Knoten über WLAN statt Kabel ins Internet einbinden

Nachdem ich mich über die Suchfunktion zunächst nach KBU „verirrt“ hatte möchte ich ein altes Thema mit leicht neuer Note doch nomal aufzuwärmen versuchen:

Ausgangsbasis:
An vielen Stellen, wo ich bis jetzt FF-Knoten aufstellen durfte stand zuvor ein kleiner Switch. Den konnte ich meist recht unkompliziert ersetzen, wenn ich eben auf den LAN-Ports das private Netz legte. Ist nicht upgrade-fest, das soll hier nicht das Thema sein (habe mir eine Backup-Struktur dafür aufgebaut)
Ich habe also oft folgende Konfiguration:

• WAN-Port via Kabel am lokalen Internet-Router (z.B. Fritz-Box)
• LAN-Ports auf lokales Netz umkonfiguriert
• WLAN mit 3 SSIDs
  1. Freifunk
  2. mesh
  3. privates Netz

Kontext:
Man liest öfter von folgenden Setup:
InternetZugang - (Kabel) - CPE510 - (Strecke von xkm Funk) - CPE510 - (Kabel) - FF-Knoten (2,4GHz)
CPE510 jeweils mit orginal FW.

oder auch:
InternetZugang - (WLAN) - Empfangsknoten Mode Client (z.B. 5GHz) - (kurzes Kabel) - FF-Knoten (2,4GHz)

Idee:
Wenn ich jetzt z.B. einen WDS3600 nehmen, dann hat der sowohl 2,5GHz wie auch 5GHz WLAN Module drin.
Von der Funktion her müsste er doch die oben markierten Teile des prinzipiellen Aufbaus in sich vereinen können:
5GHz Teil als Client (sta) konfigurieren und 2,4GHz als FF-AP wobei auch nochmal das private WLAN mit ausgestrahlt werden soll.

Unklarheit:
Wo ist der prinzipielle Unterschied:

1. Kabel am WAN-Port

   • pivates WLAN klappt wie am Internet-Router, wird also quasi „geswitched“
   • privates Netz am LAN-Port ist möglich, wird fast wie beim Switch (bridge?)
   • es ist also möglich das Netz vom WAN-Port an die beiden anderen Ausgänge durchzuschleifen.

2. kein Kabel am WAN-Port aber WLAN (private SSID, 5GHz) als Client am gleichen Internt-Router angemeldet.

   • kein DHCP vom Internet-Router am LAN-Port, max. neues Netz das gerouted wird
   • privates WLAN am 2,4GHz Modul verhält sich wie der LAN-Port, nicht wirklich das gleiche lokale Netz
   • es ist mir bisher nicht möglich den LAN-Port so übers WLAN im Client-Mode durchzuschleifen wie zuvor über den WAN-Port

Wenn das mit dem internen Switchen und Gluon so kompliziert ist, dann habe Ich sogar daran gedacht das 5GHz WLAN-Modul aus der Gluon-Config rauszunehmen, ebenso einen LAN-Port. Dann dieses WLAN im Client-Mode wirklich 1:1 auf einen LAN-Port zu spiegeln. Von dort dann ein kurzes Patchkabel auf den WAN-Port und damit das 2,4GHz-Modul und die restlichen LAN-Ports wie üblich ansteuern.

Jetzt sehe ich zwei Möglichkeiten:

1. Entweder habe ich einfach noch nicht die richtige Einstellung gefunden
2. oder es geht einfach nicht (wenn ich z.B. in /etc/config/network auf mode bridge wechsele und sowohl mein VLAN-Switch mit dem entsprechenden LAN-Port, wie das WLAN iface angebe, dann baut er kein WLAN mehr im Client-mode auf)

Könnt ihr mir bitte helfen und entweder:

• meinen Denkfehler aufzeigen, damt ich es mir aus dem Kopf schlage
• eine Lösung mit finden helfen, vorzugsweise in der Konfiguration und ohne die Krücke des Patchkabels

Dann müsste man doch die LAN-Ports des FF-Knoten auch darüber versorgen können.
Letzteres bekomme ich aber nur hin, wenn der FF-Knoten wirklich als Router agiert, d.h. wenn am LAN dann ein DHCP-Server läuft und eine Netzumsetzung stattfindet. Auf ein lokales NAS kann man dann auch nicht zugreifen.

