uwoerl
Goto Top

Freifunk über vorhandene Access Points ausstrahlen

Hallo,
nachdem mir in der Vergangenheit auf dieser Plattform so hervorragend weitergeholfen wurde, möchte ich mich auch mit meinem neusten Plänen an euch wenden und später umsetzen.

Vorhaben (Planungsstadium):
Ich möchte einen Freifunk-Router (TP-Link WR841N) auf dem Dachboden aufstellen und von dessen Lan-Port ein Kabel zum Patchfeld im Keller führen.
Dort möchte ich dann über die im Haus vorhandenen und verteilten Access Points das Freifunk-Netz über eine separate SSID ausstrahlen.
Auf diese Weise können sich Gäste mit dem Freifunk-Netz verbinden, ohne das auf jeder Etage ein zweiter Access Point herum stehen muss.

Den Gastzugang per Hotspot inkl. Captive Portal und Syslog Sever zu realisieren ist zwar eine hervorragende Idee. Freifunk bietet jedoch den Vorteil, das der Datenverkehr per VPN aus dem eigenem Netzwerk geschafft wird. Syslog und Voucher drucken wird auch nicht benötigt. Ferner habe ich so die Möglichkeit im Falle eines Internetausfalls über den per Mesh angebundenen Freifunk-Knoten meines Nachbarn ins Internet zu gelangen.

Derzeitige Situation:
9163ca0bf07b1440859a5aafce4a6981

Im Mikrotik wurde für Ports 3, 4 und 5 ein eigener DHCP Server mit eigenem Adress Pool angelegt.
Über die Firewall wird der Zugriff der entsprechenden IP-Netze aufeinander verhindert (reject forwarding).

Wenn ich das richtig einschätze, muss das ganze per VLAN angegangen werden.

Erste Fragen:
1.) Access Points

Da die Fritzboxen nicht VLAN fähig sind, müssten neue Access Points angeschafft werden.
Eignen sich für meine Pläne bereits TP-Link WR841N (ca. 15€/Stück, inkl. OpenWRT) oder Mikrotik hap lite (ca. 20€/Stück - Vorteil: Capsman)?
Von den WR841N habe ich noch 2 Stück auf der Halde liegen.

Schöner wäre es natürlich direkt etwas mit Gigabit-Lan und 5Ghz zu haben. Ich bin mir allerdings noch nicht sicher, wie viel Budget ich beim Vermieter durchsetzen kann. Ich denke, dass in Zukunft die Preise für Dualband Access Points auch noch fallen werden, wenn mehr und mehr Geräte 5Ghz fähig werden.

Habt ihr andere AP - Empfehlungen, die Multi SSID und VLAN unterstützen und dabei noch halbwegs Laienfreundlich sind?


2.) Router + Switch + VLAN
Ich würde gerne das Kabel vom Freifunk-Netzwerk an den freien Port 2 des Mikrotik Routers anschließen und dann an die Ports der Familien leiten.
Ist das Möglich?
Den Vorteil dieser Methode sehe ich darin, dass die Familien 1+3 bei Bedarf einen Switch direkt in ihrem Stockwerk installieren können und so weniger Last auf den Router oder einen zentralen Switch gelangt, z.B. wenn Daten zwischen PC's kopiert werden. Ferner ist kein weiterer Platz am aktuellen Standort von Fritzbox und Mikrotik mehr vorhanden.

Den Unmanaged Switch von Familie 2 würde ich durch einen günstigen NETGEAR GS108E-300PES ProSAFE Plus ersetzen.

