[Berlin-wireless] OLSR Lan Brücke

[Sven-Ola Tuecke]

Hallo René,

(mein letztes Posting ist ein bisschen un/missverstaendlich IMO, ich versuch's 
nochmal)

Zur Erinnerung: die Netzmaske definiert, welche IP-Adressen ohne Zischenstation 
direkt erreichbar sind. In unserem Mesh-Netzwerk betreiben wir z.B. die 
104.0.0.0/8 auf dem WLAN und erreichen (ohne weiteres Routing) alle Nachbarn 
wenn sie eine IP aus 104.0.0.1-104.255.255.254 haben. Wenn zusaetzlich auf 
demselben Router z.B. eine Kabelkoppelung gewuenscht ist, sollte die 
zusaetzliche Schnittstelle (z.B: WAN) eine IP aus demselben Bereich verwenden. 
Im Normalfall sollte auf WAN dann eine "engere" Netzmaske verwendet werden, 
z.B. /30 (4 IP, mask=255.255.255.252). Dann ist das Geraet auch dann noch vom 
direkten Nachbarn ueber WAN erreichbar, wenn man den OLSRD mal stoppen muss.

Wenn du ganz normale Windosen (ohne OLSR) hinter einem LAN dranhaengen willst, 
empfehle ich dir die Standard-NAT+Firewall-Kombi mit folgenden 
Standardeinstellungen:

LAN=192.168.x.x (Statisch, vergibt per DHCP 192.168.x.x)
WIFI=10.x.x.x/8 (mithin Mask=255.0.0.0)
WAN je nach Bedarf: Inet mit PPPoE oder WAN-WAN-Koppelung mit 2ter FFFW

Ganz generell: eine Windose ohne Firewall und mit eingeschaltetem Forwarding 
(wie es fuer OLSR-Routing nun mal gebraucht wird) wuerde ich nicht in unserem 
Mesh betreiben. Aus Sicherheitsgruenden und weil die Benutzer auf diesen 
Kisten sich die Dinger zu oft zerkonfigurieren. Oft ist es zudem sinnvoll, an 
den LAN-Anschluss noch einen ganz stinknormalen Access-Point zu haengen, damit 
die Windosen einen einfachen Zugriff auf den LAN-Anschluss des Freifunk-Routers 
aufbauen koennen. (AP meint: ein Router ohne NAT, ohne DHCP, ohne Routing, 
dafuer meist mit WPA-Verschluesselung).

Bei der in der vorigen Mail vorgeschlagene Kombi (also LAN == IP aus dem Mesh-
IP-Bereich) ist der Firewall auf dem Freifunk-Router selbstverstaendlich 
komplett abgeschaltet. Das muss so sein, es soll sich in unserem Netzwerk nix 
in den Weg werfen. Wir haben typischerweise private-IPs (192.168.x.x) mit 
Firewall/NAT und Mesh-IPs (10.x.x.x, 104.x.x.x) ohne Firewall/NAT.

Wie immer gilt: das ist alles "best practise". Du kannst es 
selbstverstaendlich anders machen musst aber mit den Folgen dann auch umgehen 
koennen...

// Sven-Ola

Am Donnerstag, 9. September 2010, um 19:29:08 schrieb Sven-Ola Tuecke:
> Am Donnerstag, 9. September 2010, um 17:53:22 schrieb René Galow:
> > Hey,
> >
> > 
> >
> > Ok ich glaube das habe ich gecheckt. Allerdings ist die subnetzmaske
> > ändern garnicht so leicht denn hier hängen auch noch ein paar leute mit
> > windows klienten dran und die würden dann ja alle schwierigkeiten
> > bekommen. Aber irgendwie muss ich das mal in Angriff nehmen
> >
> > 
> >
> > Kann ich das ganze nicht auch mit kleinen subnetzen betreiben?
> > z.b.
> > die 10.93.0.249 mit der subnetzmaske 255.255.255.248 auf dem lan
> > und die gegenstelle mit der 10.93.0.250?
> >
> > 
> >
> > mit der Firewall und mit nat muss ich nix weiter beachten oder?
> > und bei Schnittstelle auch kein br0 eintragen?
> >
> > 
> >
> > Mit freundlichem Gruß
> > René
> 
> [schnipp]