Hybrider Access Point (WPA2/privat + Freifunk): Unterschied zwischen den Versionen
Green (Diskussion | Beiträge) |
Green (Diskussion | Beiträge) |
||
Zeile 123: | Zeile 123: | ||
==== Editieren von /etc/config/wireless ==== | ==== Editieren von /etc/config/wireless (WAN Konfiguration))==== | ||
Auch hier muss die Konfiguration mittels Texteditor angepasst werden: | Auch hier muss die Konfiguration mittels Texteditor angepasst werden: | ||
Zeile 154: | Zeile 154: | ||
Info: Weitere Konfigurationsmöglichkeiten sind [http://wiki.openwrt.org/doc/uci/wireless hier] dokumentiert. | Info: Weitere Konfigurationsmöglichkeiten sind [http://wiki.openwrt.org/doc/uci/wireless hier] dokumentiert. | ||
==== Ausblenden der neuen Interfaces im Netmon ==== | ==== Ausblenden der neuen Interfaces im Netmon ==== |
Version vom 17. Oktober 2015, 22:04 Uhr
Intro
Mit vielen Routern ist es möglich, mehr als ein Funknetz aufzuspannen. So spannen die Freifunk Franken Router in Ihrer Grundkonfiguration zwei Wifi Netze auf: batman.franken.freifunk.net zum vermeshen und franken.freifunk.net als Access Point.
Es lassen sich unter Umständen weitere Netze hinzufügen. Der Artikel beschreibt das Einrichten eines privaten WPA2 verschlüsselten Funknetzes auf einem Freifunk Franken Router. Der Traffic, der dann über das private WPA2 verschlüsselte Netz läuft, wird hierbei nicht ins Freifunk Netz (fffVPN) geroutet, sondern verlässt das Heimnetz über den Heimrouter (z.B. Fritzbox, Kabelmodem, Speedport, etc..) direkt in das Netz des privaten Internetproviders. Voraussetzung hierfür ist, dass auf dem Freifunk Router ein WAN Port verfügbar ist, und der Router über den WAN Port an den Heimrouter und damit an das Internet angeschlossen ist.
An dem so umkonfigurierten Freifunk Router (mit WAN Anbindung) lässt sich per Funkanbindung ein weiterer Freifunk Router anschliessen, der das Heimnetz weiterspannt. Der per Funk angeschlossene Freifunk Router fungiert hierbei als Repeater für den über WAN angeschlossenen Freifunk Router.
Die Konfiguration (WAN Anschluss) wurde bislang auf folgenden Routern erfolgreich getestet:
- Ubiquiti PicoStation M2HP
- Ubiquiti NanoStation Loco M2
- TP-Link WR841N(D)v9
- TP-Link WR1043ND v2
Die Konfiguration (Repeater Anschluss) wurde bislang auf folgenden Routern erfolgreich getestet:
- TP-Link WR841N(D)v9
Voraussetzungen
- Funktionsfähiger und angeschlossener WAN Port am Freifunk Router (Für die Konfiguration eines WAN Ports auf der Ubiquiti PicoStation M2HP oder NanoStation Loco M2 siehe bitte die Ubiquiti Freifunk Firmware Installationsanleitung)
- Sicheres Passwort auf dem Freifunk Router ("Wie ändere ich das Passwort für den Router?")
- SSH Zugriff auf den Router ("Wie kann ich mich auf den Router einloggen?")
- Die Anleitung hat einen mittleren Schwierigkeitsgrad: Jemand ohne bisherige Linux-Berührungspunkte wird möglicherweise verzweifeln, Pros werden sich nicht ganz ernst genommen fühlen
Vor- und Nachteile
Pro:
- Evtl. lässt sich der Kauf eines zusätzlichen privaten WiFi-Routers vermeiden, indem der Freifunk Router mitgenutzt wird
- Manche Freifunk-Router zeigen deutlich ansprechendere Leistungscharakteristiken als Router, die üblicherweise in Betrieb sind. Die eigenen 4 Wände werden besser ausgeleuchtet.
- Die eigene WiFi-Homezone lässt sich auf mehrere Wifi-Router abstützen, sofern die Konfigurationsparameter SSID, Key und das Verschlüsselungsverfahren auf allen verwendeten Routern identisch sind. Viele Endgeräte unterstützen Roaming zwischen den so konfigurierten Access Points. Die private Homezone wird auf das von euch umkonfigurierte Freifunk Netz erweitert, eine bessere Ausleuchtung wird erreicht.
