Erstmal kurz zur Vorgeschichte: ich arbeite und wohne in einer Einrichtung für behinderte Menschen. Diese Einrichtung (der an dieser Stelle herzlich gedankt sei) teilt ihren Internet-Anschluss mittels Freifunk-Routern mit uns Bewohnern.
Die meisten Bewohner sind längerfristig hier und richten sich mit der Zeit hier ein - auch was Netzwerkhardware betrifft. So betreiben manche eben ein kleines Netzwerk aus einem Router, einem Rechner, einem Drucker, einem Mediaplayer, etc.
Das Problem: verbindet man einen Router mittels einer Bridge oder konfiguriert man den Router als Client, dann erhält nur die Bridge bzw. der als Client konfigurierte Router per DHCP eine IP-Adresse vom Freifunk-Hotspot. Alles was dahinter noch angeschlossen ist (auch virtuelle Maschinen auf einem Rechner der direkt mit dem Hotspot verbunden ist) bekommt keine Adresse. Gilt für IPv4 wie für IPv6.
Bei IPv4 konnte man sich mit NAT behelfen. Aber weder habe ich genau das bei IPv6 so zum laufen gebracht, noch wäre es wirklich wünschenswert (ein einziges grosses Netz ist 'ne prima Sache).
Hat da vielleicht jemand einen Tip für mich wie man sowas zum Laufen bringen könnte? Oder geht das gar nicht? Oder ist sowas gar unerwünscht und deshalb gesperrt?
Wenn die echtes Freifunk haben wollen, solltest du einfach ein Gerät mit Freifunksoftware dort hinstellen. Das vergrößert den Bereich und man ist direkt im richtigen Freifunknetz. Über die gelben Ports kann auch Freifunk über Kabel ausgegeben werden, obwohl der Uplink nur über WLAN erfolgt.
Zu deiner Konstruktion: Ich weiß gerade nicht, ob eine der diveren ebtables-Filterregeln genau das verhindert, was du tun möchtest. Theoretisch ist es möglich, kann aber sein, dass das aus welchen Gründen auch immer durch eine Filterregel unterbunden wird.
Du solltest aber darüber nachdenken, ob du wirklich Drucker etc. direkt im Freifunk und somit im Internet haben möchtest. Es empfiehlt sich eher, den Router, den du hast, Natting betreiben zu lassen. Dann hat jeder Bewohner nochmal ein privates Netz dahinter, in das er seine Geräte hängen kann. Ob das mit IPV6 geht, weiß ich nicht, weil normaler Weise ein Präfix delegiert werden müsste. Glaube, das können die meisten Communities noch nicht. (Oder man macht V6-Natting, dann wird es aber richtig schmutzig.)
Der Grund, warum ich dir eigentlich antworte ist eben der, dass du dir über die Sicherheitsproblematik von Druckern im Internet bewusst sein solltest. Wenn man weiß, was man tut, ist das kein Problem. Man muss die Geräte halt mit einem Passwort schützen.
Es soll im einfachsten Fall beides kombiniert werden: ein kleines lokales (W)LAN vom Bewohner (mit Verschlüsselung und Firewall) verbunden per WLAN mit einem offenen Freifunk-Hotspot von der Einrichtung.
Genau deshalb betreiben manche (unter anderem ich) auch ein eigenes, kleines lokales Netz. Sämtliche Clients der Bewohner über die Freifunk-Router zu verbinden wäre wohl machbar, aber eine ziemlich chaotische und unsichere Sache.
Genau so ist es beabsichtigt.
Etwas in der Art habe ich schon befürchtet. Aber ich würde das gerne einmal testen. Dazu muss ich den Router des lokalen Netzes einfach nur als DHCP-Client konfigurieren, schätze ich?!
NAT mit IPv4 ist kein Problem. Mit IPv6 habe ich das noch nicht zustande gebracht. Aber ohne NAT wäre es wünschenswerter.
Oder hinter einer Firewall verbergen… Hat inzwischen ja jeder WLAN-Router.
ich lerne noch an IPv6 aber wäre es nicht richtig wenn:
Ein FreifunkGateway DHCPv6 macht und /64 Netze verteilt, der eigene Router in der Unterkunft holt sich ein /64 und verteilt dann einzelne IPs stateless an die einzelnen Clients.
Wie man das praktisch aufbauen müsste… wird sich zeigen falls ich es jemals brauchen würde
Ich stimme den bis jetzt geschriebenen ansich voll und ganz zu.
Zudem gehe ich davon aus, dass der Verantwortliche, der euch die Freifunk Hardware freudlicherweise erlaubt hat, es euch auch wirklich erlauben durfte. Wenn ihr einer großen übergeordneten (kirchlichen) Organisation angehört, dann werden solche Hausanschlüße ja eigentlich immer per VPN mit deren Rechenzentrum/Serverapplikationen gebündelt…
Was mich wundert. Ihr seit vom Anwendungsprofil ja eher Heavy User. Diesen Anspruch möchte und kann nicht jede Community bedienen. Dennoch keine Spur vom obligatorischen Performance klagen im Ausgangspost. Gerade weil du ja auch neben Beruf auf Privat in der WG wohnst, würde ich mir ansonsten überlegen, doch selber die paar Euro im Monat für eine VPN zu spenden (NordVPN, etc.). Die Installation sollte ja kein Problem sein, wenn man auch um die IPv6 Probleme weiß und sie einstellen kann. Freifunk für Besucher kann man dann ja immer noch über diese VPN Verbindung zusätzlich laufen lassen.