Viele Grüße

Uwoerl

Content-ID: 322742

Url: https://administrator.de/forum/freifunk-ueber-vorhandene-access-points-ausstrahlen-322742.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
Lösung aqui 02.12.2016 um 17:10:30 Uhr
Goto Top
Im Grunde ist es ganz einfach. Du schickst das Freifunk netz in ein VLAN, verteilst das VLAN über deine Infrastruktur.
Dafür brauchst du MSSID fähige APs, sprich als APs die mehrere SSIDs aufspannen können und diese auf ein VLAN Tag mappen.
Die Praxis wie das geht findest du in diesem Tutorial hier erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das beantwortet also schon vollständig deinen Frage 1.
Du brauchst MSSID fähige APs. Wenn du 5 Ghz mit abdecken willst dann natürlich Dual Radio MSSID APs.
So gut wie alle Dual Radio APs auch billige Consumer APs supporten das aber besser immer auf die Feature Liste sehen !!
Der 841N ist nicht MSSID fähig !! Jedenfalls nicht mit der Original Firmware. Man kann ihn aber mit OpenWRT flashen.
Besser ist aber du investierst in etwas bessere APs. Die 841N ist unterste Schublade, was bei dem Preis von 15 Euro auch kein Wunder ist.
Frage 2:
Ja, das kann man so machen und macht auch Sinn für Familien internen Traffic.
Ob man sich beim VLAN Switch allerdings einen NetGear antuen sollte musst du selber wissen. Die Konfig ist recht gewöhnungsbedürftig aber wenn dich das nicht stört ist das OK.
Cisco SG-200-8 hat ein besseres und logischeres GUI.
Außerdem gibt es den in einer PoE Variante um deine zufünftigen APs über das Datenkabel mit Strom zu versorgen. Das erspart dir die lästige Frickelei mit abgesetzen Netzteilen.
APs die MSSID supporten sind z.B. Ubiquity UniFi:
http://varia-store.com/Wireless-Systeme/UBIQUITI-UniFi/UniFi-Enterprise ...
Für nur sehr wenig Geld mehr bekommst du den als Dual Radio AP der dir dann beide WLAN Funkbänder 2,4 Ghz und 5 Ghz bedient:
http://varia-store.com/Wireless-Systeme/UBIQUITI-UniFi/Ubiquiti-UAP-AC- ...
Mit beiden APs kannst du bis zu 4 separate WLANs aufspannen !
Lochkartenstanzer
Lochkartenstanzer 02.12.2016 um 23:26:59 Uhr
Goto Top
Moin,

Prinzipiell geht der TP-Link WR841N(D ), aber wie dort steht:

Wie es mit Unterstützung des Geräts bzw. seiner unterschiedlichen Revisionen aussieht, musst du bei deiner Freifunk-Community nachschauen.

lks
Uwoerl
Uwoerl 06.12.2016 aktualisiert um 18:24:34 Uhr
Goto Top
Zitat von @aqui:

Im Grunde ist es ganz einfach.
Das macht etwas Mut face-smile, denn ich benötige Hilfe um dies zunächst erstmal auf dem Mikrotik umzusetzen.

Du schickst das Freifunk netz in ein VLAN,

Um das umzusetzen erstelle ich Vlan (ID ungleich 1) und weise es Interface eth2 zu. Den haken bei "Use Service Tag" setze ich nicht. Soweit korrekt?

verteilst das VLAN über deine Infrastruktur.
Benutzt man hierzu die Switch- oder Bridge Funktion des MT?


Wenn die beiden obigen Punkte geklärt sind, müsste ich noch separate Vlans für die Familiennetze anlegen, korrekt?
- Ich würde das ganze dann folgendermaßen angehen:

Beispiel für die Erstellung eines Vlans für Familiennetz 3
1.) Erstellung des Vlans
  • Interface: ether3
  • VLAN ID: 30
2.) Bereits definierte IP-Adresse 10.30.0.1/24 und den DHCP dem soeben erstellten Vlan zuweisen


Frage 2:
Ja, das kann man so machen und macht auch Sinn für Familien internen Traffic.
Ob man sich beim VLAN Switch allerdings einen NetGear antuen sollte musst du selber wissen. Die Konfig ist recht gewöhnungsbedürftig aber wenn dich das nicht stört ist das OK.
Cisco SG-200-8 hat ein besseres und logischeres GUI.
Außerdem gibt es den in einer PoE Variante um deine zufünftigen APs über das Datenkabel mit Strom zu versorgen. Das erspart dir die lästige Frickelei mit abgesetzen Netzteilen.

Ich versuche den Cisco Switch durchzusetzen. Es wird sich in den nächsten Tagen zeigen, ob ich damit erfolgreich bin.
Falls nicht, muss es wohl das Gerät von Netgear werden. Die Kosten hierfür wurden schon abgesegnet.

APs die MSSID supporten sind z.B. Ubiquity UniFi:
http://varia-store.com/Wireless-Systeme/UBIQUITI-UniFi/UniFi-Enterprise ...
Für nur sehr wenig Geld mehr bekommst du den als Dual Radio AP der dir dann beide WLAN Funkbänder 2,4 Ghz und 5 Ghz bedient:
http://varia-store.com/Wireless-Systeme/UBIQUITI-UniFi/Ubiquiti-UAP-AC- ...
Mit beiden APs kannst du bis zu 4 separate WLANs aufspannen !

