| Nächste Überarbeitung | Vorhergehende Überarbeitung |
| anleitungen:client_mesh_netz [2023/11/04 20:21] – angelegt epkrichi | anleitungen:client_mesh_netz [2023/11/13 14:09] (aktuell) – Abschnitt zur Störerhaftung überarbeitet epkrichi |
|---|
| Wer sich mit seinem Handy schon mal mit einem "Freifunk" genannten WLAN-Netzwerk verbunden hat, ist mit dem Clientnetz bereits vertraut. Es ist das Netzwerk, über das man das Internet erreichen kann. Auch wenn man sich mit einem Kabel an einen der meist gelben Anschlüsse eines WLAN-Routers verbindet, ist man normalerweise mit dem Clientnetz verbunden. Doch Freifunk-Router verwenden zusätzlich noch ein weiteres Netzwerk: Das Meshnetz. | ====== Client- und Meshnetz ====== |
| | Wer sich mit seinem Handy schon mal mit einem Freifunk-WLAN verbunden hat, ist mit dem Clientnetz bereits vertraut. Es ist das Netzwerk, über das man das Internet erreichen kann. Auch wenn man sich mit einem Kabel an einen der LAN-Ports (meist die gelben Anschlüsse) eines WLAN-Routers verbindet, ist man normalerweise mit dem Clientnetz verbunden. Doch Freifunk-Router verwenden zusätzlich noch ein weiteres Netzwerk: Das Meshnetz. |
| |
| Beim Meshen geht es darum, dass sich Router untereinander direkt verbinden - also nicht über das Internet, sondern über eine direkte Kabel- oder Funkverbindung. Dadurch können die Nutzer solcher miteinander meshenden Router Daten miteinander austauschen, ohne dass diese über das Internet geleitet werden. Das Meshing bietet aber auch einen anderen Vorteil: Ist ein Router mit dem Internet verbunden, so können alle anderen Router des Mesh-Netzes ebenfalls das Internet erreichen. Man teilt also seine Internetverbindung mit anderen. So kann man auch an Orten ohne eigenen Internetzugang ein WLAN mit Internet haben. Damit Freifunk-Router aber meshen und untereinander Daten austauschen können, müssen diese sich natürlich auch in einem gemeinsamen Netzwerk befinden. Dazu erstellen Freifunk-WLAN-Router ein WLAN-Mesh-Netz. In den Einstellungen des Routers kann man aber auch Mesh-on-LAN und Mesh-on-WAN aktivieren. Durch Mesh-on-LAN erreicht man über die (normalerweise gelben) LAN-Ports eines Routers nicht mehr das Client-Netz, sondern das Mesh-Netz. Mit Mesh-on-WAN wird dagegen über den (normalerweise blauen) WAN-Port keine Internetverbindung mehr erwartet, sondern über den Port ist dann ebenfalls eine Mesh-Verbindung möglich. | Beim Meshen geht es darum, dass sich Router untereinander direkt verbinden - also nicht über das Internet, sondern über eine direkte Kabel- oder Funkverbindung. Dadurch können die Nutzer solcher miteinander meshenden Router Daten miteinander austauschen, ohne dass diese über das Internet geleitet werden. Das Meshing bietet aber auch einen anderen Vorteil: Ist ein Router mit dem Internet verbunden, so können alle anderen Router des Mesh-Netzes ebenfalls das Internet erreichen. Man teilt also seine Internetverbindung mit anderen. So kann man auch an Orten ohne eigenen Internetanschluss ein WLAN mit Internetzugang anbieten. Damit Freifunk-Router aber meshen und untereinander Daten austauschen können, müssen diese sich natürlich auch in einem gemeinsamen Netzwerk befinden. Dazu erstellen Freifunk-WLAN-Router ein WLAN-Mesh-Netz. In den Einstellungen des Routers kann man aber auch Mesh-on-LAN und Mesh-on-WAN aktivieren. Durch Mesh-on-LAN erreicht man über die LAN-Ports eines Routers nicht mehr das Client-Netz, sondern das Mesh-Netz. Mit Mesh-on-WAN wird dagegen über den (normalerweise blauen) WAN-Port keine Internetverbindung mehr erwartet, sondern über den Port ist dann ebenfalls eine Mesh-Verbindung möglich. |
