[Berlin-wireless] OLSR Lan Brücke
Sven-Ola Tuecke
sven-ola
Fr Sep 10 08:21:30 CEST 2010
Hallo René,
(mein letztes Posting ist ein bisschen un/missverstaendlich IMO, ich versuch's
nochmal)
Zur Erinnerung: die Netzmaske definiert, welche IP-Adressen ohne Zischenstation
direkt erreichbar sind. In unserem Mesh-Netzwerk betreiben wir z.B. die
104.0.0.0/8 auf dem WLAN und erreichen (ohne weiteres Routing) alle Nachbarn
wenn sie eine IP aus 104.0.0.1-104.255.255.254 haben. Wenn zusaetzlich auf
demselben Router z.B. eine Kabelkoppelung gewuenscht ist, sollte die
zusaetzliche Schnittstelle (z.B: WAN) eine IP aus demselben Bereich verwenden.
Im Normalfall sollte auf WAN dann eine "engere" Netzmaske verwendet werden,
z.B. /30 (4 IP, mask=255.255.255.252). Dann ist das Geraet auch dann noch vom
direkten Nachbarn ueber WAN erreichbar, wenn man den OLSRD mal stoppen muss.
Wenn du ganz normale Windosen (ohne OLSR) hinter einem LAN dranhaengen willst,
empfehle ich dir die Standard-NAT+Firewall-Kombi mit folgenden
Standardeinstellungen:
LAN=192.168.x.x (Statisch, vergibt per DHCP 192.168.x.x)
WIFI=10.x.x.x/8 (mithin Mask=255.0.0.0)
WAN je nach Bedarf: Inet mit PPPoE oder WAN-WAN-Koppelung mit 2ter FFFW
Ganz generell: eine Windose ohne Firewall und mit eingeschaltetem Forwarding
(wie es fuer OLSR-Routing nun mal gebraucht wird) wuerde ich nicht in unserem
Mesh betreiben. Aus Sicherheitsgruenden und weil die Benutzer auf diesen
Kisten sich die Dinger zu oft zerkonfigurieren. Oft ist es zudem sinnvoll, an
den LAN-Anschluss noch einen ganz stinknormalen Access-Point zu haengen, damit
die Windosen einen einfachen Zugriff auf den LAN-Anschluss des Freifunk-Routers
aufbauen koennen. (AP meint: ein Router ohne NAT, ohne DHCP, ohne Routing,
dafuer meist mit WPA-Verschluesselung).
Bei der in der vorigen Mail vorgeschlagene Kombi (also LAN == IP aus dem Mesh-
IP-Bereich) ist der Firewall auf dem Freifunk-Router selbstverstaendlich
komplett abgeschaltet. Das muss so sein, es soll sich in unserem Netzwerk nix
in den Weg werfen. Wir haben typischerweise private-IPs (192.168.x.x) mit
Firewall/NAT und Mesh-IPs (10.x.x.x, 104.x.x.x) ohne Firewall/NAT.
Wie immer gilt: das ist alles "best practise". Du kannst es
selbstverstaendlich anders machen musst aber mit den Folgen dann auch umgehen
koennen...
// Sven-Ola
Am Donnerstag, 9. September 2010, um 19:29:08 schrieb Sven-Ola Tuecke:
> Am Donnerstag, 9. September 2010, um 17:53:22 schrieb René Galow:
> > Hey,
> >
> >
> >
> > Ok ich glaube das habe ich gecheckt. Allerdings ist die subnetzmaske
> > ändern garnicht so leicht denn hier hängen auch noch ein paar leute mit
> > windows klienten dran und die würden dann ja alle schwierigkeiten
> > bekommen. Aber irgendwie muss ich das mal in Angriff nehmen
> >
> >
> >
> > Kann ich das ganze nicht auch mit kleinen subnetzen betreiben?
> > z.b.
> > die 10.93.0.249 mit der subnetzmaske 255.255.255.248 auf dem lan
> > und die gegenstelle mit der 10.93.0.250?
> >
> >
> >
> > mit der Firewall und mit nat muss ich nix weiter beachten oder?
> > und bei Schnittstelle auch kein br0 eintragen?
> >
> >
> >
> > Mit freundlichem Gruß
> > René
>
> [schnipp]
Mehr Informationen über die Mailingliste Berlin