Freifunk-Router am Gastzugang einer FRITZ!Box
Viele Internet-Provider liefern als Router die beliebte FRITZ!Box in verschiedenen Versionen aus. Viele Fritzboxen bieten die Möglichkeit, einen LAN-Anschluß als Gast-Netz vom Heimnetz zu trennen. Diese Anschlussmöglichkeit bietet dann nochmals zusätzliche Sicherheit, da über den Gastzugang eine weitere Trennung zwischen dem Freifunk-Router und dem eigenen Heimnetz vorgenommen wird.
Um einen Freifunk Router von Freifunk Mössingen am Gastzugang der Fritz!Box zu betreiben, muss der Gastzugang der Fitz!Box angepasst werden, damit für den Freifunk Router der VPN Zugang zu den Freifunk Gateways möglich ist.
Funktionsweise des Gastzugangs
- Man Aktiviert der "Gastzugang" für Port 4 der gelben LAN-Anschlüsse der Fritz!Box
- Der Gastzugang verwendet dann das Profil "Gast"
- Das Profil "Gast" verwendet die Liste "alles außer Mail und Web" um den Zugriff auf alle Dienste des Internets außer Mail und Web zu verbieten. Damit ist kein Zugriff per VPN auf die Gateways von Freifunk mehr möglich, und der Router verbindet sich nicht mehr mit dem Freifunk Netz. Man muss also die Liste "alles außer Mail und Web" anpassen und umbenennen in "alles außer Mail, Web und FF VPN".
Schritt für Schritt
Aktivieren des Gastzugangs auf Port 4
Zunächst öffnet man im Menü links den Unterpunkt "Heimnetz->Heimnetzübersicht" und wählt dann oben den Reiter "Netzwerkeinstellungen" aus. Dort aktiviert man den Haken bei "Gastzugang für LAN 4 aktiv". Die Option "Zustimmung zu den Nutzungsbedingungen" muss ausgeschaltet bleiben, da der Freifunk Router diese nicht erbringen kann. Am unteren Ende der Seite übernimmt man die Einstellungen durch Klick auf "Übernehmen".
Anpassen der Filterregeln für den Gastzugang
Im Menüpunkt "Internet->Filter" und dort im Tab "Zugangsprofile" kann man zunächst überprüfen, ob der Gastzugang die Filterliste "alles außer Surfen und Mailen" verwendet. Wenn die Liste anders heißt (z.B. "alles außer Mail und Web") muss das beim weiteren Folgen der Anleitung entsprechend bedacht werden.
Diese Filterliste wird nun bearbeitet, indem man den Menüpunkt "Internet->Filter" und den Tab "Listen" öffnet und das Bearbeiten-Symbol der entsprechenden Liste (hier: "alles außer Surfen und Mailen") anklickt:
Es öffnen sich die Listeneinstellungen:
Die Liste umfasst beim Protokoll "TCP" alle Ports, außer 25,80,110,143,443,465,587,993,995 und 8080. Das sind die Einstellungen, die für die gängigen Zugriffsmöglichkeiten auf Web/Mail-Dienste nötig sind. Wenn man die Liste als Sperrliste verwendet, bleiben diese Dienste also erlaubt.
Bei Protokoll UDP sind alle Ports gesperrt, darum kann sich der Freifunk-Router nicht mehr mit den Gateways verbinden. Bei UDP müssen die Ports 10000 bis 10015 erlaubt werden.
Zuerst löscht man die vorhandene UDP Regel durch einen Klick auf das Kreuzchen:
Anschließend erstellt man ein "neues Protokoll": Der neue Protokolleintrag sollte alle UDP Ports von 1-9999 umfassen, die Quelle darf beliebig sein. Den neuen Eintrag speichert man durch Klick auf "OK" und erstellt im Anschluß daran auf der Listenseite nochmals eine "neues Protokoll", dieses Mal mit allen UDP-Ports von 10016-65535:
Im Ergebnis lässt man also die UDP Ports von 10000-10015 in der Liste aus, das kontrolliert man am besten nochmals. Außerdem kann man den Namen der Liste noch anpassen, so dass der Listenname die freigegebenen VPN Ports wiederspiegelt, dann kann man die Liste mit "OK" speichern:
Abschließend startet man die Fritzbox am besten neu.
Wenn der Freifunk-Router jetzt an Port 4 der Fritzbox angeschlossen wird, sollte er sich wieder mit den Gateways verbinden und befindet sich in seinem eigenen, vom Heimnetz getrennten Segment - alles wie es sein soll.
Anmerkung: Es ist nicht sinnvoll, eine MAC basierte Zugriffsregel für den Freifunk Router zu erstellen, da das WAN Interface des FF-Routers eine Bridge ist und sich deren MAC Adresse durch Updates ändern kann.
Veröffentlicht in Anleitungen am 30.09.2018
