Hybrider Access Point (WPA2/privat + Freifunk): Unterschied zwischen den Versionen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche
Zeile 7: Zeile 7:
Mit vielen Routern ist es grundsätzlich möglich, mehr als ein Funknetz aufzuspannen. So spannen die FF Router in Ihrer Grundkonfiguration zwei Wifi Netze auf: batman.franken.freifunk.net zum vermeshen und franken.freifunk.net als Access Point.
Mit vielen Routern ist es grundsätzlich möglich, mehr als ein Funknetz aufzuspannen. So spannen die FF Router in Ihrer Grundkonfiguration zwei Wifi Netze auf: batman.franken.freifunk.net zum vermeshen und franken.freifunk.net als Access Point.


Es lassen sich unter Umständen weitere Netze hinzufügen. Der Artikel beschreibt das Einrichten eines privaten WPA2 verschlüsselten Funknetzes auf einem Freifunk Router. Der Traffic, der dann über das private WPA2 verschlüsselte Netz läuft, wird hierbei nicht ins Freifunk Netz (FFF VPN) geroutet, sondern verlässt das Heimnetz über den Heimrouter (z.B. Fritzbox, Kabelmodem, Speedport, etc..) und dessen Netz. Voraussetzung hierfür ist, dass auf dem Freifunk Router ein WAN Port verfügbar ist, und der Router über den WAN Port an das Heimrouter und das Internet angeschlossen ist.  
Es lassen sich unter Umständen weitere Netze hinzufügen. Der Artikel beschreibt das Einrichten eines privaten WPA2 verschlüsselten Funknetzes auf einem Freifunk Router. Der Traffic, der dann über das private WPA2 verschlüsselte Netz läuft, wird hierbei nicht ins Freifunk Netz (FFF VPN) geroutet, sondern verlässt das Heimnetz über den Heimrouter (z.B. Fritzbox, Kabelmodem, Speedport, etc..) und dem Netz des privaten Internetproviders. Voraussetzung hierfür ist, dass auf dem Freifunk Router ein WAN Port verfügbar ist, und der Router über den WAN Port an das Heimrouter und das Internet angeschlossen ist.  


Die Konfiguration wurde bislang auf folgenden Routern erfolgreich getestet:
Die Konfiguration wurde bislang auf folgenden Routern erfolgreich getestet:

Version vom 31. Juli 2015, 21:15 Uhr

Diese Seite befindet sich noch im Entwurfsstadium.
Hilf mit sie zu verbessern!


Intro

Mit vielen Routern ist es grundsätzlich möglich, mehr als ein Funknetz aufzuspannen. So spannen die FF Router in Ihrer Grundkonfiguration zwei Wifi Netze auf: batman.franken.freifunk.net zum vermeshen und franken.freifunk.net als Access Point.

Es lassen sich unter Umständen weitere Netze hinzufügen. Der Artikel beschreibt das Einrichten eines privaten WPA2 verschlüsselten Funknetzes auf einem Freifunk Router. Der Traffic, der dann über das private WPA2 verschlüsselte Netz läuft, wird hierbei nicht ins Freifunk Netz (FFF VPN) geroutet, sondern verlässt das Heimnetz über den Heimrouter (z.B. Fritzbox, Kabelmodem, Speedport, etc..) und dem Netz des privaten Internetproviders. Voraussetzung hierfür ist, dass auf dem Freifunk Router ein WAN Port verfügbar ist, und der Router über den WAN Port an das Heimrouter und das Internet angeschlossen ist.

