Manchmal erreichen uns Anfragen von Unternehmen welche bereits in ihren Geschäftsräumen ein (Gast-)WLAN anbieten, und nun auf das Freifunkkonzept aufmerksam geworden sind. Die verbaute Hardware besteht oft aus hochwertiger Enterprise-Hardware z.B. von Cisco oder Lancom aus dem höheren Preissegment. Da die Geräte gefühlt alles können, außer Kaffee kochen, liegt der Schluss nahe, dass ein Aufschalten der Freifunk-Funktionalität einfach mit Bordmitteln möglich ist.Das Freifunk-Netzwerk benutzt jedoch eher exotische Protokolle wie batman-adv (Routing) und fastd (Layer-2-VPN), für die kein uns bekanntes WLAN-Gerät (außerhalb des Linux/OpenWRT-Ökosystems) Support hat. Eine direkte Einwahl der Access Points in das Freifunk-Netzwerk ist also im Allgemeinen nicht möglich.
Natürlich wäre es auch Verschwendung die hochwertige Hardware allein aus diesem Grund auszumustern und durch ein Downgrade in Gestalt der Freifunk-kompatiblen Consumer-Hardware zu ersetzen.
Wir beschreiben daher nun ein Setup, welches es ermöglicht, bestehende APs zu nutzen um ein Netz mit der SSID „Freifunk“ und unserem VPN-Tunnel aufzuspannen. Mit einem solchen Setup haben wir z.B. erfolgreich die IHK in Aachen versorgt, welche ihr Gästenetz durch Freifunk ersetzt hat.
Was nicht möglich ist, ist die Mesh-Funktionalität mit diesen APs anzubieten. Der gemeinschaftliche Aufbau des Meshes ist aber der eigentliche Kerngedanke von Freifunk, daher ist dieser Punkt beim Einsatz von Freifunk nicht verhandelbar! Soll heißen: Wer unser VPN nutzen will muss auch in geeigneter Form Mesh für Außenstehende bereitstellen! Wir beschreiben weiter unten Ansätze, wie am besten für Mesh-Konnektivität gesorgt werden kann.
Die Netzstruktur für ein Freifunk-Gastnetz
Die Idee ist es immer, einen zentralen Offloader zu verwenden, welcher die Einwahl in das Freifunknetz übernimmt. Dies kann grundsätzlich erst einmal einer unserer Standardrouter sein. Dies ist jedoch bei größeren Installationen nicht zu empfehlen, da die VPN-Leistung im Bereich von ca. maximal 35 MBit/s liegt.
Viel eher sollte (je nach vorhandener Infrastruktur) ein x86-kompatibler Server mit zwei Netzwerkkarten, welcher auch nur ein flüsterleiser und stromsparender Wohnzimmer-PC sein kann, oder eine Virtuelle Maschine eingesetzt werden. Für diesen Einsatzzweck bieten wir ein x86-Betriebssystem-Image (entweder nativ, oder kompatibel mit qemu oder Oracle VirtualBox).
Zunächst wird auf dem Offloader wie auf einem „normalen“ Freifunkrouter das Mesh-VPN aktiviert und ggf. ein Trafficlimit konfiguriert. (Falls in Ihrem Netz möglich, empfehlen wir jedoch ein Traffic Shaping bzw. QoS so zu konfigurieren, dass der Datenverkehr des Offloaders einfach sehr niedrig priorisiert wird. So können Sie immer Ihr Firmennetz nutzen wie es erforderlich ist und Freifunk begnügt sich immer mit der verbleibenden Bandbreite. Das Netz wird so optimal ausgelastet.)
Der Offloader hat per Default zwei Netzwerkinterfaces, ein WAN- und ein LAN-Interface. Solange diese Interfaces nicht weiter modifiziert werden ist das Offloader-Image „updatesicher“, d.h. kann normal per Autoupdate aus der Ferne aktualisiert werden. Ansonsten ist erhöhter Verwaltungsaufwand nötig, da ein IT-Mitarbeiter sonst verfolgen muss, wann wir die Firmware aktualisieren und jedes Release von Hand rekonfigurieren muss. Daher werden wir versuchen, in dieser Anleitung ohne Modifikationen auszukommen. Jedoch wird so vorausgesetzt, dass im lokalen Netz VLAN-fähige Switches zur Verfügung stehen.
