Richtfunkstrecken

Oft kommt es vor, dass an einem Ort, an dem es keinen Internetanschluss gibt, ein freies WLAN gewünscht wird. In diesem Artikel wird erklärt, wie wir in Mössingen Richtfunkstrecken einsetzen, um Freifunk-Netze an Orten ohne Internetanschluss zu errichten.

Zwei Freifunkrouter können sich über eine Kabellose Mesh-Verbindung miteinander verbinden, sodass der Internetanschluss des einen Routers mit dem anderen Router geteilt werden kann. Um also Orte ohne Internetanschluss mit Freifunk zu versorgen, ist die Grundidee einfach, an beiden Orten einen Router mit Freifunk-Firmware aufzustellen, die sich dann per Funk miteinander verbinden.

Wenn die Orte nicht besonders weit auseinander liegen, kann das auch genau so funktionieren. Anders als bei einem Handy und einem Router in einem Gebäude, kann so eine Verbindung auch über einige 100 Meter klappen, denn Router haben größere Antennen als Handys und wenn zwischen den Routern freie Sicht herrscht (wenn also keine Gebäude oder Bäume dazwischen sind) reicht die Signalstärke auch für größere Distanzen aus.

Trotzdem sollte man bei solch großen Distanzen lieber auf Richtfunkgeräte setzen. Das sind prinzipiell auch nur Access Points, die aber outdoorfähig sind und deren Antennen und Sendeleistungen für ebendiesen Einsatz gemacht sind. Während normale WLAN-Router/APs ihr Signal nämlich in 360° abstrahlen, haben Richtfunkgeräte einen deutlich geringeren Öffnungswinkel (wir setzen oft Richtfunkgeräte mit ca. 40° Öffnungswinkel ein). Dadurch können Richtfunkgeräte sich sogar über ein paar Kilometer miteinander verbinden. Außerdem ist die Firmware der Richtfunkgeräte bereits dafür ausgelegt, dass sich die Richtfunkgeräte untereinander verbinden (was normale WLAN-Router ohne Freifunk-Firmware nicht machen würden).

Wenn man sich für Richtfunkgeräte entschieden hat, stellt sich immer noch die Frage, was für ein Netz die Geräte eigentlich übertragen sollen. Grundsätzlich gibt es drei Ziele:

1. Die Netzwerkgeräte (Richtfunkgeräte und Switches) sollten von einem möglichst privatem Netz aus erreichbar sein. Dadurch kann man die Geräte dann „von zu Hause aus“ konfigurieren und updaten, also ohne, dass man vor Ort sein muss. Das Netz sollte private sein, damit die Geräte besser vor Angreifern geschützt sind.
2. Es sollten sich mehrere Internetanschlüsse in das Mesh-Netz einbinden lassen, damit das Netz nicht offline geht, wenn der einzige Internetanschluss eine Störung hat oder wenn eine einzige Richtfunkstrecke ausfällt.
3. Alle Standorte sollten sich in einem großen Mesh-Netz befinden. So können Clients, die sich an unterschiedlichen Standorten befinden, untereinander Pakete auf direktem Wege austauschen.

Zum ersten Punkt hier noch eine Anmerkung: Wenn ein Angreifer an einem der Standorte physikalischen Zugriff zu den Richtfunkgeräten kriegt, kann er sich einfach mit einem Kabel mit dem Richtfunkgerät verbinden und er hätte somit Zugriff auf alle Netzwerke, die über die Richtfunkgeräte übertragen werden. Man sollte solche Netze deswegen immer als kompromittiert betrachten und alle Geräte bestmöglich absichern.

Hier werden nun zwei Möglichkeiten erläutert.

Die wohl einfachste Möglichkeit wäre, einfach das eigene Heimnetz, von dem aus das Internet zu erreichen wäre, zu übertragen. An jedem Standort würde man dann einen Freifunk-Router aufstellen, den man mit dem „Internet“ bzw. mit dem Heimnetz verbindet und die Router bauen dann selbst Mesh-VPN-Verbindungen zu den Gateways auf.

Schauen wir uns also die Bewertung der oben genannten Punkte an:

1. Wäre damit erfüllt, denn die Netzwerkgeräte befinden sich im eigenen Heimnetz und aus dem Freifunk-Netz hat man darauf keinen Zugriff.
2. Funktioniert damit nicht: Um mehrere Internetanschlüsse in dieses Netz zu integrieren, müsste man erst selbst noch Routingprotokolle so einrichten und konfigurieren, dass das möglich ist.
3. Klappt auch nicht, denn jeder Router baut seine eigene Mesh-VPN-Verbindung zu den Gateways auf - die Router an den verschiedenen Standorten können untereinander keine Mesh-Verbindung aufbauen. So müssten Pakete von einem Standort zuerst an ein Gateway gehen, bevor sie dann an den anderen Standort im Richtfunknetz geschickt werden.

Dazu kommt noch, dass man hier nicht wirklich das eigene Heimnetz versenden sollte, da ein Angreifer sonst möglicherweise Zugriff auf dieses erlangen könnte (siehe die obige Ergänzung zum ersten Punkt).

Insgesamt ist diese Option also recht ungeeignet.

Über die Richtfunkstrecken wird ein Mesh-Netz übertragen. Dazu steht ein Freifunk-Router am Hauptstandort, bei dem Mesh-On-LAN aktiviert ist. An den weiteren Standorten werden ebenfalls Router aufgestellt, bei denen dann Mesh-on-WAN aktiviert ist.

