Freifunk-LAN-Buchse mit Provider-LANbuchse verkabeln -> Netzwerkkurzschluss

Hallo zusammen,

in Aachen sind wir aktuell dabei so ziemlich alle Gastronomen die nicht bei drei auf den Bäumen sind mit Freifunk auszustatten. Dabei kam heute ein Interessante Frage auf, auf die ich so nicht vorbereitet war:

Das Restaurant betreibt aktuell ein eigenes WLAN / Netz für sein Kassensystem. Hieran würde auch der Freifunk Router angeschlossen werden. Der Betreiber hat nun sorge, da das Gerät ja physikalisch im gleichen Netz hängt, das durch den Freifunk Router potentiell auf das Kassensystem zugegriffen werden kann. Bzw. der Freifunk Router auch den Traffic des Kassensystem im Netz sieht.

Wie sieht es hier technisch aus? Wie ist Freifunk von seinem Netz abgekoppelt? Hat @MrMM damit vielleicht schon Erfahrung und gute Argumente für mich?

Danke und fröhliches funken
Tim

1 Like

Gut. So hatte ich das auch gelesen.
Wir hatten grad eine Situation wo der Router nicht mit der WAN Buchse sondern LAN verbunden war - damit war ein Zugriff aufs lokale Netz per Wifi möglich - soll das so? Kann ich mir eigentlich nicht vorstellen.

Welcher Router mit wessen LAN-Buchse? Mit seiner eigenen? Natürlich nicht.

Trotzdem gilt: Wenn ich mir selbst ins Knie schiesse, dann schmerzt das vermutlich.

1 Like

Freifunk WAN zu priv. Router LAN

Freifunk Router (LAN) an der Fritzbox (LAN) per LAN. Nach dem einrichten das Kabel nicht umgesteckt in die WAN Buchse, verbunden mit Wifi „Freifunk“ AppleTV, NAS & Co die an der Fritzbox hängen sichtbar.

Klar, Knie schießen ist nicht gut - aber wenn es nicht so sein sollte, sollten wir das abstellen, oder?

Du könntest die Buchsen abkleben oder mit einem Warnsticker versehen. Über die Shell kannst du die Ports sicher auch töten. Vielleicht gibt es für sowas Leerstecker?

Klar, das ist die Variante wenn ich den Router komplett selbst einrichte. Im dargestellten Fall ging der aber nur fertig geflashed raus da der Betreiber in der Lage ist ihn selbst zu konfigurieren.

Es geht ja aber darum das ein Zugriffs aufs Netz an dem der FF Router hängt per Freifunk Wifi meines erachtens NIE möglich sein sollte. Egal ob an WAN oder LAN verbunden.

Da läufst du aber irgendwann in eine Sackgasse, da der Router irgendwann Wartung brauchen wird oder weggeschmissen werden müsste. Beim Wechsel in den Config Mode muss LAN also wieder da sein.

Eine Möglichkeit wäre auch beim Vorflashen die LAN-Ports physisch zu sichern. Es geht ja hier darum, eine Fehlbedienung zu vermeiden, oder?

Nochmal: Es geht mir nicht um Zugriff aufs LAN wenn ich per LAN mit dem FF verbunden bin.
Sondern um Zugriffs aufs Netzwerk VOR dem FF Router per WLAN (!) wenn dieses am FF Router an einer der LAN anstatt der WAN Buchse hängt.

Wenn Du das so verkabelst ist das Netz sowieso hochgradig defekt, weil du dann zwei DHCP-Server im Netz hast und die Clients je nach Glück wahlweise vom einen oder anderen bedient werden.
Zudem teleportierst Du sämtlichen lokalen Traffic (des Kassensystems) ins batman-Netz der Domain.
Ausserdem bedient Deine Fritzbox mit etwas Glück noch per DHCP Clients sonst wo in der Domaine…
die dann über die Fritzbox des Kunden ins Internet gehen.
„Sich selbst in den Fuß schiessen richtig gemacht!“

P.S. Da gibt es kein „vor“ mehr, wenn Du Provider-LAN auf FF-LAN hängst. Da gibt es nur noch „nebeneinander Totalchaos“.
Genauso kannste ein Kabel in die Nachbarwohnung werfen und dort an das ProviderLAN eines anderen Anbieters stöpseln… ohne die erste Providerverbindung zu trennen…