| |
| Dazu mal ein Beispiel: Ein Geschäft hat hinten im Laden einen Internetanschluss und möchte damit einen Freifunk-Router betreiben. Dazu schließt man einen Router mit der Freifunk-Firmware an den Internetanschluss an. Nun erzeugt der Router ein "Freifunk" genanntes Netzwerk - ein Clientnetz. Kunden können sich mit dem WLAN verbinden und haben dadurch Internet. Vorne im Laden ist der Empfang allerdings recht schlecht. Um das zu verbessern, wird noch ein zweiter Router vorne im Laden aufgestellt. Router haben größere Antennen als Handys und somit reicht die Signalstärke für den zweiten Router aus, um eine stabile Mesh-Verbindung mit dem hinteren Router zu erstellen. Der zweite Router agiert dann wie ein Repeater. Für diese Schritte musste man übrigens keine besonderen Einstellungen am Router ändern - Freifunk meshen über die Funk-Schnittstelle standardmäßig miteinander. Nun möchte ein benachbartes Geschäft ebenfalls Freifunk anbieten, aber das Geschäft hat keinen eigenen Internetanschluss. Leider sind die Wände zwischen den Geschäften so dick, dass zwei Router keine stabile Funk-Mesh-Verbindung herstellen können. Deswegen wird ein LAN-Kabel zwischen den Geschäften verlegt. Im ersten Geschäft wird dieses Kabel dann an einen der gelben Anschlüsse des Routers angeschlossen. Zusätzlich wird in den Einstellungen noch "Mesh-on-LAN" aktiviert, damit die gelben Anschlüsse sich im Mesh-Netz befinden. Im anderen Geschäft kann man sich nun aussuchen, ob man das Kabel mit dem blauen oder mit einem der gelben Ports verbindet. Im ersten Fall müsste man "Mesh-on-WAN" aktivieren, im zweiten Fall dagegen "Mesh-on-LAN". Die Einstellungen unterscheiden sich nur darin, dass das Mesh-on-LAN das Mesh-Netz auf den gelben Ports aktiviert und Mesh-on-WAN aktiviert es auf dem blauen Port - aber Mesh ist Mesh und es ist auch egal, an welchen Port das Kabel auf der anderen Seite angeschlossen ist. Entscheidet man sich aber für Mesh-on-WAN, so hat das den Vorteil, dass man an die gelben Ports noch Computer und Laptops anschließen kann, da diese sich im Client-Netz befinden. | ===== Ein Beispiel ===== |
| |
| Dazu mal ein Beispiel: | Ein Geschäft möchte bei Freifunk mitmachen. Da das Geschäft einen Internetanschluss hat, kann es dort einfach einen Freifunk-Router mit seinem WAN-Port anschließen. Der Router erstellt dann ein Freifunk-WLAN, mit dem sich die Kunden verbinden können. Um den Empfang zu verbessern, soll noch ein zweiter Router an einer anderen Stelle im Laden aufgestellt werden. Wenn die Router nicht zu weit auseinander sind (und wenn sich dazwischen möglichst keine dicken Wände befinden), können die Router einfach per Funk miteinander Meshen. Der zweite Router agiert sozusagen als Repeater und wer mit ihm verbunden ist, hat dann ebenfalls Internet. |
| |
| Ein Geschäft möchte bei Freifunk mitmachen. Da das Geschäft einen Internetanschluss hat, kann es dort einfach einen Freifunk-Router mit dem blauen Anschluss (WAN Port) anschließen. Der Router erstellt dann ein Freifunk-WLAN, mit dem sich die Kunden verbinden können. Um den Empfang zu verbessern, soll noch ein zweiter Router an einer anderen Stelle im Laden aufgestellt werden. Wenn die Router nicht zu weit auseinander sind (und wenn sich dazwischen möglichst keine dicken Wände befinden), können die Router einfach per Funk