Zunächst ist wichtig, welche Tunneltechnik Deine Community einsetzt. Fastd braucht vergleichsweise viel Leistung sowohl auf Router- als auch auf Supernodeseite. Deshalb lieber einen leistungsstarken „Offloader“ nehmen, Futro mit zwei Netzwerkkarten z.B. oder langsamer einen TP-Link 1043v2 oder v3. Bei L2TP reicht auch ein billiger 841er aus, 20 MBit ohne Probleme oder mehr.
Dann sollte es wie schon geschrieben nur ein Tunnel sein - ist fairer wegen des Ressourcenverbrauchs auf Serverseite. Also nicht jeden kleinen WLAN-Router per Mesh-VPN an die Fritzbox, sondern nur an einem Router das VPN aktivieren.
Ich habe hier ein Setup laufen (Duisburg/RG-West, L2TP), bei dem ein 1043v2 im Keller ohne WLAN den Tunnel macht und die gelben Ports sind dann per Mesh-on-LAN mit weiteren Routern verbunden. Ein Port geht auf einen 842er am Fenster, ein weiterer Port des 1043er geht auf ein 5GHz-Panel (Ubiquiti LiteBeam ac AP), das mit 120Grad Winkel mehrere Gegenstellen per Multipoint-Richtfunk versorgt, quasi als verlängertes LAN-Kabel. Die Gegenstellen sind dann weiter weg und Meshen per LAN mit dem 1043er. So dass ich auf der WLAN-Seite den Traffic nicht verteilen muss. Trotzdem habe ich das WiFi-Mesh aktiv, damit Nachbarn ohne zu fragen ankoppeln können.
In Geflüchtetenunterkünften optimieren wir dann noch die WLAN-Kanäle, so dass sich die einzelnen Router nicht gegenseitig die Airtime klauen. Das geht aber auf Kosten des WiFi-Meshings, da man dann den von der Community gewählten Kanal verlässt und sich Nachbarn nicht mehr ankoppeln können. Ist also keine reine Freifunk-Lehre mehr, macht aber auf diesen räumlich begrenzten Arealen auch keine Probleme.
Also einfaches Setup für Dich:
Der CPU-stärkste Router kriegt das VPN über den blauen Port, dazu dann Mesh-on-LAN an. Die anderen Router koppeln entweder per Mesh-on-LAN (gelber Port) oder über Mesh-on-WAN (blauer Port) damit an.
Wir hatten hier leider Probleme mit Routern, die Mesh-on-WAN aktiviert hatten, aber kein aktives LAN-Kabel in einem gelben Port und dann nicht immer sauber gebootet haben. @adorfer weiss da mehr Details zu. Um das zu umgehen einfach Mesh-on-WAN aus lassen.
Du kannst dann noch bei Routern, die sowieso draußen unsichtbar sind, das Mesh-on-WLAN abschalten, solltest aber mindestens bei einem das anlassen, um das freie Meshing nicht ganz zu unterbinden. Freifunk halt.
Ich habe mal ein bischen herumgelesen und habe dazu allerdings noch eine brennende Frage an Dich - die auch schon zuvor fast philosophisch diskutiert wurde. Da ich allerdings nicht so dicke in der Materie stecke will ich hier wie folgt schildern:
L2tp hat ggü. fastd keine verschlüsselten Daten im VPNTunnel. Der Tunnel (zwischen FFRouter und FFSupernode) selbst ist aber wohl nur theoretisch mitzulesen (z. B. bei Terrorabwehr, schweren Straftaten… durch Verfassungsschutz o.ä.) aber wohl nicht durch irgendwelche übereifrigen Abmahnanwälte die meinen Provider(2+2 oder so) dazu beauftragen.
Deshalb gehe ich davon aus, daß dieses L2TP Protokoll den sicherheitsbewußten FFKnotenaufsteller wohl nicht über einen „unsicheren“ Tunnel realistisch in Gefahr bringen kann (mir geht es darum, daß die FFKnoten eine bessere Performance für meine Nutzer (ca 20 Refus) erzielen)
Kannst Du dieser Annahme zustimmen?
Um es zusammen zu fassen: Mach’s einfach. Ich hätte nicht meinen Eltern und meinem Bruder jeweils einen VPN-Knoten installiert (mit je einem Flüchtlingsheim dran), wenn ich da Bedenken hätte.
Um es abzukürzen: Provider darf nicht reinsehen. Das reicht mir.
Und wer es wirklich will, hackt sich in die Firmware des Knotens.
Um noch ein Beispiel zu geben: an meiner Wolke mit L2TP hängen teilweise Leute, die es früher nicht genau mit den Gesetz genommen haben. In fast 10 Monaten bis jetzt alles gut.