[Freifunk-Bonn] Mehrere WLAN's im Infrastructure mode möglich auf einem Router? & welche Router verkauft ihr?
Sebastian Seidel
sseidelsrb at googlemail.com
Sa Dez 6 21:38:58 CET 2014
Hallo zusammen
> Es lässt sich u.U. auch der gesamte Traffic im Heimnetz mitloggen, wenn
> sich der Switch im Heimrouter überreden lässt, sich zum "hub" zu machen.
> Da gibts ein paar nette Tools, die können das sogar bei manch
> Enterprise-Switch im Default-Zustand. Da glaub ich irgendwie nicht, dass
> typische Heimrouter dagegen gefeit sind!? Lass mich aber gerne eines
> Besseren belehren.
Du meinst MAC flooding. Du musst einfach ganz viele Pakete mit
unterschiedlichen Source MAC Adressen senden, dann ist irgendwann die
MAC Tabelle des Switches voll und er schaltet in den
Broadcastmodus.(Hub)
Das lässt sich bei managebaren switch verhindern indem ein Port sich
ausschaltet sobald eine bestimmte Anzahl Source MAC Adressen empfangen
wurden.
> Sollten also Bedenken bezüglich Kompromittierung des ff-Routers in dem
> Fall bestehen, dass dieser Gleichzeitig die Aufgaben des Heimrouters
> übernimmt, dann sollte man ihn auch erst gar nicht hinter einem einfach
> konfigurierten Heimrouter betreiben, sondern den Heimrouter erst zu einem
> professionellen Modell mit extra DMZ und deaktiviertem upnp aufrüsten
> (bzw. zumindest entsprechend einrichten, manch einfacher SOHO-Router kann
> das ja durchaus auch). (Und natürlich auch prüfen, ob der eigene Router
> für arp-poisoning anfällig ist.)
>
> Meine 2 ct zu dem Thema... YMMV
Ich nutze einen Cisco 876 als Router an meinem DSL Anschluss.
>
> OPN-ff-Mesh-adhoc, OPN-freifunk-AP und WPA2-heimlan-AP jeweils auf 2,4 und
> 5 GHz.
Das klingt nach dem was ich mir vorstelle.
>
> Änderungen an den Configs zur Standard-Firmware:
> firewall: br-heimlan als zusätzliche Zone, freifunk-Daten nur noch am
> br-freifunk und über den fastd-tunnel über wan, br-heimlan mit direktem
> forwarding zum wan.
> network: heimlan-bridge mit fester ip, die LAN-Ports sind ebenfalls vom
> ff-Netz getrennt und ins heimlan gebrückt.
> wireless: die 2 zusätzlichen APs mit heimlan als Interface, wpa2 mit psk.
> rc.d: dnsmasq aktiviert
>
> Mein ursprüngliches Problem dabei hab ich hier auf der Mailingliste vor
> wenigen Tagen beschrieben. Der wollte erst nicht fürs heimlan "nat"en. Das
> hat sich nun mit einer Lösung erledigt, die eigentlich gar nicht notwendig
> sein müsste (conntrack für heimlan aktivieren). Muss ich noch gucken, wo
> da der Bug steckt.
NAT brauche ich auf dem openwrt nicht, dass lasse ich dann den cisco
Router machen. Einmal NAT ist schlimmm genug.
dnsmasq = DNS Server & DHCP Server?
Wofür brauchst du den? In meinen Szenario sehen ich momentan keinen
Bedarf dafür.
>
> Ich bin also noch nicht so weit, dass ich mein Setup veröffentlichen
> könnte, da ich damit erst vor ein paar Tagen angefangen habe und bisher
> noch nicht dazu gekommen bin, es etwas besser zu testen. Wer weiß, welch
> böser Denkfehler da noch bei zum Vorschein kommt...
Je früher du sie öffentlich zur Diskussion stellst, desto früher fallen
Fehler auf, die du im Produktivbetrieb vermeiden kannst ;-)
Mehr Informationen über die Mailingliste Freifunk-Bonn