Das ist insbesondere sehr interessant, wenn die lokale Freifunk Gruppe noch FastD einsetzt oder das eigentlich sehr schnelle L2TP auch schon größentechnisch ausgebremst wird. Ihr nicht ansatzweise eure gegebene Internetbandbreite ausnutzen könnt. Schmerzhaft die paar Euro für ein ‚schnelleres VPN‘ investieren, einen Router als VPN Gateway einsetzten, der dann wie gehabt das private WG Heimnetzwerk aufbaut. In dieses Netzwerk sollte man dann für den Freifunk Gedanken/GästeWLAN immer noch Freifunk Router setzen, die dann selber nicht mehr verschlüsseln müssen.
In einem Gerät geht das glaube ich nicht so ohne weiteres, weil Gluon darauf nicht ausgelegt ist.
Ich würde einen Router mit Gluon nehmen, auf einen LAN-Port Clientnetz schalten und daran eine gebrauchte FritzBox über deren Lan-Port 1 anschließen und die FritzBox so konfigurieren, dass sie ihren Upstream über Lan 1 bezieht.
Ob die FritzBox V6-Nat kann, weiß ich nicht. V4 kann sie aber natten.
Moment, Missverständnis: ich selbst bin (mit Behinderung) einer der Bewohner der Einrichtung. Die Einrichtung hat hier, neben dem Wohnheim, auch eine Werkstatt. Ich arbeite auch in dieser.
Wer hier jetzt wem was erlaubt hat kann ich nicht überschauen. Ich würde aber nicht meinen dass sich die Einrichtung gänzlich ohne Absprache einfach bei Freifunk einklinken würde.
Die Einrichtung ist ein gemeinnütziger Verein. Soweit ich weiss gehört sie zwar zu einer Einkaufskooperation in der auch andere (unter anderem kirchliche) Einrichtungen sind. Ansonst ist sie aber, glaube ich, unabhängig.
Ich selbst halte mich eigentlich nicht für einen ‚Heavy User‘. Was die anderen Bewohner betrifft: keine Ahnung. Kann schon sein dass die Leute das Internet ganz normal nutzen.
Über eine eigene VPN-Verbindung habe ich auch schon nachgedacht. Ich wollte vorher aber schauen ob es vielleicht auch so geht… Ich hab schon so einiges recherchiert und ausprobiert, aber wusste nun dann doch nicht weiter und dachte ich frage einmal hier nach. Ich bin hier auch nicht ganz alleine damit (ich bin quasi der Anlaufpunkt für die anderen Bewohner wenn es um IT geht).
Das Wohnheim ist erst seit kurzem mit Internet versorgt und die Einrichtung hat sich netterweisse entschlossen ihren Internet-Anschluss den Bewohnern zur Mitbenutzung verfügbar zu machen. Am technisch einfachsten wäre wohl gewesen ein paar ganz normale Router im Wohnheim zu verteilen. Man hatte aber, soweit ich weiss, Bedenken wegen der Störerhaftung und sich darum für Freifunk entschieden.
Bevor die Einrichtung ihr Wohnheim mit Internet und modernem Telefonanschluss versorgte sah es mau aus. Es gab zwei alte analoge Münzer, ein Telefon im Dienstzimmer und das wars. Kein Internet. Auch heute noch kein Festnetz auf den Zimmern der Bewohner. Auch mobilfunkmäßig sind wir hier ziemlich abseits. Der nächste Mobilfunkmast ist erst im nächsten/übernächsten Nachbarort. Nicht dass die Mobilfunkbetreiber nicht wollten, aber der Ortsrat hat sich dagegen ausgesprochen…
wir haben auch ein paar einrichtungen fuer besondere menschen mit ff versorgt … einfach mit der ff gruppe sprechen die koennen auch sicher helfen … wir haben auch viele sondernloesungen gebaut … auch mit dem betreiber der einrichtungen zusammen. das ist ein win win win fuer alle
@TraceOn, ich finde euren Anwendungsfall eigentlich ideal für Freifunk. Internet kostenlos für für alle.
Ich kann immer nur für unsere münsteraner Community sprechen, aber ich finde das Projekt klasse und Datenverbrauch ist hier generell kein Thema. Je mehr umso mehr Spaß macht das Netz. Wir bauen das Wlan gerade für große Datenmengen. Für ein bisschen chatten kann man sich auch LTE holen.
Es gibt mehrere solcher Projekte. Und was dann geht (oder wa auch explizit nicht geht) hängt wirklich von der Community ab.
Letztlich ist es immer ein Balanceakt zwischen „langfristiger Manpower für den Support einer Sonderlocken-Lösung“, „langfristige Backbone-Kosten durch die extreme Performance einer geglückten Sonderlocke“, oder eben auch „SLA-Ansprüche, die entstehen, weil die Sonderlocke auch vor Ort Geld gekostet hat“.
Oder, für den anderen Fall, dass man bewusst auf die Sonderlösung verzichtet hat, das Eingeständnis, dass „für drei Router a 15 Euro plus eine Vereinsmitgliedschaft“ weder 50MBit/s Dauerpormance, noch 24/7-Support mit 4h Reaktionszeit und Onsiteswap zu bekommen ist. (Und dass man das auch gar nicht will)
Und alles, was irgendwo dazwischen ist. Letztlich hängt es immer an engagierten Leuten vor Ort, die auch verbindlich miteinander sprechen können.
