ich wollte gerne an einem der Unify AC Meshs das Internet via LAN-Kabel auskoppeln. Das macht durchaus Sinn, da man die Hotspots sowieso über Power-over-Ethernet betreiben muss.
Die Hotspots haben jedoch nur ein 1x LAN connector. Für das gewünschte Setup sollte auf dem LAN connector des Hotspots:
a) der DHCP-Daemon eine IP vergeben
b) und das Internet teilen
Aber ein Bild sagt glaube ich mehr als 1000 Worte.
(Meshing ist auf der Schnittstelle wahrscheinlich nicht mehr nötig.)
Wie müsste ich also den 2ten Unify AC Mesh einstellen?
wenn ich die Zeichung richtig verstehe hast du mehrere Unifi AC Mesh die in Kaskade hinter einem anderen nicht AC Mesh Freifunk Router hängen? Hat der nicht AC-Mesh Router LAN Ports? Dann wäre es am einfachsten doch ein bisschen die Anordung der Knoten so zu ändern das du den Router mit mehreren Ports dort hast wo du auch den Zugriff auf das LAN brauchst.
Wenn du es wirklich mit einem AC Mesh machen musst, musst du von Hand an den Interfaces des Knotens die Brücken tauschen. Im Grunde musst du unter /etc/config/network das Ethernet Interface aus der br-wan austragen und in br-client wieder hinzufügen.
Dafür brauchst du SSH zugang auf den Knoten.
Nein, die config wird beim Autoupdate in der Regel nicht überschrieben.
Die Zeile nicht löschen, aber halt keinen Inhalt dort stehen haben.
Mit dem DHCP machst du gar nichts. Bei Freifunk gibt es auf den Knoten keinen DHCP, außer im Setup Modus. Die DHCP Server laufen zentral auf unseren Gateways. die Knoten sind nur eine Brücke.
wir haben die Strecke mit den Unifys heute in Betrieb genommen.
Leider kommen wir nicht über 17Mbit. Auf dem ersten Node geht der „Fastd“ auf 91% CPU.
Ergo, die 300Mbit Unify AC Mesh können nur 17Mbit liefern wenn sie VPN codieren müssen.
Ärgerlich…
Wie kommst du auf 300Mbit/s VPN/fastd Performance für einen Unifi AC Mesh? 17 Mbit/s sind für den verbauten Prozessor ein sehr guter Wert. Brauchst du mehr VPN Durchsatz, muss Hardware mit einem anderen Prozessor her. Unsere Firmware läuft z.B. auch auf WLAN Hardware mit Modernen ARM Prozessoren, da geht deutlich mehr über fastd/VPN.
der „fastd“ sichert die Daten auf der Durchreise bis in den FF Backbone. Die Daten verlassen,
dann unverschlüsselt den FF-Backbone in das große WWW, right?
Ganz ehrlich, finde ich man steht sich hier bissle selbst im weg in der FF community. Mit einem brandneuen AP, der sonst mindestens real 50 MBit (300Mbit lt Verpackung) schafft, erreiche ich mit
FF nur 15 Mbit? Das ist nicht 2020!
Für bissle surfen „glüht“ mein WLAN-AP auf 100% CPU und im RZ muss alles wieder retour gerechnet werden? (Während der hop davor mit der gleichen HW nur auf 1% ist)
Wenn Verschlüsselung, dann böte sich eine Methode an, für welche die HW einen dedizierten HW-chip hat.
Könnte man nicht die WPA2-Verschlüsselung bis ins FF Netz durchreichen?
Folgende weitere Fragen dazu
Kann/darf ich den fastd auf „null“ Verschlüsselung umstellen.
Andere FF communities setzen den fastd nicht mehr ein, also könnte man sich auch dort einwählen?
Ja es ist richtig das VPN dient hauptsächlich als Schutz der Knotenbetreiber und als Schutz der im Freifunk Übertragenen Daten vor den Providern und der Teilweise eingesetzten DPI. Ab unserem Backbone gibt es keine Transportverschlüsselung mehr nur noch die, die die Daten teilweise selber haben. (HTTPS und co…)
Du Verwechselst hier aber wieder WLAN Performance mit der des Prozessors. Auf der Verpackung stehen sicher mehr als 300 Mbit/s es handelt sich schließlich um einen WLAN AC Access Point.
Der verbaute Prozessor kam 2014 auf den Markt, das Gerät an sich 2015, da hilft es sicher nicht das du ihn in 2020 gekauft hast und es moderner zu machen.
Ja es gibt andere VPN Protokolle bei denen auch die Hardwarebeschleunigung im Gerät benutzt werden könnte. Diese haben jedoch leider andere Probleme. z.B. das es nur Layer 3 VPNs sind und damit mit unserem Mesh Protokoll inkompatibel. Es gibt dafür zwar Workarounds, diese haben aber wieder andere Nachteile, so das wir zum Schluss gekommen sind, das aktuelle im Freifunk Kontext es am sinnvollsten ist weiterhin auf fastd zu setzen, auch wenn es bedeutet teilweise auf etwas Geschwindigkeit zu verzichten.
Du kannst dir zwar deinen fastd auf „null“ Verschlüsselung stellen, unsere Gateways ermöglichen aber nur verschlüsselte Verbindungen.
Es gibt sicher die ein oder andere Freifunk Community die auf andere Lösungen setzt. Einfach einwählen geht da aber nicht, du musst dafür die Firmware wechseln.