Die Konfiguration wurde bislang auf folgenden Routern erfolgreich getestet:

  • Ubiquiti PicoStation M2HP
  • Ubiquiti NanoStation Loco M2
  • TP-Link WR841N(D)v9

Voraussetzungen

  • Funktionsfähiger und angeschlossener WAN Port am Freifunk Router (Für die Konfiguration eines WAN Ports auf der Ubiquiti PicoStation M2HP oder NanoStation Loco M2 siehe bitte die Ubiquiti Freifunk Firmware Installationsanleitung)
  • Sicheres Passwort auf dem Freifunk Router
  • SSH Zugang zum Router
  • Die Anleitung hat einen mittlerem Schwierigkeitsgrad: Jemand ohne bisherige Linux-Berührungspunkte wird möglicherweise verzweifeln, Pros werden sich nicht ganz ernst genommen fühlen

Vor- und Nachteile

Pro:

  • Evtl. lässt sich der Kauf eines zusätzlichen privaten WiFi-Routers vermeiden, indem der Freifunk Router mitgenutzt wird
  • Manche Freifunk-Router zeigen deutlich ansprechendere Leistungscharakteristiken als Router, die üblicherweise in Betrieb sind. Die eigenen 4 Wände werden besser ausgeleuchtet.
  • Die eigene WiFi-Homezone lässt sich auf mehrere Router abstützen, sofern die Konfigurationsparameter SSID, Key und das Verschlüsselungsverfahren auf allen verwendeten Routern identisch ist. Viele Endgeräte unterstützen Roaming zwischen den so konfigurierten Access Points. Die private Homezone wird auf das von euch umkonfigurierte Freifunk Netz erweitert, eine bessere Ausleuchtung wird erreicht.

Con:

  • Der Freifunk Router wird nicht in Standardkonfiguration betrieben. Zwar gibt es auch so keine Funktionsgarantien, aber die Funktionszuverlässigkeit steigt jenseits der Standardkonfiguration nicht unbedingt. Evtl. geht was kaputt.
  • Jeder Freifunk Router, der per WAN über das Internet ans Freifunk Franken VPN (Interface fffVPN) angeschlossen wird, erzeugt einen geringen Grundlast-Traffic im Up- und Download.

Einloggen und Check der Konfiguration

Zunächst loggt man sich auf dem Router per ssh ein.

Dann kann man mit "route" kurz überprüfen, inwieweit der Freifunk-Router per WAN Port mit dem Internet verbunden ist:

root@grashuepfer:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth1
192.168.178.0   *               255.255.255.0   U     0      0        0 eth1

Hier sollte der Heimnetz-Router als default Gateway eingetragen sein. Den Namen des WAN-Interfaces (hier eth1) auf dem verwendeten Freifunk-Router sollte man sich für später aufschreiben (hier WAN Interface: eth1).

Ein kurzer "ping freifunk-franken.de" sollte beantwortet werden:

root@grashuepfer:~# ping freifunk-franken.de
PING freifunk-franken.de (31.172.113.113): 56 data bytes
64 bytes from 31.172.113.113: seq=0 ttl=52 time=26.216 ms
64 bytes from 31.172.113.113: seq=1 ttl=52 time=24.924 ms
^C
--- freifunk-franken.de ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 24.924/25.570/26.216 ms

Da ein Standard-Gateway definiert wurde und der ping beantwortet wird, können also davon ausgehen, das der Freifunk Router direkt über den WAN Port mit dem Internet verbunden ist.

Privates WiFi Netz im FF-Router konfigurieren

Zunächst sind Sicherheitskopien der später veränderten Dateien empfehlenswert:

cp /etc/config/network /etc/config/network.sik-orig
cp /etc/config/wireless /etc/config/wireless.sik-orig


Editieren von /etc/config/network

Mittels eines Texteditors (auf allen Freifunk Routern gibt des den etwas speziellen Editor vi) muss an die vorhandene Konfigurationsdatei /etc/config/network ein Konfigurationsblock angehängt werden. Die bestehenden Konfigurationsblöcke müssen unbedingt erhalten bleiben.

Aufruf des Texteditors:

vi /etc/config/network

Mittels "i" kann der Editor in den Einfügemodus versetzt werden.