Con:
- Der Freifunk Router wird nicht in Standardkonfiguration betrieben. Zwar gibt es auch so keine Funktionsgarantien, aber die Funktionszuverlässigkeit steigt jenseits der Standardkonfiguration nicht unbedingt. Evtl. geht was kaputt.
- Jeder Freifunk Router, der per WAN über das Internet ans Freifunk Franken VPN (Interface fffVPN) angeschlossen wird, erzeugt einen geringen Grundlast-Traffic im Up- und Download.
Hybrider Access Point mit WAN Anschluss
Einloggen und Check der Konfiguration
Zunächst loggt man sich auf dem Router per ssh ein.
Dann kann man mit "route" kurz überprüfen...
route
... inwieweit der Freifunk-Router per WAN Port mit dem Internet verbunden ist:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default fritz.box 0.0.0.0 UG 0 0 0 eth1 192.168.178.0 * 255.255.255.0 U 0 0 0 eth1
Hier sollte der Heimrouter als Default-Gateway eingetragen sein (IP oder DNS Name). Den Namen des WAN-Interfaces (in diesem Beispiel wird der Default-Gateway "fritz.box" über das WAN-Interface "eth1" angesprochen) sollte man sich für später aufschreiben.
Ein ping ...
ping freifunk-franken.de
...sollte beantwortet werden (Abbruch mit "STRG-C"):
PING freifunk-franken.de (31.172.113.113): 56 data bytes 64 bytes from 31.172.113.113: seq=0 ttl=52 time=26.216 ms 64 bytes from 31.172.113.113: seq=1 ttl=52 time=24.924 ms ^C --- freifunk-franken.de ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 24.924/25.570/26.216 ms
Da ein Default-Gateway definiert ist und der ping beantwortet wird, kann man davon ausgehen, das der Freifunk Router direkt über den WAN Port mit dem Internet verbunden ist.
Privates verschlüsseltes WiFi Netz im FF-Router konfigurieren
Sicherheitskopien
Zunächst sind Sicherheitskopien der später veränderten Dateien empfehlenswert:
cp /etc/config/network /etc/config/network.sik-orig
cp /etc/config/wireless /etc/config/wireless.sik-orig
cp /etc/config/nodewatcher /etc/config/nodewatcher-orig
Falls später gewünscht, ist ein Zurückspielen der gesicherten Konfiguration umgekehrt über
cp /etc/config/network.sik-orig /etc/config/network
cp /etc/config/wireless.sik-orig /etc/config/wireless
cp /etc/config/nodewatcher-orig /etc/config/nodewatcher
möglich. Dies macht unten durchgeführte Änderungen rückgängig.
Editieren von /etc/config/network
Mittels eines Texteditors (auf allen Freifunk Routern gibt es den etwas speziellen Editor vi) muss an die vorhandene Konfigurationsdatei /etc/config/network ein Konfigurationsblock angefügt werden. Die bestehenden Konfigurationsblöcke müssen unbedingt erhalten bleiben.
Aufruf des Texteditors:
vi /etc/config/network
Mittels "i" kann der Editor in den Einfügemodus versetzt werden. Folgender Konfigurationsblock sollte am Ende der Datei angefügt werden. Der Eintrag erstellt eine zusätzliche Bridge zum WAN-Interface des FF-Routers:
config interface 'privnet' option ifname 'eth1' option type 'bridge' option proto 'dhcp'
Hierbei ist zu beachten, dass der Name des WAN-Interfaces genommen wird (Hier im Beispiel "eth1"). Dieser wurde oben unter "Einloggen und Check der Konfiguration" ermittelt.
Mit "Esc" beendet man den Einfügemodus. Mit ":x" speichert man die Datei. Mit ":q!" verwirft man die Änderungen, falls etwas schief gegangen sein sollte. Der Editor wird in beiden Fällen beendet.
Info: Weitere Konfigurationsmöglichkeiten sind hier dokumentiert.