Von diesen APs habe ich bisher nur gutes gehört. Das einzige was mich momentan etwas zögern lässt ist, dass die Konfiguration nur mittels der speziellen Controller Software und nicht über ein Webinterface vorgenommen werden kann.
Wie schaut es aus, wenn der zur Konfiguration eingesetzte PC nicht mehr verfügbar ist. Kann dann einfach die Controller Software auf einem anderen PC installiert und die auf dem AP gespeicherten Einstellungen eingelesen und verändert werden? Oder ist dann ein vollständiger Reset des AP notwendig?
Uwoerl
Uwoerl 06.12.2016 um 18:29:48 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Prinzipiell geht der TP-Link WR841N(D ), aber wie dort steht:

Wie es mit Unterstützung des Geräts bzw. seiner unterschiedlichen Revisionen aussieht, musst du bei deiner Freifunk-Community nachschauen.

lks

Danke für den Hinweis!

Ich habe die unterschiedlichen Revisionen hinsichtlich der passenden Firmware selbstverständlich beachtet. Vor lauter Tatendrang kann es aber dennoch leicht passieren, das man so ein wichtiges Detail vergisst oder übersieht face-smile.
Uwoerl
Uwoerl 13.12.2016 um 17:33:54 Uhr
Goto Top
Ich freue mich nach wie vor über Unterstützung bei diesem Vorhaben.
aqui
aqui 14.12.2016 um 10:03:18 Uhr
Goto Top
WIE können wir dich denn noch unterstützen ? Zu deinem Vorhaben ist doch oben schon alles gesagt worden. Klappt...jetzt musst DU nur noch machen !!
Uwoerl
Uwoerl 14.12.2016 um 11:11:00 Uhr
Goto Top
Zitat von @aqui:

WIE können wir dich denn noch unterstützen ? Zu deinem Vorhaben ist doch oben schon alles gesagt worden. Klappt...jetzt musst DU nur noch machen !!

Die Fragen aus meinem Beitrag vom 06.12.2016 sind bisher noch nicht geklärt.
aqui
aqui 14.12.2016 um 12:31:24 Uhr
Goto Top
Mmmmhh, das ist eine simple VLAN Einrichtung auf einem managed Layer 2 Switch deiner Wahl. Das Freifunk VLAN strahlt man dann auf einem MSSID fähigen AP mit aus, der SSIDs in VLANs separieren kann.
Alle deine o.a. Fragen werden umfassend in diesem Forumstutorial beantwortet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Das Kapitel Praxisbeispiel beschreibt genau dein Szenario was du dann lediglich abtippen musst.
Einfacher gehts nicht mehr face-wink
Uwoerl
Uwoerl 23.12.2016 um 04:04:54 Uhr
Goto Top
Trotz intensiver Suche habe ich unter der URL keine Lösung zum abtippen entdecken können. Vielleicht stehe ich auch nur gewaltig auf dem Schlauch.

Wie dem auch sei, nach langem probieren habe ich es mit den bereits vorhandenen TP-LINK WR841N (Openwrt) geschafft, Freifunk und Privates Netz durch VLANs im W-Lan zu verteilen. Ich habe das zumindest selbst das Gefühl, eine ordentliche Portion gelernt zu haben. Wenn alles stabil läuft, werde ich dann entweder die vorgeschlagenen AP's von Ubiquiti oder aber Miktrotik wAP ac anschaffen und die TP-Links ersetzen.

Ich habe für jeden Ethernet-Port der Familiennetze ein privates und ein Freifunk VLAN angelegt.
Anschließend habe ich eine Bridge erstellt und dieser dann die drei Freifunk-Vlans sowie den entsprechenden physischen Lan-Port zum FF-Netz zugeordnet. Ich hoffe, das ist alles so korrekt umgesetzt geworden. Die Details werde ich später sicherheitshalber noch einmal als Screenshot posten.

Eine offene Wunde ist allerdings noch die Sicherheit:

(Freifunk SSID) AP <<-->> Mikrotik 750gr3 Router <<-->> Freifunk-Router <<-->> Fritzbox


Wie genau kann ich einfach und effizient verhindern, dass aus dem offenen Freifunk-Wlan auf den Mikrotik-Router (auch nicht über Winbox) und die anderen Netzbereiche zugegriffen werden kann.
BirdyB
BirdyB 23.12.2016 um 07:19:35 Uhr
Goto Top
Zitat von @Uwoerl:
Ich habe für jeden Ethernet-Port der Familiennetze ein privates und ein Freifunk VLAN angelegt.
Anschließend habe ich eine Bridge erstellt und dieser dann die drei Freifunk-Vlans
Aber wieso 3 Freifunk-VLANs? Eines würde vollkommen ausreichen...

