Mesh des privaten WIFI und Freifunk über einen VPN leiten


#1

Hallo,
ich versuche zu verstehen wie ich meine Grundlast verringern kann und gleichzeitig im privaten WLAN ein MESH aufbauen kann.

Ich habe hier insgesamt 5 Router/AP’s wovon 4 mit der FF-Firmware ausgestattet sind und je ein privates WLAN mit aufspannen. Die LAN-Ports sind ins private LAN mittles: WAN auf allen Netzwerkports verbunden um noch ein paar Geräte an den AP’s zu versorgen.

Meine Hardware:

Router mit OpenWrt Chaos Calmer 15.05.1
TP-Link TL-WR1043ND 2.1

Freifunk Firmware alle über den WAN-Port verbunden
TL-WR841ND V9.1
TL-WR841N V10
TL-WR842ND V2.1
TL-WR841N V11.1

Router ------> 4x Freifunkgeräte (sternverkabelt)

Nun würde ich gerne ein MESH für das private WLAN aufspannen um dieses grausige hin- und herverbinden der CLients zu unterbinden.
Allerdings habe ich gelsen, dass dann kein WPA2 PSK geht? Auf dem Router hatte ich mal wpad-mini durch wpad ersetzt um zu testen, doch konnte der dann nur WEP.

Ausserdem wäre es sehr schön, wenn nicht jeder AP sein eigenes VPN aufbaut, sondern ein AP das VPN betreibt und sich die anderen drei AP’s damit verbinden.
Was ich bisher gelesen habe ist das aber nicht praktikabel, da dann das FF in mein LAN leakt? Bzw. nur mit einem eigenen physischen Netz zu bewerkstelligen.

Könnt ihr mich in die richtige Richtung schubsen? Ist das mit der Hardware überhaupt drin? Womit sollte ich die AP’s tauschen, damit das klappt?

Danke euch.

PS: Wenn dann alles läuft will ich mir darüber Gedanken machen, wie ich die Netze trenne. Heißt je ein Netz für TV/Amazon, Kinder, intern, etc.


#2

Hallo Syon und willkommen im Forum.

Ich würde dir zunächst empfehlen alle Freifunk Router in den “Auslieferungszustand” zu versetzen, damit wir eine saubere Ausgangsbasis haben.

Danach baust du dein Netzwerk wie folgt auf:

Der 1043 wird als s.g. Offloader betrieben, d.h. nur er stellt eine MESH-VPN Verbindung zu den Server deiner Freifunk Community her. Zusätzlich aktivierst du auf der Konfigurationsoberfläche unter Experteneinstellungen->Netzwerk-> “Mesh On LAN” (absenden anklicken nicht vergessen).

Dein privates WLAN kannst du auf dem 1043 natürlich auch wieder aktivieren.

Alle 84x Freifunk Router werden dann mit einen LAN Port an den 1043 angeschlossen. Auf ihnen wird ebenfalls wie oben beschrieben Mesh On LAN aktiviert. Die LAN Kabel die zur Verbindung der Freifunk Router genutzt werden dürfen nicht mit deinem internen Netzwerk verbunden sein. Es sollte also eine eigene Leitung ohne Switch oder Unterbrechnung vom 1043 zu jedem 84x gehen (gelb).

Zusätzlich steckst du dein internes Netzwerk an jeden WAN Port (blau) jedes 84x Routers der dein privates WLAN ausstrahlen soll.

Nun stellt nur noch der 1043 die (Freifunk-)Internetverbindung her und alle 84x Geräte sind per Kabel mit ihm verbunden.

Wenn dieser Schritt getan ist befassen wir uns mit der Konfiguration des Switches der Geräte an denen noch zusätzlich LAN Geräte angeschlossen sind, die im eigenen Netzwerk bleiben sollen. Zu guter letzt befassen wir uns dann mit der Änderung der WLAN Kanäle um die Airtime nicht zu stark zu belasten. Bitte richte dir dafür SSH Zugriff entweder mittels Passwort oder Key auf den Routern ein. Dies ist ebenfalls wieder unter Experteneinstellungen möglich.