Das beschriebene Setup mit der Stock-Firmware auf 5GHz wird verwendet, weil an 5GHz Kanäle verschiedene Anforderungen gelten um im Aussenbereich nicht mit Wetterradar und was auch immer zu kollidieren. DFS ist das Stichwort dazu. Nicht alle Kanäle sind für draußen zugelassen und ein guter Teil davon muss DFS können was Gluon nicht unbedingt kann. Ob das für Dich zutrifft musst Du leider selbst recherchieren.

Ein WLAN-Client darf genau eine MAC haben. D.h. Du kannst nicht einfach ein WLAN-Client-Interface in eine Bridge mit LAN und/oder WLAN-AP stecken. Viele Linuxkernel/bridge-utils lassen deshalb auch gar nicht zu einen wlan-client-Port in eine Bridge zu stecken.
Wenn Du das wirklich wirklich wirklich haben willst, kann Dir parprouted eventuell weiter helfen.
Oder, in Deinem speziellen Fall Client und AP umdrehen. Dann ist am Internetzugang der WLAN-Client des privaten Netzes mit dem Default Gateway mit seiner 1 MAC und am Freifunkrouter der AB an dem dann alles andere ankommt. Hängt von den örtlichen Gegebenheiten ab ob das so für Dich funktioniert.

Tschoe,
Adrian

Ok, ich bin noch in der Experimentierphase
Zur Verdeutlichung mein jetziger Aufbau:

wlan_bridge1536×427 39.2 KB

Wenn ich am gelben Port 1 einen PC anstecke, dann bekommt er per DHCP eine IP-Adresse von der Fritz-Box und ich kann prima ins Internet gehen - klassische Bridge oder Client Konfiguration des 5GHz-Teils.

Meine naive Annahme war: Wenn ich den jetzt auf den WAN Port stecke, dann sollte darüber doch eine Anbindung des Freifunk-Teils möglich sein, wie wenn der WAN-Port direkt an die Fritz-Box per Kabel angeschlossen wäre.
Nun, was soll ich sagen: Sobald ich die Firewall ausschalte geht es. Bleibt diese aber an: dann geht es nicht. Leider verstehe ich die Firewall-Konfiguration aber nicht auf Anhieb. Kann/will mir jemand einen Tipp-geben?

Zur aktuellen Konfiguration:
Grundidee kommt von hier: https://geeklabor.de/posts/openwrt-bridged-repeater-mit-relayd/
Dort steht drin welche Dienste man im Repeater-Mode abschalten soll, sicher nicht ohne Grund. Da ich allerdings den Freifunk-Teil weiter mit auf dem gleichen Gerät betreiben will, würde ich diese Dienste dafür natürlich schon gerne weiterlaufen lassen.

Bei mir bisher folgendermaßen umgesetzt:

/etc/config/wireless, network, firewall
bridge_test_configs.zip (2,9 KB)

Dabei sind:
plan = privates LAN (port 1 in obiger Zeichnung)
pwlan = privates WLAN, das ist die bridge im 5GHz-Zweig

im Firewall-Config-File habe ich versucht etwas zu erreichen, wie gesagt: bisher ohne durchschlagenden Erfolg.

Ehrlicherweise muss ich sagen: Bin schon froh, dass es im Prinzip klappt. Hoffe die Firewall-Konfig bekommt man auch noch hin. Oder habe ich irgendein riesen STOP übersehen?

Die OpenWRT/Gluon Firewall kenn ich leider nicht wirklich. Aber ich hab mir den relayd angeschaut, zumindest oberflächlich. Faktisch hast Du ein Routing zwischen den beiden Interfaces, eventuell musst Du Verbindungen von der Zone in die Zone explizit frei schalten. In den meisten Gluon-Setups ist die Zone immer nur 1 Bridge, da greifen iptables-Blocks erstmal nicht einfach so. Bei Routing aber schon.
Testweise vielleicht auf der Shell:
iptables -I FORWARD -i plan -o pwlan -j ACCEPT
iptables -I FORWARD -o plan -i pwlan -j ACCEPT

Tschoe,
Adrian

Ist ja lustig, ne IP-Adresse bekomme ich auf die Art via privates WLAN auf 2,4GHz, aber sonnst geht dann nichts. Kein Ping zum privaten Router, kein Internet via FF-SSID nichts.
Da muss ich nochmal drüber schlafen und wie´s scheint bisschen mehr lesen. Vielen Dank aber schonmal bis hierhin!
Ich bleib dran

Vielleicht willst Du mal tcpdump auf den beteiligten Interfaces ausführen.
Gibt es ARP-Requests? Antworten darauf? Sind es die richtigen MACs? Auf jeweils beiden beteiligten Interfaces?