Was den Punkt WPA2-Verschlüsselung bis ins Backbone angeht. Wie wäre es denn mit einer Richtfunkstrecke bis in die Innenstadt. Dort erreichst du unser Backbone direkt, und WPA2-Verschlüsselt auf der Funkstrecke. Einen Vorteil den du bei den wenigsten Freifunk Communities hast.
mit dem EX6150v2 „Lustgarten1“ hast du schon ein Gerät mit deutlich mehr CPU-Performance in deinem Mesh. Teste doch mal, das VPN über diesen Node laufen zu lassen indem du das Mesh-VPN auf dem AC Mesh „LustgartenPergola“ deaktivierst. Ich habe hier mit einem Gerät mit gleichem SoC einen VPN-Durchsatz von über 40 MBit/s gesehen.
Ein AC-Mesh hat halt andere Vorteile, unter anderm das du ihn Outdoor hinhängen kannst, was ja deine Anforderungen waren. Dafür ist es auch klar eine Empfehlung von uns.
Es gibt auch deutlich modernere Outdoor Geräte mit besseren Prozessoren, aber leider zu einem deutlich höheren Preis.
Hallo Simon, hab heute nochmal durchgemssen. Die Leitung hat 1Gbit, Freigegeben fir FF wären100 Mbit, der Unify schafft 15 Mbit durchsatz wegen dem VPN encoding… Die reine Funkstrecke gäbe mind 40-60 Mbit her (iperf3).
Ein Trauerspiel. Was wäre denn der potenteste Indoor Router bzgl Fastd/VPN encoding?
Du kannst einen alten PC mit zwei Netzwerkinterfaces verwenden, in der Regel liefern die einiges an Durchsatz, allerdings muss mann dann auch etwas auf dem Stromverbrauch achten. Den alten Desktop der im Leerlauf 90W an Strom verbraucht, ist denke ich nicht die beste Wahl.
Wenn es um Richtige Router geht, schau dir am besten mal Folgende Geräte an.
HP Aruba AP11
HP Aruba AP-303
AVM Fritzbox 4040
AVM FritzRepeater 1200
GL.inet B1300
Netgear EX6150 (V2)
ZYXEL NBG6617
Alle haben den selben WiFi Chip und Prozessor, und sind bis auf wenige MHz gleich getacket. Damit solltest du deutlich mehr Durchsatz erreichen können.
Auch einen Blick wert ist der:
Netgear Nighthawk X4s R7800
Der hat einen deutlich höher getacketen Prozessor, wir haben aber in Karlsruhe noch keine Erfahrung damit gemacht. Der Support ist noch relativ frisch.
Wenn as an gebrauchte Router geht, dort gibt es vor allem Router mit einem "mobile"PowerPC Prozessor, die liefern auch noch gut Durchsatz:
Vertreter hier sind:
ich bin der, der an Matzes anderem Ende hängt: also die Lustgarten Freifunkknoten „in der Hand“ hat.
ssh Zugang hab ich zu den Knoten und Linuxerfahrung auch
Jetzt hab ich mal Mesh auf Lan an dem TP-Link TL-WDR4300 v1 aktiviert und die LAN Schnittstelle des außen hängenden unifi an eine LAN (gelb) Schnittstelle des TP Link gehängt.
Der TP Link hängt mit der Blauen WAN Buchse in meinem Netz, bekommt eine IP und ich erreiche ihn per SSH über diese IP.
In eurer Karte steht aber beim TP-Link TL-WDR4300 v1 (Keller) immer noch, dass er über den Netgear (Lustgarten1) rausmeshed per WLAN: also die Kabelverbindung ignoriert.
Dafür flutscht der unifi nun über das Kabel direkt an euer Gateway im Internet, und nicht mehr per mesh über den Netgear.
Erreichen wollte ich, dass der unifi per Kabel an den TP-Link Keller meshed und dieser dann das VPN ins Internet aufbaut.
Mir ist bewußt, dass der TP Link den selben Prozessor wie der unifi hat: das ganze sollte als Probleauf dienen und sollte dann durch eine FritzBox 4040 ersetzt werden (also der TP Link) weil die mehr wumms hat.
Damit will ich die VPN Rechenlast vom unifi auf die FritzBox verlegen und hoffe dann auch über den unifi auf 40MBit/s zu kommen, weil er nicht mehr selber das VPN machen muss.
Also: klappt noch nicht so, wie ich das will.
Hab ich einen Denkfehler?
Mir ist bewußt, dass der Netgear den gleichen Prozessor wie die FritzBox hat: die leistungsfähige Hardware also schon da ist: aber der Netgear hat nur eine LAN Schnitstelle…
ich hab mir mal ein paar Freifunkspots auf der Karte angeschaut.
Interessant ist das bei Entropia/Lidelplatz.
Da ist der auf dem Platz befindliche unifi mesh mittels „other“ an die Knoten in Entropia gemeshed: Ich denke, das ist genau das, was ich erreichen will.
Wie muss ich die LAN Ports (gelb) am TP Link einstellen, damit der unifi nicht selber raus geht mit VPN sondern dass der TP Link das VPN für den unifi macht?
Laut Statuspage hat dein TP-Link zwar Mesh-VPN aktiviert, aber keine Verbindung zu einem Gateway. Hast du den fastd-Key vom TP-Link schon freischalten lassen? Falls ja mal in die Logs schauen, warum der fastd dort keine Verbindung aufbaut.
Wenn der TP-Link dann am Gateway hängt, am UAP-AC-M prüfen, dass Mesh-on-WAN aktiviert ist und Mesh-VPN besser ausschalten. Ich weiß nicht, ob das parallel mit Mesh-on-WAN funktioniert.