Editieren von /etc/config/wireless (WAN Konfiguration))
Auch hier muss die Konfiguration mittels Texteditor angepasst werden:
vi /etc/config/wireless
Wieder muss der Texteditor mit "i" in den Einfügemodus versetzt werden und folgender Konfigurationsblock angefügt werden. Die bestehenden Einträge müssen erhalten bleiben.
config wifi-iface option device 'radio0' option network 'privnet' option ifname 'privwifi' option mode 'ap' option ssid 'MyHomeIsMyCastle' option key '12345678123456781234' # option encryption 'psk2+tkip+aes' option encryption 'psk2+ccmp'
Der Eintrag erstellt ein neues verschlüsseltes Wifi mit dem Namen (SSID) "MyHomeIsMyCastle" und dem Schlüssel (Key) "12345678123456781234". Key und SSID müssen unbedingt persönlich angepasst und notiert werden. Wer die Parameter "SSID", "Key" und "Encryption" identisch zu einem im Heimnetz bestehenden Wifi-Router wählt, ermöglicht ggf. ein Roaming zwischen den Wifi-Routern seines Heimnetzes (s.o.).
Als Network wird der Name der vorher definieren Bridge "privnet" eingetragen. Wer stattdessen hier "mesh" einträgt, routet sein neu erstelltes privates und verschlüsseltes Wifi über das Freifunk Netz und nicht über seinen privaten Internetprovider.
Der Name des Funk-Devices "radio0" sollte bereits in den bestehenden Konfigurationsblöcken von /etc/config/wireless erwähnt sein.
Mit "Esc" beendet man den Einfügemodus. Mit ":x" speichert man die Datei. Mit ":q!" verwirft man die Änderungen, falls etwas schief gegangen sein sollte. Der Editor wird in beiden Fällen beendet.
Info: Weitere Konfigurationsmöglichkeiten sind hier dokumentiert.
Ausblenden der neuen Interfaces im Netmon
Wir editieren die Datei nodewatcher:
vi /etc/config/nodewatcher
Und tragen die oben neu definierten Interfaces (br-privnet, privwifi) in die Blackliste der Interfaces ein, die nicht an den Netmon durchgereicht werden.
Mittels "i" kann der Editor in den Einfügemodus versetzt werden. Folgender Konfigurationsblock kann angepasst werden:
. . config network option mesh_interface 'br-mesh' option iface_blacklist 'lo ifb0 br-privnet privwifi' option ip_whitelist 'br-mesh' option client_interfaces 'w2ap'
Mit "Esc" beendet man den Einfügemodus. Mit ":x" speichert man die Datei. Mit ":q!" verwirft man die Änderungen, falls etwas schief gegangen sein sollte. Der Editor wird in beiden Fällen beendet.
Reboot des Freifunk Routers (WAN Konfiguration)
Die Änderungen werden nach Neustart des Routers aktiv:
reboot & exit
Hat es geklappt ? (WAN Konfiguration)
Wenn alles geklappt hat, sieht ein Wifi-Endgerät (z.B. Handy, Notebook, Tablet) jetzt das verschlüsselte Wifi mit dem eingerichteten Namen. In unserem Beispiel ist das "MyHomeIsMyCastle".
Wir verbinden uns mit unserem neuen privaten Funknetz und geben den vorher von uns definierten Schlüssel an (in unserem Beispiel ist das "12345678123456781234"). Um sicherzustellen, dass man sich mit dem richtigen Router (Evtl. identische SSID, Key) verbindet, begibt man sich am besten in unmittelbare Nähe des Geräts.
Mit einem Aufruf von z.B. Utrace oder einem IP-Lokalisator sollte der eigene Internet-Provider und Standort auftauchen. Das Routing findet also nicht über das Freifunk Netz statt. Alternativ tut es auch ein schnelles traceroute.
Wenn man sich jetzt stattdessen mit freifunk.franken.net verbindet und wieder z.B. Utrace oder einen IP-Lokalisator aufruft, sollte eine andere IP und einer anderen Standort gemeldet bekommen, und zwar den des verwendeten Freifunk -> Internet Gateways.
War es das schon ?
Nein. Man könnte z.B. noch:
- eine Konfiguration für einen hybriden Access Point für Freifunk Router entwickeln, die nicht über den WAN port, sondern allein über B.A.T.M.A.N eingebunden sind
- weitere Routermodelle auf Kompatibilität mit der Anleitung prüfen