@mgadmin Kann man noch mehr sperren oder ist dies („Freifunk-Only“) die Minimalkonfiguration für einen FF-Router?
Eigentlich ja. Mehr geht nicht außer man lässt noch die UDP Ports 10001-100010 weg. Der FF-Router braucht ICMP (Ping), Ports TCP 80 und TCP 53 und UDP 10000 von innen nach außen. Bei mehr Router werden mehr UDP Ports benötigt.
Ja geht. Mit Konfiguration. Du suchst Mesh on LAN
1 „Gefällt mir“
@mgadmin Ich hab die strikteren Regeln einmal so ausprobiert und es lässt sich nachstellen, dass so lange die Regel aktiv ist ich keine IP-Adresse beziehen kann mit dem Client. Ich denke dass auch der FF-Router dann nicht connected ist.
Welcher Port ist da zu viel zu?
In der Firware von Münster nutzt fastd den Port 14242 UDP. Wenn der Freigeschaltet ist, dann klappts auch mit dem Nachbarn … 
1 „Gefällt mir“
Danke FanLin. Das wird die Lösung sein. Der 10000er Port bei uns mit Freifunk Franken verwendet. Wenn andere Comunities andere UDP-Ports verwenden muss man dies natürlich beachten. Die Regel müsste dann heißen UDP 1-14241 und UDP 14243- 65535. Falls mehr UPD Ports gebraucht werden muss man eben mehr freigeben.
1 „Gefällt mir“
Wenn am Gastzugang nur der Freifunk-Router hängt kann man überlegen, ob Portsperrung überhaupt notwendig ist. Ich habe es gelassen.
Gibt es hier bestätigte Fällle bei denen ein FF-Router am Gastzugang einer Fritzbox „ohne manuellen Eingriff“ länger als 2 Wochen durchgehalten hat?
Also ohne dass wahlweise die Fritzbox der der FF-Router einen Reboot/powercycle brauchten?
Zumindest hält sich hier hartnäckig das Gerücht, dass „irgendwann“ die Fritzbox und/oder der Router so abstürzt, dass das Meshvpn nimmer läuft und nur ein Reboot bringt sie dann wieder ins Netz.
Am normalen LAN der FB gebe es das nicht.
Welche FB-Modelle betroffen sind: Keine Ahnung, vermutlich war’s die allgegenwärtige 7390, von der berichtet wird.
Ca. 4 Wochen, an einer 6360, danach hab ich hier rumgebastelt und hab den FF-Node woanders hingepflanzt.
Vermutlich hätte das auch noch länger funktioniert.
Ja, die Konfig an LAN4 mit Gastzugang läuft bei mir seit ich Freifunk mache. Wieviele Wochen das genau sind kann ich nicht sagen, ich bastele dann und wannn doch mal was um.
ich hab von Anfang an den Freifunk-Router TL-WR1043ND bei der Fritzbox 730 am Port 4 mit GAST, allerdings viel eichfacher, als hier beschrieben, weil ich das Rumfummeln an den Ports nicht wollte.
Und zwar exact so, wie hier beschrieben gemacht:
http://freifunk-burscheid.de/gastzugang-bei-fritzbox-nutzen.php
Mein eigener Rechner ist auf Port 1, der Freifunk-Router auf GAST Port 4
Dabei hatte ich diese Nacht noch den witzige Sitution, dass be NetCologne die Namensauflösung für ca. 3 Std. nicht funktionierte (Internetverbindung fein aber überall „unknown server“), wohl aber via Freifunk. 
Damit ist belegt, dass bezüglich der Verbiondungssicherheit Freifunk den professionellen Providern in Nichts nachsteht 
Edit:
WLAN hab ich an Fritzbox ganz abgeschaltet
In der Firmware die von der Domäne wupper ausgegeben wird sollte auch zur Sicherheit neben den Hostnamen der Server auch deren IP-Adresse stehen.
