[Berlin-wireless] [WLANware] Hardware: Powerline-Adapter und VLANs

Mattias Brunschen mattias at brunschen.com
Fr Nov 18 14:41:04 CET 2016 

Am 17. November 2016 um 21:50 schrieb Simon Müller <
simon.f.mueller at gmail.com>:

> Hi Mattias,
> vielleicht habe ich dein Zielsetup nicht verstanden, aber aus meiner Sicht
> ist es nicht nötig an den PowerLine Adaptern irgendwas zu ändern, die
> bridgen dir doch auf Layer2 alles durch was reinleitest. Entweder kannst du
> Freifunk Mesh Netz (Batman mesh on LAN) durchleiten, oder dein uplinknetz
> so dass der Freifunk Router dahinter selber ein VPN aufbauen kann, oder du
> leitest mehrere vlans durch...
> LG, Simon
>
Hi Simon,

ich formulier' mein Problem mal etwas anders:

Ich nutze die Powerline-Adapter, um -- wie du ja auch beschrieben hast --
den Netzwerk-Verkehr zwischen den einzelnen Zimmern zu bridgen.

Jetzt möchte ich nicht nur mein "privat-zuhause-Netz" bridgen, sondern auch
z.B. "Freifunk-DHCP" und vor allem "Freifunk-Mesh-over-LAN", und zwar alle
drei Netze in allen Zimmern.
Dafür bietet es sich an, alles in VLANs zu packen und als "tagged VLANs"
auf die Reise zu schicken. Auf der Stromleitung enthalten die
Layer2-Datenpakete daher nicht nur Quell- und Ziel-MAC-Adresse, sondern
auch ein VLAN-Tag, das sagt: "ich bin ein Paket für VLAN 1" oder "VLAN 2",
etc. (siehe [0]). VLAN 1 ist dann z.B. mein "zuhause-Netz", VLAN 2 z.B. das
Freifunk-Mesh-over-LAN.

Dafür nehme ich in der Regel vor jedem Powerline-Adapter einen Switch, der
mir an den meisten Ports (konfigurierbar) entweder VLAN 1 oder VLAN 2
anbietet und an einem der Ports einen "Sammel-Anschluss", über den alle
VLANs in der o.g. Form sichtbar sind. Diesen Switch-Port schließe ich dann
an den Powerline-Adapter an.
In dem Zimmer, in dem ein Freifunk-Router steht, benötige ich dafür keinen
extra Switch, das kann der Freifunk-Router mit seinen i.d.R. mehreren Ports
für mich gleich mit erledigen.

So weit, so klar.

Jetzt das eigentliche Problem:
Wenn ich jetzt in einem neuen Zimmer an der Außenwand einen gerichteten
Freifunk-Router (z.B. TP-Link CPE210, [1]) anbringen will und dafür vom
Powerline-Adapter einfach ein Cat5-Kabel nach draußen zum CPE210 verlege,
dann kann ich den CPE210 zwar entsprechend für "tagged VLAN" konfigurieren
und somit korrekt zum Funken bringen, ich handle mir aber auch ein
Sicherheitsproblem ein:
Auf der Powerline sind, wie oben beschrieben, ALLE meine VLANs gebridged
sichtbar, so will ich das in meiner Wohnung ja haben. Also kann man über
den RJ45-Stecker des nach außen verlegten Cat5-Kabels alle meine VLANs
erreichen, auch das private Netz. Und da ich im Erdgeschoss wohne und der
CPE210 an der Straßenseite montiert werden soll, hat dann "jedermann"
Zugriff auf mein privates Netz. Er muss nur den RJ45-Stecker vom CPE210
abziehen, eine RasPi / einen Laptop mit VLAN-Konfiguration anklemmen und
ist sofort in meinem Netz.

Das kann ich mit einem extra Switch (im Zimmer) lösen, der zwischen
Powerline und CPE210-Außenkabel geklemmt wird und nur das VLAN 2 (Freifunk
Mesh over LAN) weiterleitet. Den Switch bräuchte ich aber NUR dafür, da
sonst kein weiteres Netzwerkgerät in diesem Zimmer angeschlossen wird
(Küche).
Oder ich könnte es eben "elegant" lösen, wenn der Powerline-Adapter selbst
in der Lage wäre, den über die Stromleitung ankommenden tagged-VLAN-Verkehr
aufzudröseln und (konfigurierbar) nur ein bestimmtes VLAN durchzulassen. Da
einige Powerline-Adapter auch gleich mehrere Ethernet-Ports haben (meine
haben 3 Ports), könnte man sich sogar vorstellen, jedem Eth-Port eine
eigene VLAN-Konfiguration zuzuweisen.