sowie den entsprechenden physischen Lan-Port zum FF-Netz zugeordnet. Ich hoffe, das ist alles so korrekt umgesetzt geworden. Die Details werde ich später sicherheitshalber noch einmal als Screenshot posten.
Besser wäre es, ich glaube, da ist etwas schiefgelaufen...
Eine offene Wunde ist allerdings noch die Sicherheit:

(Freifunk SSID) AP <<-->> Mikrotik 750gr3 Router <<-->> Freifunk-Router <<-->> Fritzbox


Wie genau kann ich einfach und effizient verhindern, dass aus dem offenen Freifunk-Wlan auf den Mikrotik-Router (auch nicht über Winbox) und die anderen Netzbereiche zugegriffen werden kann.
Über Firewallregeln...
Uwoerl
Uwoerl 23.12.2016 aktualisiert um 13:47:21 Uhr
Goto Top
Zitat von @BirdyB:

Zitat von @Uwoerl:
Ich habe für jeden Ethernet-Port der Familiennetze ein privates und ein Freifunk VLAN angelegt.
Anschließend habe ich eine Bridge erstellt und dieser dann die drei Freifunk-Vlans
Aber wieso 3 Freifunk-VLANs? Eines würde vollkommen ausreichen...

Das war die einzige Art und Weise wie ich das ganze überhaupt ans laufen bekommen habe.

Wie genau kann man das sauberer lösen?
Sprich: Wie kann ich das Freifunk-Vlan zu mehreren physischen Ports "schicken"? (Man beachte, dass ether3 und ether5 direkt mit dem Mikrotik verbunden sind).
Ich benötige eine Step-by-Step Erklärung, die ich als Laie verstehe. Es wird ja nicht allzu schwer sein, bloß sehe ich gerade den Wald vor lauter Bäumen nicht.



sowie den entsprechenden physischen Lan-Port zum FF-Netz zugeordnet. Ich hoffe, das ist alles so korrekt umgesetzt geworden. Die Details werde ich später sicherheitshalber noch einmal als Screenshot posten.
Besser wäre es, ich glaube, da ist etwas schiefgelaufen...

Hier meine Bridge:
bridge

Und hier meine Interfaces:
interfaces

Hinweise:
- FF-Router ist derzeit nicht an ether2 angeschlossen.
- Ich habe die "überzähligen" Freifunk Vlans vorläufig gelöscht. EG und UG hängen daher erstmal ohne Vlans im Netz, bis das Problem gelöst ist.

Über Firewallregeln...

Das ist klar. Geht es konkreter?

Hier die einfachen, bisher aber ausreichenden Regeln der Firewall:

firewall
BirdyB
BirdyB 23.12.2016 um 13:54:38 Uhr
Goto Top
Zitat von @Uwoerl:

Zitat von @BirdyB:

Zitat von @Uwoerl:
Ich habe für jeden Ethernet-Port der Familiennetze ein privates und ein Freifunk VLAN angelegt.
Anschließend habe ich eine Bridge erstellt und dieser dann die drei Freifunk-Vlans
Aber wieso 3 Freifunk-VLANs? Eines würde vollkommen ausreichen...

Das war die einzige Art und Weise wie ich das ganze überhaupt ans laufen bekommen habe.

Wie genau kann man das sauberer lösen?
Sprich: Wie kann ich das Freifunk-Vlan zu mehreren physischen Ports "schicken"? (Man beachte, dass ether3 und ether5 direkt mit dem Mikrotik verbunden sind).
Ich benötige eine Step-by-Step Erklärung, die ich als Laie verstehe. Es wird ja nicht allzu schwer sein, bloß sehe ich gerade den Wald vor lauter Bäumen nicht.
Versuch es vielleicht mal damit: https://www.youtube.com/watch?v=ZMTZ2IGyXZM - Dort wird die ganze Geschichte recht gut erklärt. Ich bin nicht so der Mikrotik-Held, aber eine VLAN-ID reicht definitiv für Freifunk
Uwoerl
Uwoerl 23.12.2016, aktualisiert am 27.12.2016 um 13:12:39 Uhr
Goto Top
Zitat von @BirdyB:

Versuch es vielleicht mal damit: https://www.youtube.com/watch?v=ZMTZ2IGyXZM - Dort wird die ganze Geschichte recht gut erklärt. Ich bin nicht so der Mikrotik-Held, aber eine VLAN-ID reicht definitiv für Freifunk

Dort wird lediglich gezeigt, wie vlans angelegt werden. Das hat bei mir ohne Probleme geklappt.