Nachtrag:
Falls du keine weiteren LAN Kabel ziehen möchtest, kannst du RJ45 Y-Splitter (https://www.amazon.de/dp/B06VXXRH3P/) einsetzen.Diese erlauben es, über ein LAN Kabel 2 getrennte (100MBit/s !!) Netze zu schicken. Auch hier darf das Kabel nicht durch Switche unterbrochen sein.


#3

Hallo,

du kannst die “Grundlast” erst mal dadurch verringern, das nicht jeder AP eine eigene VPN Verbindung aufbaut, da nimmst du am besten den “Leistungsstärksten” und lässt diesen das VPN Aufbauen, dort stellst du dann MESH on WAN ein und bei den anderen stellst du ein, das diese kein VPN aufbauen sollen.

ABER: Sobald du ein Privates WIFI gleichzeitig darüber machen willst wird es wieder schwieriger.

Als Anleitung kann ich https://gluon.readthedocs.io/en/v2017.1.x/ empfehlen, die bezieht sich auf das aktuelle GLUON


#4

Sorry aber das ist falsch! Bitte nicht machen. Dann wird der komplette Batman Traffic schön über das eigene WiFi rausgeblasen und nichts geht mehr. Bitte so einrichten, wie ich es oben geschrieben habe.


#5

Sorry, ich hätte das mit “schwieriger” genauer definieren sollen :wink:


#6

Danke Tarnatos,
die RJ45 Y-Splitter kannte ich noch gar nicht. So wird es wirklich einfacher. Das legitimiert auch endlich mal das unnütze Kupfer. :grinning:
Der 1043 hat und soll auch gar keine FF-Firmware bekommen.
Sollte ich dafür dann vielleicht noch einen Router für das MESH-VPN anschaffen oder sollte einer der 84er das schaffen?
SSH ist auf allen Geräten eingeschaltet.
Ich werde jetzt direkt mal die Y-Splitter klicken.
Ist ein MESH des privaten WLAN’s auch möglich?


#7

Aber denk dran dann machst du aus 1x GBit/s -> 2x FastEthernet (100Mbit/s)!

In welcher Community bist du, wie schnell ist dein Internetzugang und wie “schnell in MBit/s” sollt dein Freifunk sein können?

Denk dran da steht Langstrecke ggf. nochmal nach einer Versandmöglichkeit aus Deutschland schauen!

Nein.


#8

Kein Problem.

Emscherland, 128 Mbit/s -6 Mbit/s, FF kann bis auf 1-2 Mbit/s gedrosselt werden. An dem privaten WLAN hängen 4x Streaminggeräte dran. Das klappt aber bisweilen störungsfrei.

Da muss man wohl vor allem auf die Art aufpassen. So wie ich das sehe, gibt es einen “Umschalter” und den “Richtigen”, der aus den 8 Adern je 4 für eine Verbindung lässt. :face_with_raised_eyebrow:

Sehr schade, dass das mit dem privaten MESH nicht geht.
Kann ich das dann nicht ggf. mit separaten Geräten erreichen und die aktuellen AP’s ausschließlich für’s FF nutzen?
Oder ist das mit dem MASH generelll problematisch wegen der WPA2 PSK?


#9

Dann reicht es, wenn einer der 841 diesen Job übernimmt vorzugsweise der V11er. Drosseln würde ich nicht unter 6Mbit/s! Weniger macht keinen Sinn. Also Download mind. 6 Mbit/s Upload unbeschränkt.

Intern:
Emscherland nutzt Tunneldigger:

Natürlich. Die aktuellen AVM Fritz Geräte können MESH. Auch die Unifi AP AC MESH Wall/Decken APs sind MESH fähig.


#10

Was muss ich mit dieser Info machen? :thinking:

Die von Dir erwähnten Geräte sind mir aber z.Z. zu hochwertig… :neutral_face:
Also werde ich das wohl mit den Y-Splittern versuchen.
Sind bestellt. Vielen Dank.
Ich melde mich dann wieder an diesem Punkt:


#11

Das war nur für die Mitleser.