Folgender Konfigurationsblock sollte am Ende der Datei angehängt werden. Der Eintrag erstellt eine zusätzliche Bridge zum WAN Device des FF-Routers:

config interface 'privnet'
    option ifname 'eth1'
    option type 'bridge'   
    option proto 'dhcp'

Hierbei ist zu beachten, dass der Interface-Name der WAN Schnittstelle genommen wird (Hier: "eth1"). Diese wurde oben unter "Einloggen und Check der Konfiguration" ermittelt.

Info: Weitere Konfigurationsmöglichkeiten sind hier dokumentiert.

Mit "Esc" beendet man den Einfügemodus. Mit ":x" speichert man die Datei, mit ":q!" verwirft man die Änderungen, falls etwas schief gegangen sein sollte. Der Editor wird in beiden Fällen beendet.


Editieren von /etc/config/wireless

Auch hier muss die Konfiguration mittels Texteditor angepasst werden:

vi /etc/config/wireless

Wieder muss der Texteditor mit i in den Einfügemodus versetzt werden und folgender Konfigurationsblock angehängt werden. Die bestehenden Einträge müssen erhalten bleiben.

config wifi-iface
        option device       'radio0'
        option network      'privnet'
        option ifname       'privwifi'
        option mode         'ap'
        option ssid         'MyHomeIsMyCastle'
        option key          '12345678123456781234'
        option 'encryption' 'psk2+tkip+aes'

Der Eintrag erstellt ein neues verschlüsseltes Wifi mit dem Namen (SSID) "MyHomeIsMyCastle" und dem Schlüssel (Key) "12345678123456781234". Key und SSID müssen unbedingt persönlich angepasst und notiert werden. Wer die Parameter "SSID", "Key", "encryption" identisch zu einem im Heimnetz bestehenden Wifi-Router wählt, ermöglicht ggf. ein Roaming zwischen den Routern seines Heimnetzes (s.o.).

Als Network wird der Name der vorher definieren Bridge "privnet" eingetragen. Wer stattdessen hier "mesh" einträgt, routet stattdessen sein neu erstelltes privates und verschlüsseltes Wifi über das Freifunk Netz.

Der Name des Funk-Devices "radio0" sollte bereits in obigen Konfigurationsblöcken erwähnt sein.

Info: Weitere Konfigurationsmöglichkeiten sind hier dokumentiert.

Mit "Esc" beendet man den Einfügemodus. Mit ":x" speichert man die Datei, mit ":q!" verwirft man die Änderungen, falls etwas schief gegangen sein sollte. Der Editor wird in beiden Fällen beendet.


Reboot des Freifunk Routers

Die Änderungen werden nach Neustart des Routers aktiv:

reboot & exit

Hat es geklappt ?

Wenn alles geklappt hat, sieht ein Wifi-Endgerät (z.B. Handy, Notebook, Tablet) jetzt das verschlüsselte Wifi mit dem eingerichteten Namen. In unserem Beispiel ist das "MyHomeIsMyCastle".

Wir verbinden uns, geben den definierten Schlüssel an (in unserem Beispiel ist das "12345678123456781234" und sollten verbunden werden.

Mit einem Aufruf von z.B. Utrace oder einem IP-Lokalisator IP-Lokalisator sollte der eigene Internet-Provider und Standort auftauchen. Das Routing findet also nicht über das Freifunk Netz statt. Alternativ tut es auch ein schnelles traceroute.

Wenn man sich jetzt stattdessen mit freifunk.franken.net verbindet, und wieder z.B. Utrace oder einen IP-Lokalisator IP-Lokalisator aufrufe, sollte eine andere IP und anderer Standort gemeldet werden, der des Freifunk VPN Gateways.

War es das schon ?

Nein. Man könnte z.B. noch:

  • Eine Konfiguration für einen hybriden Access Point für Freifunk Router entwickeln, die nicht über den WAN port, sondern allein über B.A.T.M.A.N eingebunden sind
  • Weitere Routermodelle auf Kompatibilität mit der Anleitung prüfen
  • Aus dem Netmon die neu erstellten, nun privaten Interfaces, entfernen