(ja, ich weiss, da rettet ihn evtl noch eine Firewall je nach Gluon-Node…)

Nimm mal ein Netzwerkkabel und Steck es in die FritzBox, also beide Stecker und schau mal was dann passiert :slight_smile:

Warum verhindert eigentlich keiner, dass ich Diesel in einen Benziner tanke? :wink:

Okay, davon abgesehen, wie es zu dieser Katastrophe kam - welche Möglichkeiten gibt es überhaupt, dieses Szenario sinnvoll in einer Standardkonfiguration zu verhindern? Datenverkehr ist ja erstmal Datenverkehr, nach welchen Kriterien kann sowas gefiltert werden?

Ich würde die lan Ports des Freifunk Routers mit dem wan Port bridgen statt mit dem Client-lan. Dann ist es egal wo das Netzwerkkabel reingesteckt wird, es ist immer das lokale Netz und es kann nicht versehentlich mit dem Freifunk zusammen gestöpselt werden.

Oder wirklich 4 kurze 8P8C Stecker besorgen, ohne Kabel zucrimpen und in die 4 Buchsen stecken. Dann sind die erstmal dicht. Wenn man die Lasche kürzt bekommt man die nur mit Werkzeug wieder raus. Verhindert auf jeden Fall versehentliche Falschanschlüsse. Ein blaues LAN-Kabel könnte auch noch helfen, blaues Kabel in die blaue Buchse.

1 Like

Ich versuchs noch mal:

  • Router geflashet von mir ausgehändigt
  • „Problemnutzer“ diesen ausgepackt und nach Freifunk Hochstift | Freifunk Community aus der Universitätsstadt Paderborn Anleitung eingerichtet
  • Anleitung nicht mehr beachtet als Router „fertig“ war (den das mac adressen eintragen fu ist ja nicht mehr nötig)
  • damit den hinweis zum umstecken überlesen
  • Mit Freifunk WLAN verbunden
  • Panik, da sein lokales Netz + Geräte im „Freifunk“ sichtbar waren

Frage also:
Haben die LAN Ports denn noch einen anderen Sinn als Config Mode?

Wenn nicht: Warum lässt die bei einer Verbindung mit „Freifunk“ Gluon dann einen Zugriff auf das lokale Netz des Problemnutzers zu, was er NICHT tut wenn das Lankabel am WAN hängt?

1 Like

Na klar. Damit kannst du einen Rechner ohne WLAN-Funktion ins Freifunk-Netz hängen.

Weil Freifunk-WLAN und Freifunk-LAN-Ports ein Netz sind. Wenn man so will sind WLAN und die vier Ports Zugänge zum Freifunk-Tunnel.

Freifunk hätte allerdings nicht funktioniert, da der Tunnel über den Freifunk-WAN-Port hergestellt wird.

1 Like

@timbec

Die LAN-Kabel werden für Mesh-on-LAN, zur Bereitstellung von Diensten für das Freifunk-Netz oder zur Wartung aus dem LAN heraus benötigt.

@hinkelstein

Wenn der Router sich in der Nähe vermeshen konnte, wäre Freifunk wahrscheinlich dagewesen. Es ging aber wohl eher um den Schockmoment.

Jede Community oder Domäne sollte eine Anleitung auf der Webseite haben wo das einrichten seiner aktuellen Firmware für einen DAU beschrieben ist.

Sollte der DAU die Anleitung nicht befolgen kann man halt nichts machen.

Die LAN-Ports sollten weiter mit dem AP verbunden sein. Was noch interessant wäre ist die Ports im Configmode zu konfigurieren: LAN, WAN oder Mesh.

Ich habe 3 Beiträge in ein neues Thema verschoben: Sicherheit des Heim-LANs bei Anschluss von FF-Router

Ich sehe bei den DAUs da auch permanente Verwechslungsgefahr.

Sonst ist es ja auch immer „Gelb“.
Und außerdem: „warum darf ich die vielen gelben Netzwerkanschlüsse nicht nutzen, wo ich gerade so dringend einen für den neuen Drucker brauche?“

Eine Möglichkeit wäre ja, Gelb und Blau grundsätzlich zu tauschen.
Blau wäre dann für den DAU die „Config-Buchse“ und Gelb wie gewohnt das Lan.

Dadurch könnte man sicher vieles entschärfen.

Harry

1 Like