[Berlin-wireless] WRT und WDS

[Sven-Ola Tuecke]

Hallo Philip,

mmh. Da geht noch ein bisschen was durcheinander.

Wir machen gar kein WDS. WDS ist Layer 2. Also da wo mit MAC-Adressen hantiert 
wird. Stell' dir einfach vor: eine Batterie von Access Points im Mastermode 
mit gleicher ESSID und einem Ethernet-Backbone versorgen z.B. einen Flughafen 
oder so. Mit WDS kann man dann auf die Ethernet-Leitungen verzichten (ist 
halt billiger), aber die Topologie ist gleich. Manchmal funktioniert sogar 
das Handover, z.b. wenn man einen Notebook im Flughafen hin und her schleppt.

OLSR ist Layer 3. Also auf der Ebene der IP-Routen und IP-Adressen. So wie im 
Internet - da kommste nach Brasilien ueber nur 10 Hops. Das Internet wuerde 
mit Layer 2 gar nicht funktionieren, man sagt "Layer 2 skaliert nicht". Darum 
koennen wir auch mit IP-Firewalls arbeiten. Auf Layer 2 koennte man eine 
MAC-Adresse komplett sperren, aber auf Layer 3 kann man fein ziselierte 
Regeln auf bestimmte Services (z.B. "du darfst HTTP") machen.

Es gibt mittlerweise auch einen "Multimode-WLAN-Treiber" fuer OpenWrt. Damit 
koennte man einen virtuellen Accesspoint *und* eine virtuelle Ad-Hoc-Station 
mit einer WLAN-Karte machen. Das ist aber was fuer Spezialisten.

Mit der Freifunk-Firmware hast du 3 IP-Bereiche in etwa so:

1*WLAN 104.x.x.x, komplett offen, selbstvernetztend auf Layer 3
4*LAN 192.168.1.x, LAN->WLAN ist OK, WLAN->LAN gesperrt
1*WAN offizielle IP oder z.B. 192.168.2.x, LAN->WAN ok, WLAN->WAN ok, WAN 
->LAN/WLAN gesperrt.  

Einen 2. WRT? Einfach auch die Freifunk-Firmware drauf machen. Alle WRTs sind 
"gleichberechtigt", es gibt keinen "Master". Das ist so auf Layer 1 ("Ad-Hoc" 
Wireless Mode) und auf Layer 3 (wir haben kein DHCP daher die IP-Vergabe).

Dein privates LAN verschluesseln? Naja, mach halt WEP/WPA auf der Fritzbox an. 
Die hat wahrscheinlich eine Bridge zwischen WLAN+LAN (remember: am LAN-Port 
der Fritz haengt ja der WAN-Port vom WRT). Dein Notebook sollte also den 
personal Firewall nutzen, wenn du direkt an die Fritzbox drangehst. Die Fritz 
wird nur gegen Angriffe aus dem Internet schuetzen, evt. kannste auf der 
Fritz den Firewall gleich ganz ausschalten. Und natuerlich kannste selbst 
einen Notebook in das Freifunk-Netzsegment haengen. Oder per LAN drangehen 
(das ist dann gesichert gegen WLAN + gegen Internet).

Du kannt duzendweise Access Points, Bluetooth-Gadgets, DECT-Databoxen usw. an 
die LAN-Schnittstellen der WRTs haengen und da herumschluesseln dass es nur 
so kracht. Das ist dann dein privater gesicherter Bereich. Um ueber das 
offene Freifunk-Netz (fuer das du gerade eine neue Insel bastelst) zwei 
private Netze zu verknuepfen, baust du einen Tunnel. Das geht mit IPIP, PPTP, 
OpenVpn oder IPSec (in aufsteigender Komplexitaets-Reihenfolge und 
Sicherheitsanforderung).

Bestimmt kommt jetzt die Frage: Und wie mache ich selbst Peer2Peer? Na - 
mach'n Portforwarding in der Fritzbox (die kann das doch?) und haenge ein 
gesichertes Notebook direkt dran (Draht oder Luft).

P.S. Tut mir leid, das dieses Traktat laenger geworden ist (wird einen 
erheblichen Lesewiederstand ausloesen) - es gibt megaweise Zeugs dazu im 
Internet. Aber nix spezifisches - man muss leider das Kommunikationsprinzip 
verstehen.
 
HTH, Sven-Ola

Am Samstag 14 Januar 2006 23:54 schrieb Philip Banse:
> So, habe meinen WRT als Freifunk-Posten im Maybachufer eingerichtet
> 104.194.0.4. Jetzt der nächste Schritt: Ich muss einen zweiten WRT per
> WDS anbinden. Habe dazu weder bei olsrexperiment.de, noch im
> Listen-Archiv, noch in der FAQ etwas gefunden.
>
> Außerdem würde ich gerne privates und Freifunk-WLAN trennen und das
> private verschlüsseln, weiß aber nicht, wie das zu machen ist.
>
> Danke schon jetzt für die Unterstützung :-)
>
> Grüße, Philip

-------------- nächster Teil --------------
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://www.olsrexperiment.de/cgi-bin/mailman/listinfo/berlin