[Berlin-wireless] Fieser Bug in Kathleen für TP-LINK CPE210

Harald Stürzebecher haralds at metafly.info
Do Nov 26 13:28:47 CET 2015


Hallo

Am 25.11.2015 12:36 vorm. schrieb <jay at hasig.de>:
>
> hi,
>
> > IMHO ist es bei diesem Gerät schwierig, eine sinnvolle
Standardeinstellung
> ich finde zumindest, daß die momentane die schlechteste ist.
>
> > festzulegen. Je nach Einsatzort des Gerätes braucht man unterschiedliche
> > Portbelegungen:
> >
> > - LAN0 -> WAN : Als einziges Gerät an einem (DSL-)Internetzugang
> (kann aber auch meshen) und DAS ist m.e. der haupt einsatzzweck eines
> solchen routers.

Ziel in Berlin war AFAIK früher™, möglichst viele Freifunkrouter
miteinander zu einem Mesh-Netz zu verbinden. Im Moment degradiert das Netz
stellenweise zu einem Hotspot-Provider. :-(

Wenn es irgendwann einmal genügend Hotspots in einer Gegend gibt,
funktioniert es mit dem Mesh auch von ganz alleine. Dann braucht nicht mehr
jeder einen eigenen Internetzugang. ;-)

> > - LAN0 -> LAN mit OLSR : Verbindung mit einem vorhandenen
Freifunk-Router
> das ist wohl eher selten und wenn, dann von einem "auskenner".

Die Situation entsteht bereits, wenn ein zweiter Router am Balkon montiert
werden soll. Einen Router nach rechts ausgerichtet, einen nach links würde
ich nicht unbedingt ein "Experten-Setup" nennen. Die notwendigen
Einstellungen sollten also IMHO kein umfangreiches Studium von
Netzwerktechnologie voraussetzen.

> > - LAN0 -> LAN mit DHCP : Mesh-Knoten für LAN ohne eigenen Internetzugang
> hierzu wird aber nichtmal die ff firmware benötigt, da er dann ja reiner
> ap ist.

Ich versuche mal, meine Gedanken anders zu formulieren:
Stell dir vor, ein paar Häuser entfernt auf der anderen Strassenseite teilt
jemand seinen Internetzugang über Freifunk. Du hast keinen eigenen
Internetzugang und möchtest mit Deinem PC ins Internet. Gleichzeitig
möchtest Du das Freifunk-Netz erweitern, damit auch andere Leute darauf
zugreifen können.

AFAIK ist das genau das Szenario, für das der Freifunk ursprünglich
entwickelt wurde. In Potsdam scheint es verbreitet zu sein, die
Übertragungsgeschwindigkeit wird allerdings teilweise mit "den Bits einzeln
die Hand schütteln" beschrieben.

> > Das sind AFAIK alles gebräuchliche Nutzungen von Freifunk-Routern.
> von ff routern im allgemeinen vielleicht, von außenroutern mit breiter
> richtwirkung wohl eher nicht.

Sehe ich anders, nachdem ich Variante 1 und 2 schon selbst mit Nanostations
installiert habe. Variante 3 gibt es AFAIK in Potsdam.

> zudem geht es m.e. hier vor allem darum, zu welchem zweck er von "laien"
> am meisten eingesetzt wird.
> und das ist szenario 1. für alle andren muss man sich nämlich schon
> weiter in die materie eingearbeitet haben.

Von "Laien" werden zur Zeit vermutlich fast alle Freifunk-Router so
eingesetzt. Nachdem sie sich einmal erfolgreich durch den
Freifunkassistenten gekämpft haben, sind es keine "Laien" mehr. ;-)

Wir sind inzwischen aber an einem Punkt angekommen, an dem sich IMHO eine
Standardisierung für die üblichen Einsatzfälle lohnen würde. Diese
Konfigurationen sollten dann "Out-Of-The-Box" mit minimalen Eingriffen
funktionieren. Bei den Indoor-Geräten scheint das schon ganz gut realisiert
zu sein - außer, dass es einige der empfohlenen Geräte kaum noch zu kaufen
gibt.

> die momentane config ist aber gerade für den anfänger fatal.
> ungeschützes lan, ungeschütztes internet, volle störerhaftung.
> also ziemlich genau das gegenteil zu dem man einen ff router einsetzt.

Dann sollten wir IMHO einen Weg suchen, der dieses Problem allgemeingültig
löst. Bei der Nanostation hilft das einfache Vertauschen der Ports nicht.
Auch bei den Indoorgeräten kann mal ein Kabel in die falsche Buchse
gesteckt werden. Der ungeschützte Zugriff auf das private LAN sollte daher
bei allen Modellen unterbunden werden.
Was helfen könnte, wäre AFAICT eine saubere Trennung von WLAN und LAN. Ich
kann im Moment nicht beurteilen, ob das am saubersten über eine
Firewall-Regel, unterschiedliche Interfaces oder auf eine ganz andere Art
gelöst werden kann. Vorschläge?

Harald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151126/0e305740/attachment.html>


Mehr Informationen über die Mailingliste Berlin