[freifunk-public] VLAN Netztrennung über separaten PC.

Ralf Jung post at ralfj.de
Di Jun 25 20:27:18 CEST 2019


Hallo,

> Kurze Frage in die Runde.
> Es geht immer noch um die Netzwerktrennung unserer Verbindung zum Freibad.
> 
> Angenommen ich hätte ein Netz wie folgt:
> 
> Internet - Firewall-PC - WLAN-Bridge ::::::: WLAN-Funkstrecke :::::::
> WLAN-Bridge - Freifunk-Router
> 
> Wie müsste ich den Firewall-PC konfigurieren, das nur die Verbindung ins
> Freifunk-Netzwerk gestattet ist.
> 
> Da mir bisher keiner bei der Konfiguration des 'Microtik hAP lite' helfen
> konnte, würde ich die Idee von Ralf aufgreifen und einen alten ausgemusterten PC
> mit 2 Netzwerkkarte bestücken.
> Dieser PC soll somit zwischen dem Freifunk-Router und dem übrigen Netzwerk als
> Firewall arbeiten.

Vielleicht kann sich hier jemand einschalten, der schonmal Freifunk in der
Praxis ausgerollt hat -- aber meines Wissens will man da einen *Offloader*
haben.  Das heißt, der PC sitzt nicht etwa nur zwischen Internet und
Freifunk-Router; der PC agiert quasi selbst als Freifunk-Router und an seiner
zweiten Netzwerkkarte fällt Freifunk-Mesh-Netz raus.  Das spart den WLAN-Knoten
einiges an Arbeit.  Man kann dann sogar noch weiter gehen und den Offloader auch
zum Batman-Offloader machen; dann fällt an der Karte quasi das Freifunk-Netz
raus und die Router (eher Access Points) haben mit Freifunk gar nichts mehr zu
tun (das können dann auch beliebige Geräte sein und man muss die SSID selber
konfigurieren).
Aber das kenne ich alles nur "im Prinzip", mit der Praxis haben hoffentlich
andere Erfahrung. :)

Viele Grüße,
Ralf

> 
> Hier die Netzdaten (leicht abgeändert(Hacken zwecklos):
> 
> Angenommen ich hätte folgendes Netz:
> 
> Internet-Router: 192.168.10.1
> 
> Firewall-PC eth0: 192.168.10.11 (Verbindung zum Internet) 
> Firewall-PC eth1: 192.160.10.12 (Verbindung über die WLAN-Bridge zum
> Freifunk-Router)
> 
> WLAN-Bridge: 192.168.10.21 & 192.168.10.22
> 
> Freifunk-Router: 192.168.10.31
> 
> Installieren würde ich ein Ubuntu-Server 18.04.
> 
> Wie müsste ich die iptables/Firewall dort konfigurieren um:
> 
> Den Zugriff nur auf die IP-Adressen
> 192.168.10.1 bzw.
> 192.168.10.21 & 192.168.10.22, bzw.
> 192.168.10.31 zuzulassen.
> 
> Wie müsste ich die Firewall definieren, das der Freifunk-Router nur auf den
> Internet-Zugang oder einen anderen lokalen Freifunk-Router/Offloader zugreifen kann.
> 
> Alternativ wäre sicher auch eine Sperrung der Ports möglich.
> Sprich wenn ich nur die Freifunk-Ports erlaube ist der Rest ja auch automatisch
> gesperrt.
> 
> So etwas hat doch sicher schon mal jemand gebaut.
> Kennt ihr kurze schnell umsetzt bare Lösungen?
> 
> Danke Arno.
> 
> 
> 
> 


Mehr Informationen über die Mailingliste freifunk-public