Privates WLAN mit Dresdner Firmware möglich? Wie?


#1

Hallo,
ich habe einen Router, den ich zur WLAN-Versogung sowieso immer an habe, mit Freifunk-Firmware versehen. Der Gedanke war, sollen doch andere was davon haben. ABER ich ging davon aus, dass ich ein privates WLAN aktivieren kann. Das sollte statt per VPN direkt im Heimnetz ausgeleitet werden. Ich möchte auf Netzwerkdrucker, NAS, Cloud, IP-Geräte zugreifen.

Nun habe ich in den Einstellungen der Benutzeroberfläche im Router reichlich gesucht, hier im Forum gelesen und habe die Vermutung, dass ein zweites privates Netz gar nicht möglich ist? Oder nur per SSH aktivierbar? (Über die Aufteilung der Airtime und Reduzierung der Datenrate bin ich mir im klaren).

Ist mit der aktuellen Dresdner Firmware mit TP LINK WDR4300 oder WR841 das Aktivieren und Betreiben eines eigenen WLANs (eigenen SSID) möglich? Wer kennt einen Link/die Befehle und kann sie hier veröffentlichen?

Danke
Zittauer


#2

Hallo Prinzipiell sollte das bei LEDE/Openwrt basierten Firmwares möglich sein.

Such mal nach Expert - Privates WLAN erweitern - Was kann man damit machen?

oder https://wiki.freifunk-franken.de/w/Hybrider_Access_Point_(WPA2/privat_%2B_Freifunk)

die Einstellungen musste auf aber auf deine vorhandene Firmware anpassen.

Bei Gluon sollte es afaik ein package dazu geben


#3

Nur leider ist der Punkt in der Firmware nicht ersichtlich, daher die Vermutung es geht nicht oder nur per SSH? Kennst du die Dresdner Firmware?
Das Menüs sieht wie folgt aus:


Danke


#4

Nein, sieht auch nicht nach gluon aus, am besten mal auf deren HP schauen oder in vorhanden FAQ, am besten aber immer treffen vor Ort


#5

Ohne Gewähr: IIRC ist Freifunk Dresden größtenteils vom örtlichen Chaos Computer Club (CCCD) getragen, also vielleicht mal dort nachfragen.


#6

Deswegen frage ich ja in der Community Dresden und erwähne explizit die Dresdner Firmware!?


#7

@Emploi ist an der Entwicklung der Dresdner Firmware beteiligt und hier im Forum aktiv, er wird sicherlich antworten wenn du ihm ein bisschen Zeit gibst.

Falls du es manuell angehen möchtest, benötigst du die Benennung des wan interfaces um sie hier ggf zu ersetzen:

uci set wireless.wan_radio0=wifi-iface
uci set wireless.wan_radio0.device=radio0
uci set wireless.wan_radio0.network=wan
uci set wireless.wan_radio0.mode=ap
uci set wireless.wan_radio0.encryption=psk2
uci set wireless.wan_radio0.ssid="privates WLAN"
uci set wireless.wan_radio0.key="geheime Passphrase für mein WLAN"
uci set wireless.wan_radio0.disabled=0

Sofern du mit den Änderungen, die du mit dem Kommando ‘wifi’ aktivieren kannst, zufrieden bist, machst du sie mit ‘uci commit wireless’ permanent. Falls nicht verwirfst du sie mit einem reboot.


#8

Mit dem örtlichen Ableger des CCC dem C3D2 gibt es sicherlich geringe Schnittmengen und Sympathisanten, sogar ein Mitglied ist auch im hiesigen Freifunkverein ein solches, getragen wird Freifunk Dresden davon aber (leider?!) nicht mal im Ansatz.


#9

Ich reiche die Frage mal an Stephan @ddmesh weiter, der weiß sicher auch die Begründung dafür, warum wir sowas noch nicht haben.
Vielleicht wird es noch in die Firmware einfließen, es ist nicht die erste Anfrage nach einem “privaten” Netz.


#10

Hi,

ein weiteres privates wlan netz, was mit wpa2 oder anderen verschlüsslungen arbeit, ist generell nicht möglich.
Das problem ist, dass die Wlan treiber bei openwrt/lede nur sehr begrenzt mehrere wlan signale gleichzeitig möglich machen. Dieses hängt von den verwendeten wlan modi ab.
Wird ein wifi signal auf adhoc konfiguriert, so kann nur noch ein einzig weiteres wifi signal als accesspoint konfiguriert werden. würde man kein adhoc konfigurieren, wären mehrere wifi signale mögich.

