[Berlin-wireless] Fieser Bug in Kathleen für TP-LINK CPE210

Volker Tanger vtlists at wyae.de
Do Nov 26 16:22:57 CET 2015 

Moin!

1)
>  > > - LAN0 -> WAN : Als einziges Gerät an einem (DSL-)Internetzugang
>  > (kann aber auch meshen) und DAS ist m.e. der haupt einsatzzweck
>  > eines solchen routers.

2)
>> > - LAN0 -> LAN mit OLSR : Verbindung mit einem vorhandenen
> Freifunk-Router
>  > das ist wohl eher selten und wenn, dann von einem "auskenner".

3)
>> > - LAN0 -> LAN mit DHCP : Mesh-Knoten für LAN ohne eigenen
>> > Internetzugang = reiner AP


>  Was helfen könnte, wäre AFAICT eine saubere Trennung von WLAN und
> LAN. Ich kann im Moment nicht beurteilen, ob das am saubersten über
> eine Firewall-Regel, unterschiedliche Interfaces oder auf eine ganz
> andere Art gelöst werden kann. Vorschläge?

Müssen wir überhaupt alle Einsatzzwecke abdecken?
So weg von der Wollmilchlegenden Eiersau zur Freifunk-Only-Kiste (FFOK).

Dann kann man auch entsprechend empfehlen, die FFOK an den Gastzugang 
(LAN4) der Fritzboxen (und anderer Router) anzuschließen. Damit ist dann 
ein unbeabsichtigtes "Durchgreifen" vom Freifunk ins LAN gleich 
unterbunden.

Wer Wifi ins LAN haben möchte, der kann/darf/muss! sich einen separaten 
AP dazustellen. Deren Kosten ab 9,-€ sind die auch eher übersichtlich - 
und dann kann man die Funken auch optimierter aufstellen: den AP mehr 
Richtung Arbeits-/Schlafzimmer, die FFOK ins Wohnzimmerfenster oder auf 
den Balkon für Gäste und auf die Straße hinaus. Oder er nutzt das meist 
sowieso laufende Wifi seines (V)DSL/Kabel-Routers für den LAN-Zugang und 
steckt die FFOK dann einfach nur wie einen Client dazu.



Für Freifunk (insbesondere im Sinne von Netz-machen-wir-selber) brauchen 
wir IMHO nur:

a) Freifunk-Freifunk Meshing  (Wifi-Wifi / Wifi-LAN / LAN-Wifi)
b) DHCPD für das lokale LAN/Wifi (optional abschaltbar)
c) Gateway Freifunk ins Intenet  (Ethernet-Only)
d) optional Störerhaftungs-VPN auf Internet-Uplink
e) optional BBBvpn zum Anknüppern von Insellösungen bis das Funknetz da 
ist

Das reduziert dann auch die Konfigurationsfelder in der GUI massiv.


Das vereinfacht dann auch die Netz-Konfiguration:
   * WAN-Port für Uplink-Only  (dann braucht man halt noch einen 
(V)DSL-Router). Das könnte dann wahlweise statisch konfiguriert werden, 
oder auch einfach als DHCP-Client. Macht das Ganze dann 
plug-and-playabler.
   * "LAN"-Switch und Wifi werden einfach zusammengeswitcht, so dass man 
mehrere Boxen wahlweise per Wifi oder auch trivial per Kabel vermeshen 
kann - und ggfs. über BBBvpn weiter.
   * Konfigurationszugang im Normalbetrieb nur vom "WAN" aus (also 
umgekehrt als bei "normalen" Routern - das "WAN" ist im üblichen 
Anwendungsfall ja das "vertrauenswüdigere" LAN des Betreibers - nur zur 
Erstinstallation (bei leeren Konfigurationseinträgen) auch vom "LAN" aus 
(weil einfacher).

Wer 'rumbasteln will, der muss dann halt auf einer "nackten" SSH und im 
Filesystem basteln und/oder physisch - also Kabel und Gerät durch die 
Gegend werfen.
Ja, das ist 'runterverdummt, aber eben auch weit weniger fehler- oder 
wartungsanfälliger.

Auf den "WAN"-Port einer FFOK kann man dann noch zusätztlich IPtables 
'draufsetzen, um das noch mal anzusichern
   * ping + DNS von/zum LAN-Gateway
   * incoming SSH + http/s für Admin (letzteres auf Port 255 = FF - macht 
die in Portscans leichter erkennbar?)
   * incoming SNMP?
   * outgoing Syslog
   * outgoing-Sperre in RfC1918-Netze - damit sichern wir das LAN vor 
wildgewordenen FFOKs und Angreifern aus dem WLAN ab.


So weit meine Ideen für eine mögliche Ausrichtung bzw. 
Geschmacksrichtung.

Bye

Volker


-- 

Volker Tanger    http://www.wyae.de/volker.tanger/
--------------------------------------------------
vtlists at wyae.de                    PGP Fingerprint
378A 7DA7 4F20 C2F3 5BCC  8340 7424 6122 BB83 B8CB

Mehr Informationen über die Mailingliste Berlin