Freifunk-LAN-Buchse mit Provider-LANbuchse verkabeln -> Netzwerkkurzschluss

Wenn Du das so verkabelst ist das Netz sowieso hochgradig defekt, weil du dann zwei DHCP-Server im Netz hast und die Clients je nach Glück wahlweise vom einen oder anderen bedient werden.
Zudem teleportierst Du sämtlichen lokalen Traffic (des Kassensystems) ins batman-Netz der Domain.
Ausserdem bedient Deine Fritzbox mit etwas Glück noch per DHCP Clients sonst wo in der Domaine…
die dann über die Fritzbox des Kunden ins Internet gehen.
„Sich selbst in den Fuß schiessen richtig gemacht!“

P.S. Da gibt es kein „vor“ mehr, wenn Du Provider-LAN auf FF-LAN hängst. Da gibt es nur noch „nebeneinander Totalchaos“.
Genauso kannste ein Kabel in die Nachbarwohnung werfen und dort an das ProviderLAN eines anderen Anbieters stöpseln… ohne die erste Providerverbindung zu trennen…

(ja, ich weiss, da rettet ihn evtl noch eine Firewall je nach Gluon-Node…)

Nimm mal ein Netzwerkkabel und Steck es in die FritzBox, also beide Stecker und schau mal was dann passiert :slight_smile:

Warum verhindert eigentlich keiner, dass ich Diesel in einen Benziner tanke? :wink:

Okay, davon abgesehen, wie es zu dieser Katastrophe kam - welche Möglichkeiten gibt es überhaupt, dieses Szenario sinnvoll in einer Standardkonfiguration zu verhindern? Datenverkehr ist ja erstmal Datenverkehr, nach welchen Kriterien kann sowas gefiltert werden?

Ich würde die lan Ports des Freifunk Routers mit dem wan Port bridgen statt mit dem Client-lan. Dann ist es egal wo das Netzwerkkabel reingesteckt wird, es ist immer das lokale Netz und es kann nicht versehentlich mit dem Freifunk zusammen gestöpselt werden.

Oder wirklich 4 kurze 8P8C Stecker besorgen, ohne Kabel zucrimpen und in die 4 Buchsen stecken. Dann sind die erstmal dicht. Wenn man die Lasche kürzt bekommt man die nur mit Werkzeug wieder raus. Verhindert auf jeden Fall versehentliche Falschanschlüsse. Ein blaues LAN-Kabel könnte auch noch helfen, blaues Kabel in die blaue Buchse.

1 Like

Ich versuchs noch mal:

  • Router geflashet von mir ausgehändigt
  • „Problemnutzer“ diesen ausgepackt und nach Freifunk Hochstift | Freifunk Community aus der Universitätsstadt Paderborn Anleitung eingerichtet
  • Anleitung nicht mehr beachtet als Router „fertig“ war (den das mac adressen eintragen fu ist ja nicht mehr nötig)
  • damit den hinweis zum umstecken überlesen
  • Mit Freifunk WLAN verbunden
  • Panik, da sein lokales Netz + Geräte im „Freifunk“ sichtbar waren

Frage also:
Haben die LAN Ports denn noch einen anderen Sinn als Config Mode?

Wenn nicht: Warum lässt die bei einer Verbindung mit „Freifunk“ Gluon dann einen Zugriff auf das lokale Netz des Problemnutzers zu, was er NICHT tut wenn das Lankabel am WAN hängt?

1 Like

Na klar. Damit kannst du einen Rechner ohne WLAN-Funktion ins Freifunk-Netz hängen.

Weil Freifunk-WLAN und Freifunk-LAN-Ports ein Netz sind. Wenn man so will sind WLAN und die vier Ports Zugänge zum Freifunk-Tunnel.

Freifunk hätte allerdings nicht funktioniert, da der Tunnel über den Freifunk-WAN-Port hergestellt wird.

1 Like

@timbec

Die LAN-Kabel werden für Mesh-on-LAN, zur Bereitstellung von Diensten für das Freifunk-Netz oder zur Wartung aus dem LAN heraus benötigt.

@hinkelstein

Wenn der Router sich in der Nähe vermeshen konnte, wäre Freifunk wahrscheinlich dagewesen. Es ging aber wohl eher um den Schockmoment.

Jede Community oder Domäne sollte eine Anleitung auf der Webseite haben wo das einrichten seiner aktuellen Firmware für einen DAU beschrieben ist.

Sollte der DAU die Anleitung nicht befolgen kann man halt nichts machen.

Die LAN-Ports sollten weiter mit dem AP verbunden sein. Was noch interessant wäre ist die Ports im Configmode zu konfigurieren: LAN, WAN oder Mesh.

Ich habe 3 Beiträge in ein neues Thema verschoben: Sicherheit des Heim-LANs bei Anschluss von FF-Router

Ich sehe bei den DAUs da auch permanente Verwechslungsgefahr.

Sonst ist es ja auch immer „Gelb“.
Und außerdem: „warum darf ich die vielen gelben Netzwerkanschlüsse nicht nutzen, wo ich gerade so dringend einen für den neuen Drucker brauche?“

Eine Möglichkeit wäre ja, Gelb und Blau grundsätzlich zu tauschen.
Blau wäre dann für den DAU die „Config-Buchse“ und Gelb wie gewohnt das Lan.

Dadurch könnte man sicher vieles entschärfen.

Harry

1 Like

Du willst aber auch jeden mit mindestens Computerbild-Wissen als Feind haben oder?

Und dann kommt das Autoupdate und hunderte Router sind falsch eingesteckt.

Stimmt…zu kurz gedacht.
Dann müssen wir wohl weiter mit dieser Konfiguration leben…

1 Like

Oder man macht das optional konfigurierbar (gelb-blau tauschen <ja/nein>) in der Config-Oberfl.
Das ist dann update-fest.

Einen gangbareren Weg fände ich, für die LAN-Buchsen einen Haken in den Wizard zu packen, der die defaultmäßig ausstellt (und dabei gleich Mesh-VPN defaultmäßig an >:) ).

Bevor wir das diskutieren, sollte man aber festhalten, ob das jetzt ein bedauerlicher Einzelfall ™ war, oder ein verbreitetes Konfigurationsproblem für Selberflasher.

1 Like

Danke euch schon mal bis hier für die Diskussion und das Licht!

Nach der Ausführung von Jan hab ich nun auch kapiert warum das local lan per wlan erreichbar ist und das auch so bleiben muss…

Meine Konsequenz daraus wäre nun für Aachen eine eigene Anleitung zu erstellen und eine kleine Checkliste (hast du xxx gemacht …) hinzuzufügen die solche Stolperfallen abfragt. Denn das übersehen hat nicht viel mit Daus zu tun, sondern schlicht damit das das eingeben der Mac Adresse usw. entfällt und man die Anleitung dann nicht mehr beachtet wenn der Wizard einem sagt „Bin fertig, alles cool!“

3 Likes

Der Text ist frei gestaltbar. Hier kann man das auch noch mal schrieben.

Das würde ich mir auch sehr wünschen. +1

Alle Leute, die sich hier im Forum aufhalten, wissen das halt. Aber Fremde, die gerade mal mit die Stecker zusammen kriegen, sicher nicht.

https://github.com/ffrl/sites-ffrl/pull/3

Ich habe 5 Beiträge in ein neues Thema verschoben: Gluon: FF-Router ins GastLAN (die DMZ) sperren