Übrigens, dieses Tutorial der beiden (https://www.youtube.com/watch?v=7673oJ6B0U4) - ab Minute 6) hat mich auf überhaupt auf die Idee gebracht, mehrere Vlans anzulegen und diese zu bridgen.


Inzwischen habe ich noch folgende Einstellungen auf dem MikroTik vorgenommen, um die Sicherheit gegenüber Freifunk zu erhöhen:
-- IP -> Services: Alle Dienste bis auf www, www-ssl und winbox wurden deaktiviert

-- Tools -> MAC-Server: Telnet vollständig deaktiviert, Winbox ist nur für die einzelnen Familiennetze aktiviert

-- IP -> Neighbour-List -> Discovery Interfaces: Alles deaktiviert, bis auf die Interfaces der drei Familiennetze

-- User: Default Admin-User gelöscht, eigenen User mit langem Passwort angelegt

-- Firewall Regeln:
1.) Action: drop II Chain: forward II In. Interface: bridge-freifunk II Out. Interface: ANY
2.) Action: drop II Chain: forward II In. Interface: ANY II Out. Interface: bridge-freifunk
3.) Action: drop II Chain: input II In. Interface: bridge-freifunk II Out. Interface: ANY
4.) Action: drop II Chain: output II In. Interface: ANY II Out. Interface: bridge-freifunk
Sind diese Regeln ok und bieten die notwendige Sicherheit?
Uwoerl
Uwoerl 27.12.2016 aktualisiert um 13:26:18 Uhr
Goto Top
Die Einstellungen auf dem OpenWRT Access Point sehen wie folgt aus:

Interfaces:
6cfb09e92c2cedc37fc4531f1abe74990eb4a8d2 (1)

Firewall Einstellungen:
firewall1

firewall2

Sind Firewall Einstellungen auf dem Access Point überhaupt notwendig? Schließlich sind die Interfaces für das Heimnetzwerk und Freifunk in unterschiedlichen Vlans (die logischerweise nicht über eine Brücke miteinander verknüpft sind)?

Auch ist mir noch immer unklar, ob man unter RouterOS ein Vlan mehreren Ethernet-Interfaces zuordnen kann, oder ob hierfür separate Vlans angelegt und über eine Bridge verknüpft werden müssen.

Beispiel:
Ethernet3
-> Vlan Familie 3 (ID: 30)
-> Vlan Freifunk (ID: 31)

Ethernet 4
-> Vlan Familie 4 (ID 40)
-> Vlan Freifunk (ID: 41)

Versus:
Ethernet 3
-> Vlan Familie 3 (ID: 30)
-> Vlan Freifunk (ID: 31)

Ethernet 4
-> Vlan Familie 4 (ID 40)
-> Vlan Freifunk (ID: 31)

Ich würde mich sehr über eine Statement zu den in diesem und dem vorherigen Beitrag beschriebenen Sicherheitsmaßnahmen und ggf. Verbesserungsvorschläge freuen.

Wenn diese beiden wichtigen Punkte (Firewall + Vlan) geklärt sind, würde ich das Thema als abgeschlossen betrachten.
aqui
Lösung aqui 28.12.2016 um 15:00:37 Uhr
Goto Top
Sind Firewall Einstellungen auf dem Access Point überhaupt notwendig?
Nein, denn der routet ja nicht zw. beiden Segmenten !! Die sind dort völlig getrennt.
In sofern ist die FW dort alos völlig irrelevant und auch überflüssig.
Wichtig ist am Layer 3 Device (Router) das dort beide Netze vollkommen getrennt sind !!
So oder so wirst du ja vermutlich für Freifunk und dein eigenes Netz vollkommen getrennte Router verwenden, oder ?
Uwoerl
Uwoerl 28.12.2016 aktualisiert um 15:47:23 Uhr
Goto Top
Zitat von @aqui:

Sind Firewall Einstellungen auf dem Access Point überhaupt notwendig?
Nein, denn der routet ja nicht zw. beiden Segmenten !! Die sind dort völlig getrennt.
In sofern ist die FW dort alos völlig irrelevant und auch überflüssig.

Vielen Dank für die Bestätigung. Das habe ich schon vermutet, erschien mir auch logisch, wollte aber wirklich auf Nummer sicher gehen face-smile.


Wichtig ist am Layer 3 Device (Router) das dort beide Netze vollkommen getrennt sind !!
So oder so wirst du ja vermutlich für Freifunk und dein eigenes Netz vollkommen getrennte Router verwenden, oder ?