Hier wieder der Bewertung der drei Kriterien:

1. Wenn man nur das Mesh-Netzwerk übertragt, kann man die Netzwerkgeräte nicht erreichen, da man mit seinem Geräte ja nicht selbst im Mesh-Netz sein kann. Um die Geräte trotzdem erreichen zu können, kann man aber ein zweites Netzwerk übertragen, in dem diese Geräte dann sind. Dafür sollte man VLANs verwenden. Diese Erweiterung wird hier der Einfachhheit halber erst mal ignoriert.
2. Mehr Internetanschlüsse lassen sich schon fast integrieren: Man könnte an den anderen Standorten statt Mesh-on-WAN Mesh-on-LAN aktivieren und dann an den WAN-Ports einfach Kabel „mit Internet“ anschließen. Dann hätte man aber keine Ports mit Client-Netz mehr. Um also Internet, Mesh und Client zu haben, muss man die Netzwerkconfig des Routers von Hand umschreiben (Ab Firmware-Version 2023.1.1 sollte das auch in der Weboberfläche möglich sein). Das wird hier aber erst mal auch ignoriert.
3. Die Router können jetzt auf direktem Wege Nachrichten austauschen, da sie alle miteinander meshen.

Auch wenn es vielleicht nicht so scheint, ist die zweite Möglichkeit deutlich besser. Auch, weil man hier nicht direkt sein Heimnetz über die Richtfunkgeräte verteilt - ein Angreifer hat hier erst mal nur Zugriff auf das Mesh-Netz, was ihm nicht viel bringt. Im folgenden wird der zweite Ansatz weiter ausgebaut.

Ausgangspunkt ist der zweite Ansatz, der oben diskutiert wurde.

Erst mal sollte gesagt werden, dass Netzwerkgeräte, wie Richtfunkgeräte und Switches, konfigurierbar sind (nicht alle Switches sind konfigurierbar). Um sie zu konfigurieren, kann man ihre Netzwerkoberfläche öffnen oder sich per SSH Zugriff verschaffen, so wie man es auch von normalen Routern kennt. Normalerweise hängt man aber direkt an dem Router dran, den man konfigurieren will und dieser hat dann meist die IP-Adresse 192.168.0.1. Wenn man aber ein Netzwerk mit mehreren solcher Geräte hat, benötigt jedes Gerät eine eigene Adresse. Das kann man in der Netzwerkoberfläche umstellen - dort wird oft von einer Management-IP-Adresse gesprochen.

Um die Netzwerkgeräte erreichen zu können, wird nun ein zusätzlich ein zweites Netz übertragen. Ein Netzwerk muss nicht extra „erzeugt“ werden - wenn man die Management-IP eines Geräts festlegt, dann hört es einfach auf dieser IP-Adresse. Man muss sich nur darum kümmern, das zwischen allen Geräten eines Netzwerks auch tatsächlich eine physikalische Verbindung besteht. Dazu sollten VLANs verwendet werden (ohne VLANs würde es theoretisch auch gehen, allerdings müsste man dann sichergehen, dass die IP-Subnetze sich nicht überschneiden). Es empfiehlt sich, das Management-Netz auf VLAN „1“ zu betreiben, da möglicherweise nicht alle Netzwerkgeräte das Ändern des Management-VLANs ermöglichen.

Da VLAN 1 nun für das Management-Netz benutzt wird, muss das Mesh-Netz auf einem anderen VLAN geführt werden. Standardmäßig hören Freifunk-Router aber nur auf VLAN 1. Hier hat man nun zwei Möglichkeiten: Entweder, man schreibt die Netzwerkkonfiguration von Hand so um, dass das Mesh-Netz auf einem anderen VLAN betrieben wird (ab Firmware-Version 2023.1.1 vielleicht auch per Weboberfläche möglich), oder aber, man schaltet vor den Freifunk-Router einen Switch, der die VLAN IDs für den Router extra hinzufügt oder entfernt (für vom Router ausgehende/an den Router eingehende Pakete). Da ein Switch sowieso für viele Dinge nützlich ist, wird hier die zweite Variante erklärt.

Um nun von „zu Hause aus“ auch in das Management-Netz zu kommen, benötigt man noch einen weiteren Switch, der eben zu Hause steht und die VLANs auf verschiedene Ports auftrennt. Dann kann man an diesen Switch einen Computer anschließen, bei dem man auch eine passende IP konfiguriert und von dem aus dann die anderen Geräte im Management-Netz erreichbar sind.

Um das Diagramm einfach zu halten (und damit ich nicht so viel malen muss) wird der dritte Standort hier weggelassen.

Wenn man den Switches im obigen Beispiel ebenfalls eine Management-IP-Adresse im Management-Netz gibt, so kann man diese ebenfalls aus dem Management-Netz erreichen.

In unserem Richtfunk-Netz in Mössingen ist der Freifunk-Router an Standort 1 übrigens eine VM auf einem dedizierten Offloader. Auf diesem Offloader läuft außerdem noch eine zweite VM, der Management Host, mit dem man sich mit einem Wireguard-VPN verbinden kann. Dadurch kann man sich von überall aus mit dem Management-Netz verbinden. Da der Offloader nicht beliebig viele Netzwerkanschlüsse haben kann, muss man hier mit VLANs arbeiten. Das Setup sieht dann ungefähr so aus: