Eigenfrikellei mit Rasberry PI (1 Gen) und Standard AP (DD-WRT)

Phype · 29. Mai 2017 um 23:03

Hi,

da meine Bemühungen tatsächlich mit Erfolg gekrönt wurden, dachte ich mir ich frage mal nach ob das aus Netzperspektive überhaupt Sinn ergibt was ich getan habe:

Vor einer Woche dachte ich mir, ein Gäste-WLAN wäre ja ganz schön, falls mal jemand vorbeikommt und Internet will,
außerdem ist Freifunk ja eine unterstützenswerte Initiative und da kann man ja mal versuchen das damit zu Implementieren.

Einziges Problem: Natürlich habe ich keinen unterstützter Router rumliegen (Dafür genügend andere, aber das nur nebenbei …). Dachte mir aber, so schwierig kann das ja nicht sein und mich mal in die Netzimplementierung eingelesen.
Ergebniss: ok, Gluon benutzt B.A.T.M.A.N. um einen großen Verteilten Switch zu bauen und als Links für Batman benutzt es 802.11s für lokales Mesh und FastD als tunnelprotokoll zu Supernodes.

Nach ein bisschen reverse Engeering eines testknoten als VM (ffka-phype-test-vm) und dieser Anleitung, habe ich dann mal Versucht FastD auf meinem Homeserver-PI zu installieren und mich mittels der Addressen hier zu einem Supernode zu verbinden. Dann noch ein B.A.T.M.A.N Interface erstellen (ist ja in der Anleitung mit drin) und schon hat man Zugang zum Netz.

Als letzten Schritt habe ich dann das eingentliche Client Netz (bei gluon normalerweise br-client, bei mir heißt es br-freifunk) auf einen VLAN gebridged (der Raspberry hat ja nur eine ethernet Schnittstelle) und dieses VLAN bridgt dann mein normaler Accespoint auf ein 2tes WLAN mit SSID “karlsruhe.freifunk.net”.

Offensichtlich hat das mit der offiziellen Firmware nur relativ wenig zu tun, funktionieren tut es aber.
Bei 5Mbit ist ungefähr Schluss weil der PI nicht mehr Rechenleistung hergibt, da ich nicht erwarte dass das Netz irgendwer nutzt, außer er befindet sich sowieso schon im Haus, würde ich sagen das reicht.

Jetzt meine eigentliche Frage:
Ist das so sinnvoll, bzw. überhaupt geduldet? Der “Knoten” taucht so weder auf der Karte auf, noch ist es ein richtiger Knoten, vllt. fehlt auch irgendwelche Firewall-Funktionalität die normalerweise der Knoten übernimmt etc.

Die Anleitung entält ja auch noch den Alfred-Abschnitt den ich nicht umgesetzt habe, ich vermute mal der würde dazu führen dass der “Knoten” auch irgendwie auf der Karte auftaucht, nur ist mir nicht so ganz klar was er mit den Informationen tut. Ein Mapserver-URL oder so hab ich nirgens gefunden, also müsste er das irgendwie ins Netz Broadcasten? Theoretisch wäre es ja schon schön auch auf der Karte aufzutauchen

viele Grüße
Phype

florianjacob · 30. Mai 2017 um 08:29

Prinzipiell funktioniert dein Setup ja ähnlich wie ein Offloader, bloß mit VLANs statt getrenntem Netzwerkport, klingt also nicht grundsätzlich verkehrt. Die Offloader machen normalerweise das VPN in schnell, und geben auf einen Netzwerkport Freifunk raus, wo man falls nötig auch normale Router ohne Freifunk-Firmware dranhängen könnte.

Ich weiß garnicht, ob wir noch Alfred für’s Informationen sammeln benutzen, sondern stattdessen respondd: https://github.com/freifunk-gluon/packages/tree/master/net/respondd - in jedem Fall brauchst du um deinen Standort zu teilen den entsprechenden Dienst auf dem Raspberry Pi. Die Daten von allen Alfred- bzw. respondd-Diensten der Knoten werden zentral gesammelt, und mit diesen Daten wird dann die Karte gezeichnet.