Der Eigentümer bzw. Vermieter des Hauses hat keine Lust auf eine "weitere Kiste" an der Kellerwand und weitere Kosten.Für Ihn gibt es nur "Internet funktioniert" oder "Internet funktioniert nicht". Störerhaftung existiert für Ihn nicht, genauso wenig wie vollwertige Telefonanschlüsse für die Mieter. Ein echte Spezialfall. Ich betreibe da lediglich Schadensbegrenzung, da meine Eltern mit der Wohnung an sich super zufrieden sind und sich mit dem Vermieter sonst super verstehen.

Sinnvol wäre ein separater Router sicherlich.

Momenten sieht die Verkabelung wie folgt aus:
aqui


Auf eth3, eth4 und eth5 werden das jeweils private Familiennetz sowie Freifunk jeweils per VLAN übetragen.

Eth2 und die Freifunk Vlans bilden eine Bridge, die in der Firewall wie folgt behandelt wird:
1.) Action: drop II Chain: forward II In. Interface: bridge-freifunk II Out. Interface: ANY
2.) Action: drop II Chain: forward II In. Interface: ANY II Out. Interface: bridge-freifunk
3.) Action: drop II Chain: input II In. Interface: bridge-freifunk II Out. Interface: ANY
4.) Action: drop II Chain: output II In. Interface: ANY II Out. Interface: bridge-freifunk
(Regeln bereits oben genannt)

Ist das ausreichend? - Was für weitere Maßnahmen können im MikroTik Router noch ergriffen werden, um das ganze noch sicherer gestalten?
aqui
Lösung aqui 28.12.2016 um 17:06:32 Uhr
Goto Top
Ein paar Dinge sind etwas verwirrend...
  • Wieso redest du beim Freifunk VLAN im Plural ?? Das Freifunk VLAN kann doch nur ein einzelnes VLAN sein ?? Freifunk ist Freifunk für alle also ein einziges VLAN.
  • Du hast ja einen separaten Freifunk Router. Genau DAS war ja letztlich mit dem in der Skizze eingezeichneten Freifunk Router gemeint. Das der dann ans Gastnetz der FB geht ist eher nebensächlich fürs Design. Da beginnt ja für den das Internet.
  • Nur nochmal nachgefragt... Wenn du sagst "Auf eth3, eth4 und eth5 werden das jeweils private Familiennetz sowie Freifunk jeweils per VLAN übetragen." dann verstehen wir darunter das die Ports eth3-5 dann alles tagged Ports sind wo jeweils das entsprechende Familien VLAN drübergeht mit dem (einzigen) Freifunk VLAN.
Ist das so richtig ?

Deine Frage nach der Absicherung des Freifunk VLANs lässt vermuten das du einen sehr grundsätzlichen Fehler im IP Adressdesign gemacht hast !!!
Das Freifunk VLAN bekommt natürlich KEINE IP Adresse auf dem Mikrotik in seinem VLAN !!
Das Freifunk VLAN wird hier einzig nur im Layer 2 "durchgeschleift" um es tagged übertragen zu können.
Da das freifunk VLAN niemals irgendwie gerputet wird und auch niemals geroutet werden darf, darf auch keinerlei IP Adressierung dafür auf dem Mikrotik vorhanden sein.
Das Freifunk VLAN wird nur im Layer 2 übertragen.
Die einzige IP Adressierung des Freifunk VLANs passiert auf dem Freifunk Router. Dessen IP, DHCP etc. werden einfach nur über die VLAN Infrastruktur des MT "durchgereicht"
Damit erübrigt sich dann auch jegliche Filterung oder Firewall Reglementierung des Freifunk VLANs.
Logisch, denn genau DAS willst du ja auch. die VLANs sind rein physisch schon vollkommen getrennt untereinander. Wenn du dem Freifunk VLAN also keine IP gibts wie es soll, ist eine VLAN übergreifende Kommunikation damit physisch schon vollkommen ausgeschlossen.
Es leuchtet dann ein das damit dann natürlich auch etwaige FW Regeln vollkommen obsolet sind. Genau das was du also willst, nämlich nur das Freifunk VLAN einfach nur auf der Infrastruktur durchschleifen im Layer 2.

Was dann die Familiennetze betrifft müssen die (und nur die !) eine IP auf dem MT haben. Die FW Regeln dort müssen eine Kommunikation der Familiennetze untereinander vollkommen unterbinden und einzig nur die Kommunikation jedes Familiennetzes ins Internet erlauben !
Keep it simple stupid !
Uwoerl
Uwoerl 28.12.2016 um 18:58:50 Uhr
Goto Top
Zitat von @aqui:

Ein paar Dinge sind etwas verwirrend...
  • Wieso redest du beim Freifunk VLAN im Plural ?? Das Freifunk VLAN kann doch nur ein einzelnes VLAN sein ?? Freifunk ist Freifunk für alle also ein einziges VLAN.

