Konfigurations-Seite im "Normal"-Modus möglich?

Moin!

Es schlagen ja in schöner Regelmäßigkeit Menschen im Forum auf, die, nachdem sie den Router zum Laufen gebracht haben wieder auf die Konfigurations-Seite wollen.

Denen erklärt dann jemand, dass sie entweder

  1. mit einem Kabel zum Router müssen, umstöpseln auf Laptop direkt an Router, Reset in Config-Mode, Konfiguration ändern, Reset zurück in Normal-Modus oder
  2. einen SSH-Key hinterlegen, um die Konfiguration auf der Kommandozeile vorzunehmen, wenn sie sich das zutrauen.

Die „Lösung“ 1 ist je nach Standort des Routers ziemlich aufwändig (und während der gesamten Konfiguration gibt es kein Freifunk). Die Lösung 2 macht gerade Neulingen dann doch irgendwie Angst.

Warum gibt es überhaupt die Trennung in Config- und „Normal“-Modus? Was bräuchte es, damit man immer ein Web-Konfigurations-Interface vorhalten könnte?

Momentan ist die Konfiguration ja nicht Passwort-geschützt. Da ergibt es Sinn, dass sie nur mit direkt am Router angeschlossenen Clients funktioniert.

Wie aufwändig wäre es ein Passwort-geschütztes Konfigurations-Interface zu bauen? Das könnte man ja voreingestellt nur auf WAN anbieten (also in 99% der Fälle im privaten LAN des Aufstellers, das relativ sicher sein sollte) und nur auf Wunsch auch im Freifunk-Netz.

Dann könnte die Unterscheidung zwischen Betriebs- und Config-Modus vielleicht sogar ganz entfallen,

Schnaps-Idee?

1 Like

Ich nehme mal stark an, dass Gluon das von OpenWRT geerbt hat. Zumndest gibt es dort auch einen Routerreset mirt Knöpfchen halten.

Ein ausgeklügeltes Sicherheitskonzept. Im Moment muss man immer physischen Zugriff haben oder sich als Experte geoutet haben.

Das lUCI von OpenWRT bietet sogar solche Möglichkeiten.

Müsste man drüber diskutieren.

1 Like

Also wenn standardmäßig das Webinterface immer verfügbar ist, würde ich trotzdem einen Config-Modus haben wollen, bei dem der DHCP aktiviert ist und der Router immer die IP 192.168.1.1 hat.

Dass es so ist, wie es ist hat vermutlich „nur“ Sicherheitsgründe. Kann man also vermutlich theoretisch ändern.

Statt aber das Problem direkt technisch lösen zu wollen, würde ich vorschlagen, die Anleitungen oder FAQs einfach dahin gehend anzupassen. Zum Beispiel bei Anleitung | Freifunk-Ruhrgebiet wird nicht erklärt, wie ich wieder in den Config-Mode komme. Was ich nicht nachlesen kann, kann ich auch nicht wissen.

Das ist nochmal ein anderer Failsafe-Modus, den kriegt man bei Gluon auch indem man nicht im laufenden Betrieb drückt, sondern direkt nach dem Einschalten. Dann kommt man nur per Telnet rein. Hat also mit dem Config-Modus erstmal nichts zu tun.

1 Like

Ich finde das Verfahren vom NordWest-Netmon brauchbar:
Nachdem man den Plasterouter online gebracht hat (egal wie) wird er vom Crawler des Netmon im Netz gefunden.

Dann ist der Router noch niemandem persönlich zugeordnet.
Auf der Webseite vom Netmon legt man Useraccounts an.
Und diese User können dann die „noch freien“ Router bei sich in den Account holen. (Wer welche „klaut“ bekommt Ärger… Aber da wären ja auch andere Methoden denkbar wie „Registerschlüssel ausgeben am Ende des Config-Prozesses“)

Anyway, man hat dann also eine NutzerInnen-Accountverwaltung in der auch Router liegen. Und jeden dieser Router kann mensch dann z.B. auf der Karte verschieben oder umbenennen.
Und diese Infos werden dann auch regelmäßig mit dem Router abgeglichen und bei änderungen in seine lokale Config geschrieben, damit er fortan auch die passenden Alfred-Daten liefert.

(Ich hoffe ich habe es so richtig verstanden. Das Git bei NordWest ist leider ein privates bei dem ich mir noch keinen Account besorgt habe, kann also auch nix sinnvoll verlinken hier.)

1 Like

Ich bin da aus Sicherheitsgründen strikt dagegen. Wer Zugriff auf den Router bekommt, der hat auch Zugriff auf das private Netz des Knotenaufstellers.

Selbst Router von großen Herstellern wurden schon gehackt. Z. B. AVM letztes Jahr. Obwohl sie in meinen Augen sehr professionell reagiert haben, ist Schaden entstanden und die haben Leute, die da hauptberuflich dran arbeiten.

Sowas kann eine lose Community nicht leisten. Daher gibt es kein Webinterface.

2 Likes

Sollte damit erschlagen sein:

Für die Standard-Fälle „Koordinaten total kaputt“ und „Name des Routers ist voll blöd gewählt worden“ wäre das schon mal 'ne tolle Sache.

Andere Konfigurations-Einstellungen (Mesh-VPN/Mesh-on-LAN/-WAN etc. pp.) möchte man aber wohl nicht über so einen Mechanismus änderbar haben, oder?

1 Like

Du hast mein Posting nicht gelesen oder verstanden. Sorry.

Der Ansatz ist gerade, dem Router kein Webinterface zu geben, sondern ihn nur Daten pullen zu lassen von einem Server, die dort vorher nach den Regeln der Kunst validiert worden sind (gegen Injections etc.)

Auf jeden Fall!

Andererseits: Ich bin heilfroh, mit SSH klarzukommen und Änderungen darüber machen zu können. Das Umgestöpsele und In-Config-Geboote wäre mir auch mit Anleitung echt zu blöd. Insofern wäre eine technische Lösung für Nicht-SSH-affine vielleicht nicht ganz abwegig. :wink:

Edit:

Stimmt. Diese Vorhersagbarkeit, wie man den Router erreicht (auch wenn er gar nicht an ein privates LAN angeschlossen ist), ist ein guter Grund für einen Config-Mode.

Ich hatte mehr dem TS geantwortet, als dir explizit.

Genau, eine zentrale Instanz ist für Hacker ein noch lohnenderes Ziel. Das macht sicherheitstechnisch definitiv Sinn - nicht.

In Zeiten, in denen sich riesige Firmen wie Sony und ähnliche nicht gegen Hacker wehren können, kann das eine kleine freie Community schon Mal gar nicht.

2 Likes

Ich werfe mal, ohne hier jetzt jeden Beitrag ausführlich gelesen zu haben, das entsprechende Gluon Issue ein. Dort habe ich mir schon einige Gedanken zu dem Thema gemacht. Falls ihr ein Konzept erarbeitet, würde ich das gerne einmal durchlesen und ggf. implementieren.

3 Likes

Wenn ich @adorfer richtig verstanden habe, ging es bei dieser Netmon-Lösung (im Gegensatz zum Thread-Start) „nur“ um Koordinaten und Router-Namen.

Ist das für „Hacker“ (Wurde nicht Jahrzehnte dafür diskutiert, Kriminelle nicht so zu nennen?) wirklich ein „lohnendes Ziel“? Ein paar Freifunkern das Leben schwer und die Karte kaputt machen?

Freiheit statt Angst? [duck]

1 Like