[Freifunk-Bonn] Mehrere WLAN's im Infrastructure mode =?iso-8859-1?Q?m=F6glich_auf_einem_Router=3F_&_welche_Router_verkauft_ihr?=?

hede ffunk5279 at der-he.de
Sa Dez 6 21:14:37 CET 2014


Am Sa, 6.12.2014, 13:48 schrieb Jan Lühr:

> Auch Sicherheitsgründen ist dein Setup schlecht, da bei einer
> Kompromittierung des Freifunk-Routers weite Teile deines Netzes offen
> sind. Du solltest so ein Setup nur fahren, wenn Du Dir deswegen keine
> Sorgen macht.

Das gilt dann genau so auch für jeden, der den ff-Router hinter seinem
Heimrouter betreibt. Die wan-Schnittstelle des ff-Routers hat dort
ebenfalls direkten Zugriff auf das gesamte Heimnetz und den direkten
Internetzugang.

Es lässt sich u.U. auch der gesamte Traffic im Heimnetz mitloggen, wenn
sich der Switch im Heimrouter überreden lässt, sich zum "hub" zu machen.
Da gibts ein paar nette Tools, die können das sogar bei manch
Enterprise-Switch im Default-Zustand. Da glaub ich irgendwie nicht, dass
typische Heimrouter dagegen gefeit sind!? Lass mich aber gerne eines
Besseren belehren.

Und mit aktiviertem upnp am Heimrouter (was ja durchaus nicht unüblich
ist) spielt es auch fürs Diensteangebot ins Internet keine Rolle, ob nun
noch ein Router davor hängt oder nicht, da man sich dann vom
kompromittierten ff-Router sogar Portforwards öffnen kann.

Sollten also Bedenken bezüglich Kompromittierung des ff-Routers in dem
Fall bestehen, dass dieser Gleichzeitig die Aufgaben des Heimrouters
übernimmt, dann sollte man ihn auch erst gar nicht hinter einem einfach
konfigurierten Heimrouter betreiben, sondern den Heimrouter erst zu einem
professionellen Modell mit extra DMZ und deaktiviertem upnp aufrüsten
(bzw. zumindest entsprechend einrichten, manch einfacher SOHO-Router kann
das ja durchaus auch). (Und natürlich auch prüfen, ob der eigene Router
für arp-poisoning anfällig ist.)

Meine 2 ct zu dem Thema... YMMV

Am Sa, 6.12.2014, 14:34 schrieb Sebastian Seidel:

> Kannst du mir einen Router empfehlen der das kann? Wie siehts mit 841n
> oder TL-WDR3600?

Ich hab mir auf einem 3600er ein solches Setup mit mehreren APs eingerichtet:

OPN-ff-Mesh-adhoc, OPN-freifunk-AP und WPA2-heimlan-AP jeweils auf 2,4 und
5 GHz.

Änderungen an den Configs zur Standard-Firmware:
firewall: br-heimlan als zusätzliche Zone, freifunk-Daten nur noch am
br-freifunk und über den fastd-tunnel über wan, br-heimlan mit direktem
forwarding zum wan.
network: heimlan-bridge mit fester ip, die LAN-Ports sind ebenfalls vom
ff-Netz getrennt und ins heimlan gebrückt.
wireless: die 2 zusätzlichen APs mit heimlan als Interface, wpa2 mit psk.
rc.d: dnsmasq aktiviert

Mein ursprüngliches Problem dabei hab ich hier auf der Mailingliste vor
wenigen Tagen beschrieben. Der wollte erst nicht fürs heimlan "nat"en. Das
hat sich nun mit einer Lösung erledigt, die eigentlich gar nicht notwendig
sein müsste (conntrack für heimlan aktivieren). Muss ich noch gucken, wo
da der Bug steckt.

Ich bin also noch nicht so weit, dass ich mein Setup veröffentlichen
könnte, da ich damit erst vor ein paar Tagen angefangen habe und bisher
noch nicht dazu gekommen bin, es etwas besser zu testen. Wer weiß, welch
böser Denkfehler da noch bei zum Vorschein kommt...

Der Router ist daher aktuell abgeschaltet und hat meinen alten
Heimnetz-Router noch nicht ersetzt. Ganz so überzeugt bin ich von meiner
Config noch nicht. ;-)

Grüße
hede




Mehr Informationen über die Mailingliste Freifunk-Bonn