Bei der Erstellung eines Vlans muss unter RouterOS ein Interface ausgewählt werden.
Da drei Familiennetze vorhanden sind, habe ich drei Vlans erstellt und dabei jeweils ether 3, ether 4 bzw. ether5 als Interface ausgewählt.

Bei der Erstellung eines Vlans für das Freifunk-Netz bin ich dann auf folgendes Problem gestoßen:
Es kann in der Vlan-Maske nur ein Ethernet Interface ausgewählt werden. Da ich nicht herausgefunden habe, wie ich ein einziges Vlan mehreren physischen Lan-Ports des MT zuweisen kann, habe ich analog zum beschriebenen Vorgehen für die Familiennetze gehandelt. Sprich: Ich habe drei neue Vlans erstellt und jeweils wieder Interface ether3, ether4 bzw. ether5 ausgewählt.

Im nächsten Schritt habe ich eine Bridge erstellt und dieser ether2 (Verbindung zum Lan-Port des FF-Routers) sowie die angesprochenen drei Vlans für Freifunk zugewiesen, um den Zugang zum Freifunk-Netz durchzuschleifen.

Aus diesem Grund habe ich im Plural gesprochen. Ich hoffe, das ich mein Problem verständlich erklären konnte.
Über eine sauberere Step-by-Step Lösung wäre ich sehr dankbar.

* Du hast ja einen separaten Freifunk Router. Genau DAS war ja letztlich mit dem in der Skizze eingezeichneten Freifunk Router gemeint. Das der dann ans Gastnetz der FB geht ist eher nebensächlich fürs Design. Da beginnt ja für den das Internet.

Ich habe den FF-Router in das Gastnetz der Fritzbox gehängt, um diesen sicherheitshalber noch einmal vom Rest des Netzwerkes zu entkoppeln.

* Nur nochmal nachgefragt... Wenn du sagst "Auf eth3, eth4 und eth5 werden das jeweils private Familiennetz sowie Freifunk jeweils per VLAN übetragen." dann verstehen wir darunter das die Ports eth3-5 dann alles tagged Ports sind wo jeweils das entsprechende Familien VLAN drübergeht mit dem (einzigen) Freifunk VLAN.
Ist das so richtig ?

Das ist der Soll-Zustand den ich erreichen möchte.

Wie ich oben beschrieben habe, existiert allerdings noch das Problem der multiple Vlans für Freifunk. face-smile

Deine Frage nach der Absicherung des Freifunk VLANs lässt vermuten das du einen sehr grundsätzlichen Fehler im IP Adressdesign gemacht hast !!!
Das Freifunk VLAN bekommt natürlich KEINE IP Adresse auf dem Mikrotik in seinem VLAN !!
Das Freifunk VLAN wird hier einzig nur im Layer 2 "durchgeschleift" um es tagged übertragen zu können.
Da das freifunk VLAN niemals irgendwie gerputet wird und auch niemals geroutet werden darf, darf auch keinerlei IP Adressierung dafür auf dem Mikrotik vorhanden sein.
Das Freifunk VLAN wird nur im Layer 2 übertragen.
Die einzige IP Adressierung des Freifunk VLANs passiert auf dem Freifunk Router. Dessen IP, DHCP etc. werden einfach nur über die VLAN Infrastruktur des MT "durchgereicht"

DHCP, etc. existiert für ether2 (Verbindung zum Lan-Port des FF-Routers) nicht.
Im Menü IP->Addresses habe ich ether2 auch keine IP-Adresse zugewiesen.

Diese Einstellungen stimmen mit deinen Aussagen überein, wenn ich mich nicht täusche. Korrekt?

Damit erübrigt sich dann auch jegliche Filterung oder Firewall Reglementierung des Freifunk VLANs.
Logisch, denn genau DAS willst du ja auch. die VLANs sind rein physisch schon vollkommen getrennt untereinander. Wenn du dem Freifunk VLAN also keine IP gibts wie es soll, ist eine VLAN übergreifende Kommunikation damit physisch schon vollkommen ausgeschlossen.
Es leuchtet dann ein das damit dann natürlich auch etwaige FW Regeln vollkommen obsolet sind. Genau das was du also willst, nämlich nur das Freifunk VLAN einfach nur auf der Infrastruktur durchschleifen im Layer 2.