Beide Interfaces sollten jeweils in ein VLAN eingekapselt werden. Zu dem LAN-VLAN bleibt nicht viel zu sagen. Wir stellen einfach sicher, dass die Funktion „Mesh on LAN“ bei dem Offloader abgeschaltet (kein Tippfehler!) ist. Dies sorgt dafür, dass das Client-Netz (welches auf einem herkömmlichen Freifunk-Router das WLAN-Netz wäre) auf das LAN-Interface gebridget wird. Wir können also nun unsere Access Points als „Bridged AP“ konfigurieren, die SSID „Freifunk“ ausstrahlen, und sind auf dieser Seite erst einmal fertig. Viele professionellen APs haben auch Multi-SSID-Support. Da sollte man natürlich konfigurieren, dass nur das richtige VLAN in der SSID „Freifunk“ erreichbar ist, die andere (z.B. firmeninterne) SSID bekommt ein internes VLAN, wie in der bisherigen Konfiguration.
Das WAN-VLAN bietet die Konnektivität ins Internet. Genauer gesagt muss ein DHCP-Server vorhanden sein, der dem Offloader eine IP-Adresse geben kann, mit der er auf das Internet zugreifen kann (NAT ist ok). Dann wird er den Tunnel aufbauen. Falls eine restriktive Firewall aktiv ist, müssen Ports freigegeben werden für den Tunnelaufbau per fastd, dazu kommen noch Ports für HTTP, DNS und NTP. Die Info gibt es im Wiki.
Mesh-Konnektivität bieten
Wie bereits oben gesagt ist bei der Teilnahme am Freifunknetz zwingend notwendig auch Mesh anzubieten. Hier muss tatsächlich noch einmal in die Geldbörse gegriffen werden, um Freifunk-kompatible Geräte anzuschaffen. Wir empfehlen die Installation von Outdoor-Geräten. Es gibt professionelle Geräte (z.B. von der Firma Ubiquiti Networks) welche sich zur Fassadeninstallation eignen, und freifunktauglich sind. Die Router werden natürlich so platziert dass sie nach außen strahlen, da die Antennen eine Richtwirkung haben ist so auch im Gebäude mehr Airtime für das Benutzernetz verfügbar.
Genau wie ein Freifunk-Knoten bietet der Offloader die Möglichkeit, das Mesh-Protokoll auf einem seiner Interfaces zu sprechen. Dies erfolgt technisch so, dass das Mesh mit diesem Interface zusammengebridget wird. Dazu muss man wissen, dass batman-adv seine Routinginformationen proaktiv per Broadcast-Nachricht verteilt. Wichtig daher: Wir dürfen auf keinen Fall die Funktion „Mesh on LAN“ aktivieren! Dann würden alle ins LAN gebridgeten Access Points die sinnlosen Routingdaten broadcasten und damit die Airtime verstopfen, was zu empfindlichen Durchsatzstörungen führen würde (und eine Möglichkeit zum Meshen bestünde immer noch nicht).
Daher müssen wir wohl oder übel auf das WAN-Interface ausweichen. Wir setzen also unsere Outdoor-Router in das WAN-VLAN und aktivieren am Offloader die Funktion „Mesh on WAN“. Ein Fallstrick ist nun, dass man auf die Idee kommen könnte zur optimalen Redundanz auf den Outdoor-Routern das Mesh-VPN ebenfalls zu aktivieren. Es kann jedoch passieren, dass das Routingprotokoll dummerweise manchmal denkt, dass die Route über einen Outdoor-Router optimal wäre und nun den gesamten Traffic über die schwache CPU des Outdoor-Router leiten möchte. Folge wäre ein quälend niedriger Durchsatz. Daher: Mesh-VPN nur auf dem Offloader aktivieren!
