alle Gastronomen die nicht bei drei auf den Bäumen sind mit Freifunk auszustatten. Dabei kam heute ein Interessante Frage auf, auf die ich so nicht vorbereitet war:
Das Restaurant betreibt aktuell ein eigenes WLAN / Netz für sein Kassensystem. Hieran würde auch der Freifunk Router angeschlossen werden. Der Betreiber hat nun sorge, da das Gerät ja physikalisch im gleichen Netz hängt, das durch den Freifunk Router potentiell auf das Kassensystem zugegriffen werden kann. Bzw. der Freifunk Router auch den Traffic des Kassensystem im Netz sieht.
Wie sieht es hier technisch aus? Wie ist Freifunk von seinem Netz abgekoppelt? Hat @MrMM damit vielleicht schon Erfahrung und gute Argumente für mich?
Gut. So hatte ich das auch gelesen.
Wir hatten grad eine Situation wo der Router nicht mit der WAN Buchse sondern LAN verbunden war - damit war ein Zugriff aufs lokale Netz per Wifi möglich - soll das so? Kann ich mir eigentlich nicht vorstellen.
Freifunk Router (LAN) an der Fritzbox (LAN) per LAN. Nach dem einrichten das Kabel nicht umgesteckt in die WAN Buchse, verbunden mit Wifi „Freifunk“ AppleTV, NAS & Co die an der Fritzbox hängen sichtbar.
Klar, Knie schießen ist nicht gut - aber wenn es nicht so sein sollte, sollten wir das abstellen, oder?
Du könntest die Buchsen abkleben oder mit einem Warnsticker versehen. Über die Shell kannst du die Ports sicher auch töten. Vielleicht gibt es für sowas Leerstecker?
Klar, das ist die Variante wenn ich den Router komplett selbst einrichte. Im dargestellten Fall ging der aber nur fertig geflashed raus da der Betreiber in der Lage ist ihn selbst zu konfigurieren.
Es geht ja aber darum das ein Zugriffs aufs Netz an dem der FF Router hängt per Freifunk Wifi meines erachtens NIE möglich sein sollte. Egal ob an WAN oder LAN verbunden.
Da läufst du aber irgendwann in eine Sackgasse, da der Router irgendwann Wartung brauchen wird oder weggeschmissen werden müsste. Beim Wechsel in den Config Mode muss LAN also wieder da sein.
Eine Möglichkeit wäre auch beim Vorflashen die LAN-Ports physisch zu sichern. Es geht ja hier darum, eine Fehlbedienung zu vermeiden, oder?
Nochmal: Es geht mir nicht um Zugriff aufs LAN wenn ich per LAN mit dem FF verbunden bin.
Sondern um Zugriffs aufs Netzwerk VOR dem FF Router per WLAN (!) wenn dieses am FF Router an einer der LAN anstatt der WAN Buchse hängt.
Wenn Du das so verkabelst ist das Netz sowieso hochgradig defekt, weil du dann zwei DHCP-Server im Netz hast und die Clients je nach Glück wahlweise vom einen oder anderen bedient werden.
Zudem teleportierst Du sämtlichen lokalen Traffic (des Kassensystems) ins batman-Netz der Domain.
Ausserdem bedient Deine Fritzbox mit etwas Glück noch per DHCP Clients sonst wo in der Domaine…
die dann über die Fritzbox des Kunden ins Internet gehen.
„Sich selbst in den Fuß schiessen richtig gemacht!“
P.S. Da gibt es kein „vor“ mehr, wenn Du Provider-LAN auf FF-LAN hängst. Da gibt es nur noch „nebeneinander Totalchaos“.
Genauso kannste ein Kabel in die Nachbarwohnung werfen und dort an das ProviderLAN eines anderen Anbieters stöpseln… ohne die erste Providerverbindung zu trennen…
(ja, ich weiss, da rettet ihn evtl noch eine Firewall je nach Gluon-Node…)
Warum verhindert eigentlich keiner, dass ich Diesel in einen Benziner tanke?
Okay, davon abgesehen, wie es zu dieser Katastrophe kam - welche Möglichkeiten gibt es überhaupt, dieses Szenario sinnvoll in einer Standardkonfiguration zu verhindern? Datenverkehr ist ja erstmal Datenverkehr, nach welchen Kriterien kann sowas gefiltert werden?
Ich würde die lan Ports des Freifunk Routers mit dem wan Port bridgen statt mit dem Client-lan. Dann ist es egal wo das Netzwerkkabel reingesteckt wird, es ist immer das lokale Netz und es kann nicht versehentlich mit dem Freifunk zusammen gestöpselt werden.
Oder wirklich 4 kurze 8P8C Stecker besorgen, ohne Kabel zucrimpen und in die 4 Buchsen stecken. Dann sind die erstmal dicht. Wenn man die Lasche kürzt bekommt man die nur mit Werkzeug wieder raus. Verhindert auf jeden Fall versehentliche Falschanschlüsse. Ein blaues LAN-Kabel könnte auch noch helfen, blaues Kabel in die blaue Buchse.
Anleitung nicht mehr beachtet als Router „fertig“ war (den das mac adressen eintragen fu ist ja nicht mehr nötig)
damit den hinweis zum umstecken überlesen
Mit Freifunk WLAN verbunden
Panik, da sein lokales Netz + Geräte im „Freifunk“ sichtbar waren
Frage also:
Haben die LAN Ports denn noch einen anderen Sinn als Config Mode?
Wenn nicht: Warum lässt die bei einer Verbindung mit „Freifunk“ Gluon dann einen Zugriff auf das lokale Netz des Problemnutzers zu, was er NICHT tut wenn das Lankabel am WAN hängt?
Ich sehe bei den DAUs da auch permanente Verwechslungsgefahr.
Sonst ist es ja auch immer „Gelb“.
Und außerdem: „warum darf ich die vielen gelben Netzwerkanschlüsse nicht nutzen, wo ich gerade so dringend einen für den neuen Drucker brauche?“
Eine Möglichkeit wäre ja, Gelb und Blau grundsätzlich zu tauschen.
Blau wäre dann für den DAU die „Config-Buchse“ und Gelb wie gewohnt das Lan.