Volltreffer. Genau das möchte ich. Da ich noch immer meine ersten Erfahrungen mit Vlans und RouterOS mache, war ich mir dessen nicht sicher.
Deine Aussagen haben für etwas mehr Klarheit gesorgt. Vielen Dank! - Die Firewall-Regeln entferne ich.



Was dann die Familiennetze betrifft müssen die (und nur die !) eine IP auf dem MT haben. Die FW Regeln dort müssen eine Kommunikation der Familiennetze untereinander vollkommen unterbinden und einzig nur die Kommunikation jedes Familiennetzes ins Internet erlauben !
Keep it simple stupid !

Für die Familiennetze wurde jeweils eine Ip (Menü: IP->Addresses) + DHCP Server definiert.
Die Firewall-Regeln habe ich mit deiner Hilfe in einem anderen Thread aufgestellt:


Konfiguration von Vlans auf Mikrotik 750gr3
aqui
aqui 29.12.2016 um 11:49:26 Uhr
Goto Top
Da ich nicht herausgefunden habe, wie ich ein einziges Vlan mehreren physischen Lan-Ports des MT zuweisen kann
Da hilft ein Blick ins hiesige VLAN Tutorial, dort ist das nämlich haarklein beschrieben.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besonders die Links unter "Weiterführende Links" zeigen hier divers Praxisbeispiele.
Das zeigt dann auch das du vermutlich deine VLANs falsch auf dem MT konfiguriert hast face-sad
Überprüfe das zur Sicherheit nochmal...
Uwoerl
Uwoerl 29.12.2016 aktualisiert um 15:05:04 Uhr
Goto Top
Zitat von @aqui:

Da ich nicht herausgefunden habe, wie ich ein einziges Vlan mehreren physischen Lan-Ports des MT zuweisen kann
Da hilft ein Blick ins hiesige VLAN Tutorial, dort ist das nämlich haarklein beschrieben.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besonders die Links unter "Weiterführende Links" zeigen hier divers Praxisbeispiele.
Das zeigt dann auch das du vermutlich deine VLANs falsch auf dem MT konfiguriert hast face-sad
Überprüfe das zur Sicherheit nochmal...

Ok. Ich glaube ich habe es jetzt sauber hinbekommen, nachdem ich die gleiche Seite zum gefühlt zehnten mal betrachtet habe:

Ich hab es jetzt so ähnlich umgesetzt, wie es im Mikrotik-Wiki unter dem Punkt "Port based VLAN tagging #2 (Trunk and Hybrid ports)" beschrieben wurde:

http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#Port_based_VLAN_tag ...

Sieht bei mir dann wie folgt aus:

Der Switch für die Familie im EG ist noch nicht angeschafft worden. Deshalb sollte diese erstmal von der Betrachtung ausgeschlossen werden.
1

2

Die im Screenshot deaktivierten Regeln würde ich jetzt im Anschluss komplett löschen.
3

Ist das so nun besser und vor allem sicher gelöst?


Kann man dir, aqui, in irgend einer Form aus Dankbarkeit ein Bier oder Kaffee ausgeben/spenden? ;)
aqui
Lösung aqui 02.01.2017 um 15:02:10 Uhr
Goto Top
Ok. Ich glaube ich habe es jetzt sauber hinbekommen, nachdem ich die gleiche Seite zum gefühlt zehnten mal betrachtet habe:
Entscheidend und wichtig wäre ein Screenshot der Konfig gewesen wo das Tagging des Freifunk WLANs sichtbar wäre aber genau die fehlte leider in der Sammlung face-sad
Der Rest ist soweit OK.
Du kannst ein virtuelles Bier beamen...aber kein Krombacher Müll oder sowas !! face-wink
Uwoerl
Uwoerl 02.01.2017 um 20:46:59 Uhr
Goto Top
Zitat von @aqui:

Entscheidend und wichtig wäre ein Screenshot der Konfig gewesen wo das Tagging des Freifunk WLANs sichtbar wäre aber genau die fehlte leider in der Sammlung face-sad
Der Rest ist soweit OK.

Hallo aqui,
frohes Neues!

Die Vlan-Tags sieht man im zweiten Screenshot, wenn auch die Spaltenbezeichnung etwas abgeschnitten wurde.
Du findest sie in der Interface Übersicht in der vorletzten Spalte, also zwischen "FP Rx Packet" und "Interface".
aqui
aqui 03.01.2017 um 18:55:51 Uhr
Goto Top
OK, sorry war in der Bilderflut etwas untergegangen... face-wink