Aber:
Die gängigen Powerline-Adapter von AVM/Fritz und TP-Link können sowas nicht
(von allein), wahrscheinlich kann es bis dato gar kein Powerline-Adapter.

Und HIER setzt meine Frage an:
Nämlich ob irgend jemand da draußen weiß, ob es möglich ist, mit etwas
Hacking openwrt oder lede auf einem Powerline-Adapter aufzuspielen und dann
u.U. auch VLAN-Konfigurationen einzutragen.

LG,
Mattias

[0]  https://de.wikipedia.org/wiki/IEEE_802.1Q#Tags_im_Ethernet-Frame
[1]  http://www.tp-link.de/products/details/cat-37_CPE210.html



> Am 17.11.2016 7:48 nachm. schrieb "Mattias Brunschen" <
> mattias at brunschen.com>:
>
>> Am 17.11.2016 4:46 nachm. schrieb "Simon Müller" <
>> simon.f.mueller at gmail.com>:
>>
>> >
>>
>> > Hi Mattias,
>> > ich glaube VLAN tagging geht bei OpenWRT, LEDE und z.B. Gluon gleich
>> z.b. über die UCI Konsolen Befehle:
>> >
>> > uci set add_list network.client.ifname=ethX.Y
>> >
>> > wobei "Y" das VLAN Tag ist.
>> > https://forum.freifunk.net/t/vlan-tagging-mit-gluon-und-tp-l
>> ink-wr841n/13672/19
>> <https://forum.freifunk.net/t/vlan-tagging-mit-gluon-und-tp-link-wr841n/13672/19>
>> >
>> > LG, Simon
>>
>> Hi Simon & Liste,
>>
>> mein Problem ist eher, dass die mir bekannten Powerline-Geräte von Hause
>> aus VLANs nicht kennen. Und in der Table Of Hardware bei openwrt.org
>> sind sie nicht gelistet.
>>
>> Weiß jemand zufällig, ob es möglich ist, eine schon vorhandene OpenWRT-
>> oder LEDE-Firmware auch auf einem Powerline-Adapter "TP-Link TL-PA8030" zu
>> installieren? Wie kann ich CPU und Chipsets dieser Geräte ermitteln?
>> Vielleicht ist die Lösung ja ganz einfach, vielleicht aber auch viel zu
>> aufwändig.
>>
>> LG.
>> Mattias
>>
>> > Am 17. November 2016 um 09:07 schrieb Mattias Brunschen <
>> mattias at brunschen.com>:
>>
>> >>
>>
>> >> Hallo Liste,
>> >>
>> >> zur Vernetzung entferner Räume in der Wohnung -- und zum Aufstellen
>> weiterer Freifunk-Router -- will ich mein Netzwerk über Powerline-Adapter
>> (gibt's u.a. von TP-Link und AVM/Fritz) verlängern.
>> >> Die Geräte sind i.d.R. transparent für "tagged VLAN", d.h. ich kann
>> die Powerline-Verbindung wie einen Backbone mit mehreren VLANs sehen,
>> benötige aber auf beiden Seiten Switche, die dann einzelne "untagged VLANs"
>> auskoppeln können.
>> >> Die Powerline-Geräte von TP-Link und AVM/Fritz sind dazu (Stand heute)
>> nicht in der Lage.
>> >>
>> >> Oder aber es gibt eine Möglichkeit, die Powerline-Adapter so  -- z.B.
>> mit alternativer Firmware (openwrt, lede) -- aufzurüsten, dass sie
>> VLAN-Fähigkeiten erhalten.
>> >>
>> >> Frage:
>> >> Hat jemand von euch Erfahrungen in diesem Bereich?
>> >> Oder einen Tipp, wie ich vorgehen könnte?
>> >>
>> >> Disclaimer:
>> >> 1) Ja, ich hab schon bei openwrt und lede gesucht, aber nichts
>> gefunden (oder ich bin blind, mag ja sein)
>> >> 2) Alternativen zu Powerline (z.B. Kabel) kommen leider nicht in Frage.
>> >>
>> >> LG,
>> >> Mattias
>> >>
>> >>
>> >> _______________________________________________
>> >> WLANware mailing list
>> >> WLANware at freifunk.net <WLANware at freifunk.net>
>> >> Abonnement abbestellen? -> http://lists.freifunk.net/mail
>> man/listinfo/wlanware-freifunk.net
>> >>
>> >> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und
>> Abmeldung unter http://freifunk.net/mailinglisten
>> >
>> >
>>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20161118/07e7ce18/attachment.html>

Mehr Informationen über die Mailingliste Berlin