Aber wie jede andere freifunk firmware (egal ob glueon oder nicht), ist der adhoc mode zwingend notwendig, damit sich die router überhaupt verbinden können. Der dann einzig “freie” access point wird logischerweise für den öffentlichen zugang verwendet.

Sicherlich könnte man diesen um konfigurieren, aber dass entspricht nicht den Richtlinien, die wir für das freifunk netzwerk umsetzen. Was heisst, dass wenn jemand freifunk im wlan sieht (adhoc oder ap), so kann man sich damit als client oder als weiterer knoten verbinden. fehlt eine dieser bedingungen, so darf der knoten nirgends als solcher gelistet werden und erkennbar sein. Dann würde man aber das freifunk netzwerk als billig vpn anbieter nutzen, um anonym zu surfen. Das ist nicht erlaubt und spricht gegen das pico agreement (in firmware und wiki nachlesbar).

Abgesehen davon, müsstest du die lan-ports aufteilen und eine virtuelle netzwerk schnittstelle anlegen. das ist nicht so einfach (vlan). Das firewall muss auch entsprechend konfigiert werden.
Beim routing geht es weiter, da hier mehrere routing tabellen verwendet werden und diese via routing rules angesprochen werden (ip rule).

Ich kann nur davon abraten, daran eingene anpassungen vorzunehmen, da sonst das system nicht mehr zuverlässig arbeitet und evt die sicherheit nicht mehr korrekt gegeben ist.

willst du auf heimsiche geräte zu greifen, dann kannst du nur den weg über ssh tunnel gehen.
Der einfachste weg für dein anliegen ist einfach einen zweiten router vorschalten, der dann dein privates netz bereitstellt und den freifunk router (mit wan port) an den lan port deines routers anschliessen (auf ip konflig im freifunk router am wan-dhcp und lan port achten).
das ist der einfachste und sicherste weg.

vg
stephan


#11

Vielen Dank für die technisch nachvollziehbare Begründung, warum es (so momentan) nicht geht.

Der einfachste weg für dein anliegen ist einfach einen zweiten router vorschalten, der dann dein privates netz bereitstellt

Ohne dass ich Freifunk angebote habe, war die Konstallation auch so: FritzBox (WLAN1) - Managed Switch - TP Link AccessPoint (WLAN2). Da der TPLink AP sowieso immer an war, dachte ich, wäre es vorteilhaft ZUSÄTZLICH Freifunk anzubieten. Wenn das nicht geht, werde ich tendenziell eher wieder nur privates WLAN machen anstatt Freifunk anzubieten. Es gibt zu viele interne Dienste hinter der Fritzbox und Endgeräte, dass sich eine SSH/VPN durch Freifunk zurück nach Hause ausschließt.

Frage 1: Wäre es möglich den Punkt “Eigenes Internet direkt freigeben” auf Geräteebene pro MAC Addresse freizugeben, z.B: per SSH? Sehe ich das richtig, das hätte allerdings einen Nachteil: Freifunk WLAN ist unverschlüsselt, und damit auch alle interne Datenübertragung (Frage 2). :worried:


#12

Wenn das so wäre, dürfte ich z. B. mit einem 841N ja kein öffentliches Netz, Ad-Hoc-Netz sowie noch ein privates Netz aufmachen können - geht aber.


#13

Hi,

nutzt du die originale firmware oder openwrt oder lede?
Es wäre mir neu, dass es auf openwrt/lede funktioniert. Bisher konnten die treiber teilweise das nicht,
so dass es einfach zu kompliziert würde eine firmware zu machen, die dynamisch (wie es lede oder openwrt direkt macht) zusätzliche konfigurationen über die gui möglich macht und zusätzlich freifunk funktionalität unterzubringen (in 4Mbyte flash).
Wenn jemand einen router für eine platform hat, wo die lede treiber dieses unterstützen, müsste er sich dieses selber konfigurieren.
Abgeshen davon würde es schwierig sein, die freifunk funktionalität, sicherheit und netzwerk anforderungen (im wiki beschrieben) im router zu gewährleisten wenn am routing/firewall anpassungen vorgenommen werden. Siehe dazu meinen Kommentar zuvor.


