[Berlin-wireless] tester gesucht: Hedy mit modularem Uplink
Sven Roederer
freifunk at it-solutions.geroedel.de
Fr Aug 25 17:11:34 CEST 2017
Hallo Marcel,
Erstmal gut zu hören, dass sich die Version auch für den Produktiven Einsatz taugt.
Hast du auch mal die Funktion der Bandbreitenbegrenzung probiert?
Die Sache mit dem Zugriff auf's private Lan / Netzwerk am Wan-Port hatte ich auch schon gesehen. Bin aber noch nicht dazu gekommen, diesen ungewollten Zugriff zu begrenzen.
Ich beabsichtige etwas in Richtung Policy-Routing zu machen. Aber das dauern sicher noch ein paar Tage.
Deine Firewall-regeln sehe ich mir dann mal an. Aber wenn der Zugriff unterbunden ist, scheinen sie ja nicht komplett daneben zu liegen.
Gruss Sven
Am 25. August 2017 13:50:01 MESZ schrieb Marcel <marcel_sch at freifunk-cottbus.de>:
>moin sven,
>
>wie beim hackaton mit dir besprochen möchte ich meinen knoten direkt
>ausleiten. ich habe dafür die firmware vom branch "SAm0815_uplink" in
>form des builds 377 vom 2017-08-25 03:48:23 genutzt. ich konnte den
>assistenten erfolgreich durchlaufen lassen. die
>installation/einrichtung erfolgte auf einem blanken knoten. nachdem
>der assistent und der darauffolgende reboot durch waren, wurde der
>traffic direkt ausgeleitet. problem dabei war jedoch, dass über diesen
>knoten nun auch ein zugriff auf das privatnetzwerk zwischen dem knoten
>und dem dsl-router möglich ist. dies habe ich durch die folgenden 3
>zusätzlichen firewall-regeln unterbunden, bei mir funzt es so
>zumindest ;-)
>
>name: no 10.0.0.0/8
>filter: beliebig traffic
>Von beliebiger Rechner in freifunk
>Zu IP range 10.0.0.0/8 in ffuplink
>aktion: Discard forward
>
>
>name: no 172.16.0.0/12
>filter: beliebig traffic
>Von beliebiger Rechner in freifunk
>Zu IP range 172.16.0.0/12 in ffuplink
>aktion: Discard forward
>
>
>name: no 192.168.0.0/16
>filter: beliebig traffic
>Von beliebiger Rechner in freifunk
>Zu IP range 192.168.0.0/16 in ffuplink
>aktion: Discard forward
>
>eckdaten zu dem aktiven knoten:
>Firmware-Datei:
>http://buildbot.berlin.freifunk.net/buildbot/unstable/ramips-mt7620/377/default/freifunk-berlin-1.0.0-sam0815-ffuplink-11a1bc0-wt3020-8M-sysupgrade.bin
>Modell: Nexx WT3020 F (8M)
>Firmware Version: Freifunk Berlin Hedy 1.0.0-SAm0815-ffuplink 11a1bc0
>r2993+503-b9a408c / LuCI lede-17.01 branch (git-17.219.28675-9ee26ac)
>
>schau dir bitte einmal die sachen an ob ich das so richtig angepasst
>habe.
>
>grüße
>marcel
>
>
>Am 17. Juli 2017 um 10:03 schrieb Sven Roederer
><freifunk at it-solutions.geroedel.de>:
>> Hallo Gemeinde,
>>
>> im zuge der anstehenden Änderungen beim VPN und dem immer wieder
>> bemängeltem strikten verankern des VPN03 in der Firmware, habe ich
>mal
>> etwas Zeit investiert.
>> Mit folgendem Ergebnis:
>> - verschiedene Wege einen Uplink zu konfigurieren sind in separate
>> installierbare Pakete ausgelagert
>> - verfügbare FFUplink-typen:
>> - VPN03 (VPN03, wie gehabt)
>> - NoTunnel (direktes ausleiten via WAN-interface)
>> - dadurch kann zur Laufzeit einer der Uplink-typen im Assistenten
>gewählt
>> werden (noch nicht implementiert)
>> - entsprechende Konfig-parameter abgefragt werden (to be done,
>aktuell
>> wird auch bei "noTunnel" nach den VPN-Zertifikaten gefragt - hier
>kann
>> aber * benutzt werden)
>> - das Netzwerk habe ich dazu entsprechend "einheitliche
>Netzwerk-konfig
>> für uplinks mit / ohne Tunnel"[1] umgebaut
>>
>> Der Buildbot wird in kürze die entsprechenden Pakete fertig haben.
>Die
>> sind dann zu finden auf der Firmwareseite im Wiki[2] unter "Auch alte
>> Releases und Development-Branches anzeigen" im Branch
>"SAm0815_uplink" zu
>> finden.
>>
>> Beide versionen "default" (VPN03) und "notunnel" (direktes Ausleiten)
>> funktionieren bei mir. Es wäre aber git, wenn dass noch mehr Leute
>testen.
>> Dazu folgende Hinweise:
>> - backup der aktuellen Konfig erstellen (so kann man wieder die
>aktuellen
>> Firmware installieren, sein Backup ruafpacken und der Router ist
>wieder
>> der alte)
>> - bisher ist ein upgrade ungetestet; also am besten "install from
>scratch"
>> - wie o.g. einfach Dummydaten in der "noTunnel"-Version bei den
>> VPN03-zertifikaten angeben
>>
>>
>> Ich bin auf Rückmeldungen gespannt ...
>>
>> Sven
>> -
>>
>> [1] - https://github.com/freifunk-berlin/firmware/issues/472
>> [2] - https://wiki.freifunk.net/Berlin:Firmware#WLAN-Router
>
>_______________________________________________
>Berlin mailing list
>Berlin at berlin.freifunk.net
>http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
Mehr Informationen über die Mailingliste Berlin