Normaler AP im Clientnetz an Offloader

Hallo zusammen,

ich betreibe einen Offloader in Form einer VM und habe das Mesh-on-LAN auf ein VLAN in meinem Netzwerk gelegt. Ein Gluon-Router ist darüber mit dem Offloader verbunden und mesht auch vernünftig. Gleichzeitig habe ich das Client-Netzwerk des Offloaders auf ein weiteres VLAN konfiguriert und möchte mithilfe eines normalen APs (ohne Gluon-Firmware) nur das Client-Netz ausstrahlen. Dies funktioniert auch bereits wunderbar. Folgendes Problem habe ich jedoch dabei: die Mac-Adresse des „normalen APs“ wird vom Offloader als Client erkannt und auch als solcher ständig auf der Statusseite angezeigt. Gibt es eine Möglichkeit, die entsprechende Mac-Adresse im Offloader mit eine Flag o.ä. zu kennzeichnen, sodass der AP nicht als Client gezählt wird?

Vielen Dank bereits im Voraus!

Niklas

Management VLAN?! Wäre am elegantesten…
Ansonsten: dem AP einfach eine feste IP geben?

Der AP wird sich via DHCP eine IP abholen, oder?

Die Zählung läuft nicht über die DHCP-Leases, sondern über die Mac-Adressen, also genauer was die „translocal“-Tabelle dort hingeholt wird.

Ja genau, in der translocal-table wird auch die entsprechende Mac-Adresse angezeigt:
(aa:aa:aa:aa:aa:aa ist dabei die Mac-Adresse des Offloaders, bb:bb:bb:bb:bb:bb die des APs)

root@offloader:~# batctl tl
Locally retrieved addresses (from bat0) announced via TT (TTVN: 37):
       Client         VID Flags    Last seen (CRC       )
 * aa:aa:aa:aa:aa:aa    0 [.P....]   0.000   (0x5d0e60ea)
 * bb:bb:bb:bb:bb:bb   -1 [......]   4.370   (0x7a1e7ffb)
 * aa:aa:aa:aa:aa:aa   -1 [.P....]   0.000   (0x7a1e7ffb)

Gibt es eine Möglichkeit, diesen Client mit einem entsprechenden Flag zu versehen, sodass dieser nicht in der Zählung berücksichtigt wird?

Mir ist in der Hinsicht nichts bekannt.
Was aber möglich wäre, je nachdem was für eine Art von AP du dort betreibst, ist, diesen nicht direkt ins Client netz zu hängen (wo er ja dann auch aus dem gesamten Netz per IP erreichbar ist), sondern mit VLANS direkt zu arbeiten.
Ich denke, das ist dass, was @Mitsch mit management-vlans meinte.

Dabei strahlt der AP dann halt eine SSID aus, die dann direkt auf ein VLAN gemappt wird.
Die configoberfläche selbst ist dann halt auf dem untagged Netzwerk, welches dann dein lokales sein sollte.

Dies geht bei den Ubiquiti-Geräten recht gut, mit LEDE/Openwrt am AP kann man das auch machen.

Wie es bei anderer Herstellerfirmware aussieht, weiss ich leider auch nicht. Dort ist dann halt der VLAN-Support entscheidend.

Genau so habe ich es umgesetzt. Es handelt sich um einen TP-Link Access Point, auf dem die OpenWRT-Firmware läuft. Es werden zwei SSIDs ausgestrahlt: einmal das private LAN und einmal Freifunk, jeweils direkt auf das entsprechende VLAN gemappt. Das Management-Interface des APs befindet sich dabei im privaten LAN und ist über das Freifunknetz nicht erreichbar.

So wie es aussieht konnte ich das Problem bereits lösen. Bei genauerer Untersuchung hat sich herausgestellt, dass die in der translocal-Tabelle angezeigte MAC-Adresse nicht dem AP gehört, sondern dem VLAN Interface der Bridge meiner virtuellen Maschine, in der der Offloader ausgeführt wird, zugeordnet ist. Über diese Bridge war der KVM Host ebenfalls Teil des Freifunk Netzes und tauchte deshalb als verbundener Client auf.

Falls dieses Problem bei jemand anderem einmal auftritt: bei mir hat es geholfen, IPv4 und IPv6 für das Bridge-Interface auf dem KVM Host zu deaktivieren, sodass keine Kommunikation mehr mit dem Freifunk-Netz stattfindet.

Dazu in der Datei /etc/network/interfaces die Bridge wie folgt konfigurieren: (brffc ist hier das Bridge-Interface, eth0.42 das VLAN für das Client-Netz)

auto brffc
iface brffc inet manual
  bridge_ports eth0.42
  up sysctl -w net.ipv6.conf.brffc.disable_ipv6=1
  up sysctl -w net.ipv6.conf.brffc.autoconf=0
iface brffc inet6 manual

Des Weiteren können noch folgende iptables Regeln gesetzt werden:

iptables -A INPUT -i brffc -j DROP
iptables -A OUTPUT -o brffc -j DROP
ip6tables -A INPUT -i brffc -j DROP
ip6tables -A OUTPUT -o brffc -j DROP

Trotzdem danke für die schnelle Hilfe hier! :slight_smile:

2 Likes