Wenn dein DNS nicht funktioniert kann der darüber noch eine Verbindung aufbauen solange sich unsere IP nicht ändert.
sorry, ist mir jetzt nicht klar, worauf sich das konkret bezieht. Ich hatte keine Probleme mit Freifunk => Internet, trotz Problem bei NetCologne.
Hallo zusammen,
ich stöbere grade hier im Forum und bin auf dieses Thema gestoßen. Da ich absolut keine Ahnung von Ports und Freigaben habe, habe ich beim Einrichten auf „Anraten des Internets“ folgende Daten auf der Fritzbox 7360 hinterlegt. Der FF-Router 481v11 hängt auf dem GAST Port 4, das Gast-WLAN ist aktiviert und soll auch aktiv bleiben.
Könnte jemand, der Ahnung von den Ports und den Einstellungen hat bitte einmal über die Daten schauen, ob ich ggf. damit Türen öffne, die ich gar nicht öffnen möchte / sollte? FF funktioniert mit dieser Koniguration sehr gut.
Lieben Dank, Privnode
Viele Communities benutzen für ihr VPN UDP Port 10000, 10001, 10050 oder 10100.
Das würde mit Deinen Einstellungen effektiv blockiert, da Du genau von 10000 bis 11000 kein UDP herauslässt.
2 „Gefällt mir“
Danke. Demnach die letzte Zeile UDP 11000-19999 komplett löschen und bei der vorletzten Zeile aus UDB 1 - 9999 den Eintrag ersetzen durch UDP 1 - 19999?
Gast-WLAN und Gast-Zugang via LAN4 sind in aktuellen AVM-Firmwares getrennt schaltbar. Ergo: Gast-Zugang via LAN4 ausschalten und gut. Alternativ den ganzen Port-Unsinn löschen und nur den VPN-Port-Bereich Deiner Community (Info dort erfragen) zusätzlich für das Gastnetz freischalten. DNS macht der FF-Knoten eh’ über die Fritte, sodaß nur der Tunnelaufbau ermöglicht werden muß.
Und was, wenn Deine Community 2000x, 2100x, 2200x (mit x=0-9) nutzt? Wieso überhaupt Einschränkungen, wenn Du diese mit der Präzision einer Kettensäge definierst? Entweder laß’ den Unsinn weg (Gastzugang via LAN4 deaktivieren) oder definiere nur die Ausnahmen, die Du auch benötigst (und was vor Ort verwendet wird, kann Dir nur Deine Community vor Ort sagen).
2 „Gefällt mir“
vor allem: Wovor möchte man sich damit eigentlch schützen?
(Also um es mal konkret zu sagen: die einzigen, die potentiell „böses“ auf Non-standard-Ports tun, das sind die P2P-User. Und die können heute auch problemlos schon 443&Co nutzen. Will sagen: Alles was man damit tut ist, den berechtigen Anwendungen Knüppel zwischen die Beine zu werfen.)
1 „Gefällt mir“
Arghh … sorry für’s Fragen … ich sagte ja, dass ich nicht wirklich Ahnung davon habe. Habe im Groben verstanden, was überhaupt TCP und UDP ist …
Ff läuft mit den obigen Einstellungen in meiner Community, also lasse ich es wohl einfach so. 
Fragen sind erlaubt Aber es ist auch sinnvoll, Einstellungen zu hinterfragen.
»Ich hab’ das in der Computer-Blöd gelesen, Gast-LAN ist gut und wichtig« — naja, dann mach’ es halt.
Fritzbox’ Gast-(W)LAN trennt logisch das Heim- vom Gastnetz. Aber die Einstellungen sind für Gast-LAN und Gast-WLAN identisch, d. h. wenn Du einen Freifunk-Router im Gast-Netz betreiben willst, reist Du jede Lücke, die Du für’s Gast-LAN aufmachst, auch im Gast-WLAN auf. Und wie die lange Liste der Freischaltungen zeigt, geht es Dir eher nicht um Sicherheit. Dann stellt sich eben die Frage, warum der Freifunk-Router überhaupt ins Gast-Netz muß?
1 „Gefällt mir“