Richtfunkstrecken

Oft kommt es vor, dass an einem Ort, an dem es keinen Internetanschluss gibt, ein freies WLAN gewünscht wird. In diesem Artikel wird erklärt, wie wir in Mössingen Richtfunkstrecken einsetzen, um Freifunk-Netze an Orten ohne Internetanschluss zu errichten.

Zwei Freifunkrouter können sich über eine Kabellose Mesh-Verbindung miteinander verbinden, sodass der Internetanschluss des einen Routers mit dem anderen Router geteilt werden kann. Um also Orte ohne Internetanschluss mit Freifunk zu versorgen, ist die Grundidee einfach, an beiden Orten einen Router mit Freifunk-Firmware aufzustellen, die sich dann per Funk miteinander verbinden.

Wenn die Orte nicht besonders weit auseinander liegen, kann das auch genau so funktionieren. Anders als bei einem Handy und einem Router in einem Gebäude, kann so eine Verbindung auch über einige 100 Meter klappen, denn Router haben größere Antennen als Handys und wenn zwischen den Routern freie Sicht herrscht (wenn also keine Gebäude oder Bäume dazwischen sind) reicht die Signalstärke auch für größere Distanzen aus.

Trotzdem sollte man bei solch großen Distanzen lieber auf Richtfunkgeräte setzen. Das sind prinzipiell auch nur Access Points, die aber outdoorfähig sind und deren Antennen und Sendeleistungen für ebendiesen Einsatz gemacht sind. Während normale WLAN-Router/APs ihr Signal nämlich in 360° abstrahlen, haben Richtfunkgeräte einen deutlich geringeren Öffnungswinkel (wir setzen oft Richtfunkgeräte mit ca. 40° Öffnungswinkel ein). Dadurch können Richtfunkgeräte sich sogar über ein paar Kilometer miteinander verbinden. Außerdem ist die Firmware der Richtfunkgeräte bereits dafür ausgelegt, dass sich die Richtfunkgeräte untereinander verbinden (was normale WLAN-Router ohne Freifunk-Firmware nicht machen würden).

Wenn man sich für Richtfunkgeräte entschieden hat, stellt sich immer noch die Frage, was für ein Netz die Geräte eigentlich übertragen sollen. Grundsätzlich gibt es drei Ziele:

1. Die Netzwerkgeräte (Richtfunkgeräte und Switches) sollten von einem möglichst privatem Netz aus erreichbar sein. Dadurch kann man die Geräte dann „von zu Hause aus“ konfigurieren und updaten, also ohne, dass man vor Ort sein muss. Das Netz sollte private sein, damit die Geräte besser vor Angreifern geschützt sind.
2. Es sollten sich mehrere Internetanschlüsse in das Mesh-Netz einbinden lassen, damit das Netz nicht offline geht, wenn der einzige Internetanschluss eine Störung hat oder wenn eine einzige Richtfunkstrecke ausfällt.
3. Alle Standorte sollten sich in einem großen Mesh-Netz befinden. So können Clients, die sich an unterschiedlichen Standorten befinden, untereinander Pakete auf direktem Wege austauschen.

Zum ersten Punkt hier noch eine Anmerkung: Wenn ein Angreifer an einem der Standorte physikalischen Zugriff zu den Richtfunkgeräten kriegt, kann er sich einfach mit einem Kabel mit dem Richtfunkgerät verbinden und er hätte somit Zugriff auf alle Netzwerke, die über die Richtfunkgeräte übertragen werden. Man sollte solche Netze deswegen immer als kompromittiert betrachten und alle Geräte bestmöglich absichern.

Hier werden nun zwei Möglichkeiten erläutert.

Die wohl einfachste Möglichkeit wäre, einfach das eigene Heimnetz, von dem aus das Internet zu erreichen wäre, zu übertragen. An jedem Standort würde man dann einen Freifunk-Router aufstellen, den man mit dem „Internet“ bzw. mit dem Heimnetz verbindet und die Router bauen dann selbst Mesh-VPN-Verbindungen zu den Gateways auf.

Schauen wir uns also die Bewertung der oben genannten Punkte an:

1. Wäre damit erfüllt, denn die Netzwerkgeräte befinden sich im eigenen Heimnetz und aus dem Freifunk-Netz hat man darauf keinen Zugriff.
2. Funktioniert damit nicht: Um mehrere Internetanschlüsse in dieses Netz zu integrieren, müsste man erst selbst noch Routingprotokolle so einrichten und konfigurieren, dass das möglich ist.
3. Klappt auch nicht, denn jeder Router baut seine eigene Mesh-VPN-Verbindung zu den Gateways auf - die Router an den verschiedenen Standorten können untereinander keine Mesh-Verbindung aufbauen. So müssten Pakete von einem Standort zuerst an ein Gateway gehen, bevor sie dann an den anderen Standort im Richtfunknetz geschickt werden.

Dazu kommt noch, dass man hier nicht wirklich das eigene Heimnetz versenden sollte, da ein Angreifer sonst möglicherweise Zugriff auf dieses erlangen könnte (siehe die obige Ergänzung zum ersten Punkt).

Insgesamt ist diese Option also recht ungeeignet.

Über die Richtfunkstrecken wird ein Mesh-Netz übertragen. Dazu steht ein Freifunk-Router am Hauptstandort, bei dem Mesh-On-LAN aktiviert ist. An den weiteren Standorten werden ebenfalls Router aufgestellt, bei denen dann Mesh-on-WAN aktiviert ist.

Hier wieder der Bewertung der drei Kriterien:

1. Wenn man nur das Mesh-Netzwerk übertragt, kann man die Netzwerkgeräte nicht erreichen, da man mit seinem Geräte ja nicht selbst im Mesh-Netz sein kann. Um die Geräte trotzdem erreichen zu können, kann man aber ein zweites Netzwerk übertragen, in dem diese Geräte dann sind. Dafür sollte man VLANs verwenden. Diese Erweiterung wird hier der Einfachhheit halber erst mal ignoriert.
2. Mehr Internetanschlüsse lassen sich schon fast integrieren: Man könnte an den anderen Standorten statt Mesh-on-WAN Mesh-on-LAN aktivieren und dann an den WAN-Ports einfach Kabel „mit Internet“ anschließen. Dann hätte man aber keine Ports mit Client-Netz mehr. Um also Internet, Mesh und Client zu haben, muss man die Netzwerkconfig des Routers von Hand umschreiben (Ab Firmware-Version 2023.1.1 sollte das auch in der Weboberfläche möglich sein). Das wird hier aber erst mal auch ignoriert.
3. Die Router können jetzt auf direktem Wege Nachrichten austauschen, da sie alle miteinander meshen.