#14

Du hast quasi 2 private WLAN? Welche rolle hat der Tp link bisher gehabt, wenn die fritzboxh bereits ein eingenes wlan anbietet? Kann die fritzboxh kein weiteres privates netz aufspannen?

leider geht das nicht, da das routing protokol keine mac begrenzung kennt. an diesem konfiguration schalter hängt einerseits das interne routing durch unterschiedliche routing tabellen (was garaniert sicherstellt, dass kein traffic durch das private netzt läuft) und die signalisierung in das freifunk netz, ob der router sein internet im netz als gateway signalisiert.
die routing regeln selber könnte man mit mac-adressen einschränken, aber der knoten darf dann selber nicht als internet gateway funktionieren. zusätzlich gibt es einen laufenden dienst, welcher ständig prüft, ob ein lokales gateway funktionsfähig ist. dabei werden routing einträge in den tabellen standig neu konfiguriert.
Es ist recht komplex, dieses so anzupassen, und gleichzeitig die funktionalität im gesamten netz nicht zu stören.
Die freifunk firmware hat ihre spezifischen anforderungen, die in erster linie umgesetzt sein müssen. Das macht es schwierig quasi “fremde” anpassungen einzubringen. dafür ist die freifunk firmware generell zu speziell.
Näheres dazu kann im wiki unter anforderungen nach gelesen werden.

vg stephan


#15

Nach meinem Wissen ist dies bei allen Routern für die Gluon (ohne broken Tag) verfügbar ist der Fall.

Die Realisierung ist recht übersichtlich, sofern ihr für das WAN Interface bei allen Geräten einen gemeinsamen Alias habt:


#16

Ebenso einfach ist das mit Gluon, ein privates Netz zusätzlich aufzuspannen. Mir ist jetzt auf Anhieb auch kein Gerät bekannt, welches von Gluon unterstützt wird und das nicht kann.


#17

“Gluon-Targets ohne Wifi-Treiber” wäre jetzt vermutlich getrollt… (Raspi, x86…)


#18

HI,

danke für eure hinweise. es wird bestimmt irgendwann auch die möglichkeit geben in der dresdner firmware, die KEIN gluon ist, ein privates wlan einzurichten.
der feature-wunsch ist aufgenommen.

Die konfiuration in der dresdner firmware arbeitet auch mit uci. aber ist dennoch anders zu gluon.
daher nützen gluon spezifische konfigurationen hier leider nichts.


#19

Meine Empfehlung (und da stoße ich vermutlich in das gleiche Horn wie @MPW) ist, die “private Wifi”-Funktion nicht zu nutzen.
Viele Gluon-Communities haben sich aktiv entschieden, das Feature nicht hinein- oder wieder auszubauen.
Warum?

  1. es ist von der Performance enttäuschend, wenn man das private-Wifi wirklich real nutzen will
  2. wenn es real genutzt wird, reduziert es auch die Mesh-performance des Knotens (sobald im Mesch auch Daten laufen sollen)
  3. viele Menschen erwarten, dass auch das private-Wifi “irgendwie” lokal weitergemeshed wird. Was natürlich nicht funktionieren kann, aber trotzdem immer wieder erwartet wird. (siehe zahlreiche Threads der letzten Monate dazu)

Im Endeffekt werden immer irgendwie Hoffnungen geweckt, die hinterher nur “Frust mit Freifunk” verursachen bei >90% der Leute.
Ist natürlich auch eine Form des Lernens und entspricht dem Bildungsauftrag von Freifunk. Diese Argumentation ist dann aber schon arg dialektisch.
Von daher: Prüft in Dresden gründlich, ob sich der Aufwand “der Menüconfig” überhaupt lohnt. Oder ob diejenigen, die es wirklich wollen, es nicht auch weiterhin auf der Shell per UCI&Co einrichten sollen. (Womit wir wieder beim Thema “Lernen durch Freifunk” wären, wenn man davon ausgeht, dass viele dann sich mit ssh, ggf. key-Erzeugung und dem UCI-Konzept vertraut machen.)


#20

hi,
danke dir für die Gedanken. wir werden das sicherlich alles Bedenken. bisher seit 8 Jahren, hatten wir nur eben diese eine Anfrage.
VG Stephan