Einmal selbst frikeln ist zwar immer lehrreich, aber ich glaube, du müsstest dir das alles garnicht selbst bauen. Falls du in diese Richtung weiter forschen willst, das offizielle FFKA-Firmware-Image für den Raspberry Pi 1 müsste man eigentlich in /etc/config/network so umkonfigurieren können, das es genau das tut was du brauchst. Bloß schon mit respondd & autoupdates.

psy · 31. Mai 2017 um 17:52

Was du gebaut hast ist im Endeffekt ein „Offloader“ ohne Mesh. Kann man so machen, ist halt nicht ganz Freifunk. Ohne jetzt die Moralkeule schwingen zu wollen, hier die technischen Implikationen:

Kein Mesh und somit auch keine Verbindungen zu anderen Knoten in der Umgebung.
Keine Firewall
Keine Knotenstatistiken
Keine automatischen Updates

Für den Preis eines Pis bekommst du auch schon brauchbare Router, von daher würde ich, falls es nicht als reines Bastelprojekt vorgesehen war, vorschlagen, dass du dir bei Gelegenheit einfach einen unterstützten Router zulegst.

Phype · 31. Mai 2017 um 18:18

Für den Preis eines Pis bekommst du auch schon brauchbare Router, von daher würde ich, falls es nicht als reines Bastelprojekt vorgesehen war, vorschlagen, dass du dir bei Gelegenheit einfach einen unterstützten Router zulegst.

Das praktische daran ist ja eigentlich auch dass der PI sowieso schon da war und auch noch ganz andere Dinge tut. Sonst hätte ich ja auch das Image für den PI benutzen können. So ist es halt eine reine Softwarelösung die mich weder einmalig noch monatlich Geld/Strom kostet.

Zwecks dem lokalen Meshen bin ich noch sehr unübrezeugt, dass sich tatsächlich jemand ergibt mit dem man meshen könnte. Aber tatsächlich war das der Gedanke warum es ja ganz sinnvoll sein könnte auf der Karte zu sein - Wenn sich doch jemand findet, könnte ich das ganze ja auf einen richtigen Router umstellen.

Keine Firewall

Deswegen die Frage mit der Firewall funktionalität, also machen die Knoten normalerweise Firewalling vom Client Netz ins richtige Netz (also das was normale NAT-Router tun, nur eben ohne das NAT)? Bezüglich Security hatte mich sowieso auch gefragt was den einen bösartigen Knoten (oder sogar Client?) davon abhält das Netz mit merkwürdigem Traffic lahmzulegen, wenn Batman einfach nur ein großes Layer-2 Netz emuliert - immerhin gibt es ja keine Authentifikation von neuen Knoten.

psy · 4. Juni 2017 um 17:18

Ich bin etwas anderer Meinung, was das Meshen angeht, aber das würde nun vermutlich in einer Moralpredigt enden. Um auf der Karte aufzutauchen muss dein Knoten Daten über sich per respondd bereitstellen.

Die Firewall schützt hauptsächlich dein Heimnetz vor Traffic aus dem Freifunknetz, sie unterbindet aber auch diverse Sachen in Richtung des Freifunknetzes. Sollte ein Client oder Knoten sich irgendwie schadhaft verhalten, können wir diesen von den Gateways aus ausschließen.

warmsurfer · 21. Juni 2017 um 18:27

Hallo zusammen,

ich bin gerade auf den Thread gestoßen.
Hatte die gleiche Idee (bereits sehr gutes WLAN mit WLAN-Controller & Co.) und wollte nicht noch mehr Kisten rumstehen haben, welche die Funkkanäle verstopfen…
Ich habe sowas schon realisiert, die Geschichte steht in diesem Beitrag:

Hier habe ich zwar ein zusätzlichen NIC per USB drangehängt, aber es müsste auch mit VLANs funktionieren.
Wichtig: Das Beta-Image nehmen, da dies die ASIX-Kernelmodule mitbringt…

Gruß,

warmsurfer