Moin,

das klingt irgendwie sehr nach loop.

Die gluon basierten Freifunk-Router haben eine br-wan-Netzwerkbrücke (bridge). Darüber stellen sie die VPN-Verbindung her. Du müsstest nur das 5 GHz-Clientinterface, welches im verschlüsselten WLAN der FritzBox hängt, dort mit reinhängen.

Stop. Wir reden hier von Layer-2. Da gibt es keine Firewalls. Firewalls agieren auf Layer-3. Hier bist du irgendwo falsch abgebogen.

Grüße
Matthias

routed ‚fälscht‘ Layer 2 über Layer 3.
Auch auf Layer 2 gibt es Firewalls (Linux: ebtables), das wird dann auch gerne als transparente Firewall vermarktet und je nach Kernel und Konfiguration schlagen iptables auch auf einzelnen Interfaces einer Bridge zu.

Bin eher zufällig über den MT300N-V2 gestolpert.
Der ist für um die € 25,- zu haben und damit kann ich meinen Ansatz vorläufig auch realisieren. Sieht dann so aus:

image1024×683 155 KB

Der WDR3600 läuft mit stock-Firmware und stellt über 5GHz die Verbindung zur Fritz-Box und damit zum privaten WLAN und dem Internet-Uplink her.
Der MT300N-V2 bekommt dann auf diesem Weg an seinem seinem WAN-Beinchen Verbindung. Auf ihm läuft ganz normal die Freifunk-Firmware wie wenn er direkt per Kabel an der Fritz-Box hinge. Der MT300N-V2 gibt dann im 2,4GHz Band folgende 3 SSIDs aus:

1. saar.freifunk.net
2. FF-mesh
3. privates WLAN

Mir will noch immer nicht richtig einleuchten, warum diese Lösung nicht im WDR3600 intern möglich sein soll, immerhin hat er ja auch ein 2,4GHz Modul. Das schalte ich in dieser Konfiguration einfach ab. Schade, aber im Moment fehlt mir einfach die Zeit und Geduld daran weiter zu „forschen“.

Die Lösung hier kostet etwas mehr, verbraucht etwas mehr Strom, dafür aber keinen zusätzlichen Steckdosen-Platz. Ausserdem funktioniert sie halt einfach
Bin also erstmal zufrieden. Komme aber sicher bei Gelegenheit auf das Thema zurück.

Tausche die beiden Rollen und es ist perfekt!
Also den WAN-Uplink über dein MT300 und die Freifunk-Firmware auf den TP-Link 3600.

Ich mache das anders und nehme den kleinen Gl-Inet als Internetspender und hänge WAN des FF-Geräts an dessen LAN. Wenn ich Doppel-NAT vermeiden will, ggf. auch ans WAN, je nach Einstellung des Mango, den ich mit Vendor-FW oder nacktem OpenWrt fahre. (Oder auch mit FF-FW, hat ja Platz im Flash für Erweiterungen.)

Wenn es darum geht ausschließlich darum geht Internet via Freifunk zur Verfügung zu stellen, nicht nur klassisch via DSL, Koax, VDSL, sondern auch z.B. LTE, dann verstehe ich diese Vorgehensweise gut.
Mein Ziel ist leicht anders gerichtet, es geht mir primär darum, das private WLAN zu verteilen mit dem Zusatznutzen Freifunk.

Wenn ich den Post hier lese, dann fürchte ich was zu übersehen:

Ich verstehe leider nicht: was wird dadurch besser?

Das geht nur per Kabelanschluß ans LAN. Stichwort WDS, 3 vs. 4 Adressen. AFAIR.

Der WDR3600 ist Dualband und hat mehr CPU, damit ist er als „nur WifiClient“ die schlechtere Wahl, wenn er auch den Freifunk-Part übernehmen könnte.