Zum Verständnis:
Ein Freifunk Router stellt eine VPN Verbindung zu den Gateway Server der jeweiligen Community her. Sämtlicher Traffic der Freifunk Router wird über diese VPN Verbindung geleitet, so ist der Uplinkspender (du) von außen nicht identifizierbar.

Für diese VPN Verbindung kommen, je nach Community, verschiedene Techniken zum Einsatz.

Fastd ist eine der beiden Dienste. Es stellt eine verschlüsselte VPN Verbindung her, läuft jedoch nicht im Kernel Space des Router (Linux) Kernels und begrenzt den Datendurchsatz auf 841 Routern auf ca 10Mbit/s.

Tunneldigger (L2TP) läuft dagegen im Kernelspace des Routers und nutzt keine Verschlüsselung. Daher sind auf 841ern auch >50MBit/s möglich.

Ich habe das reingeschrieben, da die Frage sonst jemand der Mitlesenden gestellt hätte.


#12

2 Beiträge wurden in ein neues Thema verschoben: Wie man mit Threads von Freifunk Neulingen umgehen sollte


Wie man mit Threads von Freifunk Neulingen umgehen sollte
#13

Ok, danke für die Info.
Das mit dem VPN und der Funktionsweise von FF war mir bekannt. Die Lösung mit mehreren Kabeln ebenfalls, doch diese Y-Splitter kannte ich nicht, weshalb ich dachte ich müsste das per Software und VLAN lösen. :joy:


#14

Ein Beitrag wurde in ein neues Thema verschoben: Wie man mit Threads von Freifunk Neulingen umgehen sollte


#15

o.k. faktisch funktioniert es praktikabel nicht, “private Wifi und Freifunk über ein VPN zu leiten”.
(siehe ursprünglich verlinkte Beiträge).

Falls doch jemand eine sinnvolle Empfehlung haben sollte die nicht lautet “ein anderes Restaurant, mein Herr”, dann wäre ich durchaus nicht abgeneigt. Aber angesichts der mannigfaltigen Klippen sehe ich da schlicht nur duster.


#16

Ich würde das nicht so weit runterdrosseln. 2 Mbit/s wird von den meisten heute als kaputt empfunden. Bei 128 Mbit/s kannst du Freifunk gänzlich ungedrosselt lassen und wirst trotzdem nicht bemerken, dass das jemand mitnutzt, weil die Last immer nur punktuell ist, nicht dauerhaft.

Viele Grüße
Matthias


#17

Ok, ich drossel dann mal auf je 5 Mbit/s. Mein Ziel war mal, dass die Kinder nicht einfach das FF nutzen um ihrer Zeitbeschränkung zu entgehen. Ggf. mache ich dann Zeitgesteuert das FF aus. Mal sehen.
Und zu viele FF-Router hier machen doch mein Internet kaputt… Ich warte jetzt auf die Y-Splitter und lasse solange nurnoch 2x das MESH-VPN an.


#18

Wenn sie länger brauchen um Sachen runterzuladen, weil es langsamer ist, dauert das doch länger. Und für Whatsapp reichen 2 Mbit/s locker. Den Plan musst du wohl nochmal überdenken.


#19

Aber egal wie man nun drosselt, das private WLAN bekommt man doch damit auch nicht via WiFimesh von Router zu Router.


#20

Na , dabei ging es um das Streaming. Das konnte ich bisweilen mit der drossel nachhaltig vermiesen. :wink:

Das ist natürlich richtig, aber ich habe deutliche Probleme im Netzwerk bekommen, wenn ich 5x eigene Tunnel aufbauen ließ.
Ich habe jetzt FF auf noch 2 Geräten laufen.
#config wifi-iface 'client_radio0'

Der Grund dafür ist mir bisher auch verborgen geblieben. Mal schauen ob mir das noch genauer anschaue.
Aber seitdem hab ich Ruhe.