Je nach Montagehöhe der Outdoor-Installation sollte über ein Abschalten des Client-WLAN-Netzes im Config-Mode nachgedacht werden. Zunächst einmal wird so mehr Airtime für das Meshnetz frei. Eine Dachinstallation wird zudem ggf. noch am Boden der Straßenschlucht auf Handys angezeigt, wird aber keinen Datendurchsatz ermöglichen, was Nutzer verärgern wird. Sollte der Outdoor-Knoten jedoch niedrig angebracht werden, z.B. im ersten Obergeschoss, dann freuen sich Mitarbeiter und Passanten über das freie Netz vor der Haustür. (Und Sie können ggf. ein erläuterndes Plakat anbringen, damit jeder weiß, wem Sie das zu verdanken haben.)
Dem Freifunk-Projekt angemessen zurück geben
Wie bereits angesprochen sind an die Benutzung des von uns angebotenem Freifunk-VPN einige Bedingungen geknüpft. Wenn man einfach unsere Firmware ohne Sondersetup benutzt, erfüllt man diese normalerweise automatisch, aber in diesem Fall ist noch eine kleine Erklärung notwendig.
Zunächst einmal darf nur Traffic, der über in die SSID „Freifunk“ eingewählte Clients verschickt wird, über unser VPN laufen. In der SSID Werbung für ihr Unternehmen machen ist so also z.B. nicht möglich. Wir empfehlen das Anbringen von Plakaten oder Aushängen um Menschen in der Nähe über Ihr Freifunk-Engagement zu informieren!
Die Bedingungen des Pico-Peering-Agreement sind für alle angeschlossenen Installationen verpflichtend. Insbesondere ist sicher zu stellen dass auf den APs unter der SSID „Freifunk“ keine Paketfilter, Snooping, o.ä. oder gar DPI eingesetzt werden. Da Traffic per VPN zu uns weitergeleitet wird und wir ja die Verantwortung übernehmen ist das für Sie ja auch nicht nötig. Jegliche Manipulationen von Traffic sind nicht gesattet, insbesondere sind Zwangsumleitungen auf Portalseiten (sog. „Captive Portal“ oder „Splash Page“) bei Nutzung unserer VPN-Infrastruktur nicht gestattet. Ausnahmen sind notwendige Beeinflussungen um Konnektivität überhaupt erst zu ermöglichen, z.B. NAT bei IPv4 oder TCP MSS Clamping (nur Beispiele zur Illustration, dies wird bei uns auf Serverseite bereits umgesetzt).
Wie bereits angesprochen ist das Anbieten von Mesh absolut verpflichtend. Natürlich gibt es zunächst kein SLA oder so, wenn also mal der Mesh-AP für eine Zeit ausfallen sollte ist das kein Grund in Panik zu geraten und alles stehen und liegen zu lassen um für maximale Verfügbarkeit zu sorgen. Wir behalten uns aber vor, reine „Abstauber“ die für ausgedehnte Perioden wirklich gar kein Mesh anbieten, irgendwann vom Zugang zum VPN auszuschließen. Der Aufbau des Mesh-Netzes ist uns so wichtig, dass wir uns auch nicht einlassen werden, gegen z.B. finanzielle Mittel als Augleich darauf zu verzichten.
Apropos Spenden: Wir arbeiten ehrenamtlich, aber durch die VPN-Technik fallen ganz konkrete Kosten für Serverhardware, Housing und Traffic an. Ohne Unterstützer wären wir gezwungen, den VPN-Service recht zügig einzustellen. Wir möchten daher insbesondere Betreiber von großen und damit ressourcenaufwendigen Freifunk-Installationen dazu anhalten, den Freifunk Rheinland e. V. mit einer Spende oder Fördermitgliedschaft in einer Höhe die Sie für angemessen für unsere Arbeit halten zu unterstützen.
Falls noch Fragen bestehen, unterstützen wir Sie gerne bei der Planung Ihrer Freifunk-Installation. Kontaktieren Sie uns einfach per Mail.