Hallo zusammen,
ich habe hier jetzt bereits 2 Freifunk Accesspoints am Laufen für unsere Gäste. Das funktioniert auch sehr gut. Da mal zuerst schönen Dank dafür.
Nun möchte ich unsere anderen Accesspoints durch Freifunk ersetzen. Die Mitarbeiter sollen sich dann über unser VPN anmelden um an die internen Dienste zu kommen.
Problem: Die Performance ist im Vergleich zum bestehenden Netz zu schlecht.
Idee: Kann man eine DNS/IP Whitelist pflegen, die dann dafür sorgt das Zugriffe auf diese IPs am Freifunk Tunnel vorbei direkt ins Internet/interne Netz gehen?
Beispiel: Unser VPN Server heißt vpn.example.com. Zugriff auf die IP läuft nicht über Schweden sondern direkt über unseren Netzzugang.
Da würde ich keine Löcher in die Firewall schießen.
Gluon bietet die Möglichkeit im Konfigurationsmodus ein privates WLAN auszustrahlen, dann mittels WPA2-Sicherung. Das würde ich für interne Angelegenheiten nutzen.
Wieso Löcher in die Firewall? Die Accesspoints sitzen in einem extra LAN (VLAN) und gehen über unsere Firewall bei der aktuell nur 53/UDP und 10000/UDP offen sind ins Internet.
Alles was ich brauche ist dem Accesspoint zu sagen, wenn vpn.example.com dann bitte nicht per FF VPN sondern direkt auf vpn.example.com
Bei unserer Firewall würde ich dann halt noch den Port für unser VPN mit der IP aufmachen.
Unser privates WLAN läuft aktuell per Enterprise PSK - die Benutzer melden sich per UserID/Passwort an.
Ein globales WLAN Passwort führe ich ganz sicher nicht wieder ein - das bekommt Füße und macht schnell die Runde…
Naja genau das meine ich mit den Löchern. Firewall schützt nicht nur von außen nach innen, sondern auch von innen nach außen. Wenn du da was falsch machst, können die Leute mit deiner IP surfen.
Ich weiß gerade gar nicht, ob man das überhaupt in die Routingtabellen der Router eintragen kann, denn innerhalb des Meshes wird ja nur Layer2 geroutet, nicht IPs. Aber das wissen andere vermutlich besser.
Ob das direkt möglich ist, weiß ich nicht. Dürfte aber nicht so aufwendig sein, da du ja nur den Radiusserver brauchst. Der kann ja weiterhin extern laufen.
Netzwerkkabel von einem freien Netzwerkport des VPN Servers auf einen internen Port eines Freifunk Routers.
Die besorgst Du Dir wir Dustin schon schrieb von Deinen Freifunk Admins. Bei uns wird sowas in der Wiki gepflegt.
Die statischen IP-Adressen (v4 und v6), die Du von den Admins aus eurem Freifunk Netz bekommen hast werden auf dem VPN Server auf der Netzwerkkarte eingerichtet, die zum Freifunk Router zeigt! Auf dem Freifunk Router wird überhaupt nichts konfiguriert dafür. Entsprechend ist auch das Autoupdate kein Problem.
Die DNS Auflösung die ihr derzeit für die Verbindung von aussen auf den VPN Server nutzt muss um Views erweitert werden, die besagen, dass die IP-Adresse die zurückgeliefert wird, wenn eine Anfrage an vpnserver.eure-domain.de aus dem Freifunk-Netz kommt, mit der internen IP-Adresse des VPN-Servers beantwortet wird.
Alternativ könnte man einen seperaten DNS-Eintrag dafür benutzen, ist dann aber nicht so elegant, da man selber manuell immer den fallweise richtigen fqdn benutzen müsste.
VLAN gebaut um von der Firewall ein weiteres LAN zu haben
An unserem Switch zweiten Port mit diesem VLAN konfiguriert und in den FF-AP in einen gelben Port gesteckt (ist ein TP-Link TL-WR1043N/ND v1 - verwende Port 1)
Auf der Firewall sieht man jetzt auf dem VLAN Traffic (ARP und icmp6 neighbor sol Zeugs)
Problem: Firewall kann im HA Modus kein DHCP Client sein - also eine freie IP Adresse fest vergeben im gleichen DHCP Segment wie unsere Clients
VPN Service und dann noch PING aktiviert für das Interface
Problem: Kann von einem Freifunk Client weder pingen noch das VPN verbinden
So, hat etwas gedauert SSH anzuschalten…
Mit batctl die MAC Adresse der Firewall zu pingen funktioniert nicht.
Kann ich denn sicher sein, das es sich bei dem gelben Port um einen Client Port handelt?
Dann
2) Loadbalancer (OpenWRT Mwan3. Besser TL-ER5120 ) an a) Heimrouter und b) 1043v2
Im Loadbalancer default auf Freifunk routen, kein Fallback, nur Whitelist auf direkt auf den Heimrouter
Das widerspricht mal grundsätzlich unserem KISS-Prinzip (KISS-Prinzip – Wikipedia ) hier im Haus.
Da sind nämlich die Wartungskosten wegen Komplexität am Schluß der Laufzeit höher als einmal am Anfang mehr Geld ausgeben.
„Special Magie mit Whitelisten in Umweg-Routingtabellen“ ist mit KISS nicht vereinbar. In der Tat.
Das wurde aber doch oben im Thread schon erläutert.
Aber lass es mich anders ausdrücken: So einen Workaround direkt in den Gluon-Router einzubauen „hardcoded“ wäre NOCH schlimmer. Weil dass die Autoupdate-Fähigkeit verloren geht und somit bei jedem (definitiv regelmäßig notwendigen) Update des Freifunk-Routers die komplette Config neu gestrickt werden müsste.
Yep, da hast Du vollkommen recht. Ich verfolge gerade den Weg den VPN Service ins Freifunk Netz reinzukriegen.
Was mich dabei allerdings wundert: Ein privates WLAN kann man dazu konfigurieren in der Oberfläche - eine VPN Whitelist zu hinterlegen kann doch nicht soviel schwerer sein… Ich denke das das auch nützlich wäre für Leute die Ihren Freifunk AP hinter einer Fritzbox betreiben - da könnte man ja auch das Fritz VPN benutzen um zu den privaten Services zu kommen und muss dann nicht mehr mit 2 WLAN SSIDs hantieren. Wobei den VPN Service ins Freifunk zu bringen natürlich noch den Vorteil hat, das man dann innerhalb des Freifunk Netzes von überall auf den VPN Dienst draufkommt.