miteinander Meshen. Wer mit dem zweiten Router verbunden ist, hat dann trotzdem Internet. | Nun möchte ein Geschäft nebenan auch bei Freifunk mitmachen. Da die Wände zwischen den Geschäften aber zu dick sind, entsteht keine stabile Funkverbindung zwischen den Routern. Stattdessen kann man ein Loch durch die Wand bohren und die Router mit einem Kabel verbinden. Auf dem Router im ersten Geschäft wird das Kabel an einen LAN-Port angeschlossen und es wird Mesh-on-LAN in den Einstellungen angestellt, um Meshing über die LAN-Ports zu aktivieren. Im zweiten Geschäft wird das Kabel an den WAN-Port des Routers angeschlossen und es wird Mesh-on-WAN aktiviert, um Meshing über den WAN-Port zu aktivieren. Nun meshen die Router miteinander und auch im zweiten Geschäft gibt es ein Freifunk-WLAN, über das das Internet erreichbar ist. |
| |
| Nun möchte ein Geschäft nebenan auch bei Freifunk mitmachen. Da die Wände zwischen den Geschäften aber zu dick sind, entsteht keine stabile Funkverbindung zwischen den Routern. Stattdessen kann man ein Loch durch die Wand bohren und die Router mit einem Kabel verbinden. Auf dem Router im ersten Geschäft wird das Kabel an einen gelben Anschluss (LAN-Port) angeschlossen und es wird Mesh-on-LAN in den Einstellungen angestellt, um Meshing über die LAN-Ports zu aktivieren. Im zweiten Geschäft wird das Kabel an den WAN-Port des Routers angeschlossen und es wird Mesh-on-WAN aktiviert, um Meshing über den WAN-Port zu aktivieren. Nun meshen die Router miteinander und auch im zweiten Geschäft gibt es ein Freifunk-WLAN, über das das Internet erreichbar ist. | Man hätte das Kabel im zweiten Geschäft übrigens theoretisch auch an einen LAN-Port anschließen können, wenn man Mesh-on-LAN aktiviert - Mesh ist Mesh und an welchen Anschluss das Kabel auf der anderen Seite angeschlossen ist, ist auch egal. Schließt man das Kabel aber an den WAN-Port an, so ist auf den LAN-Ports immer noch das Client-Netz aktiviert und man könnte hier z.B. einen Computer anschließen. |
| |
| Man hätte das Kabel im zweiten Geschäft übrigens theoretisch auch an einen LAN-Port anschließen können, wenn man Mesh-on-LAN aktiviert - Mesh ist Mesh und an welchen Anschluss das Kabel auf der anderen Seite angeschlossen ist, ist egal. Schließt man das Kabel aber an den WAN-Port an, so ist auf den LAN-Ports immer noch das Client-Netz aktiviert und man könnte hier z.B. einen Computer anschließen. | {{ :anleitungen:mesh-beispiel.drawio.svg |}} |
| | |
| | Router können übrigens mit mehreren anderen Routern gleichzeitig Mesh-Verbindungen aufbauen. Wenn mehrere Router in einem Mesh-Netz mit dem Internet verbunden sind, wählt das [[https://de.wikipedia.org/wiki/B.A.T.M.A.N.|B.A.T.M.A.N. Protokoll]] die beste Route für die Pakete aus. Mehrere solcher Router mit Internetzugang sind auch gut für die Redundanz - fällt ein Router mal aus, können die Pakete einfach über einen anderen Router ins Internet geleitet werden. |
| | |
| | Mesh-Verbindungen werden auf der Karte als farbige Striche eingezeichnet. Rot steht für eine schlechte Verbindungsqualität, grün dagegen für eine gute Verbindung. |
| | |
| | {{ :anleitungen:map_mesh_verbindungen.png?800 |}} |
| | |
| | Wählt man einen Router aus, so wird links auch angezeigt, welcher Router der nächste auf dem Weg ins Internet ist. Dieser wird als "nächster Hop" bezeichnet. Falls der Router selbst mit dem Internet verbunden ist, steht hier direkt das gewählte Gateway - das steht dann rechts daneben in jedem Fall nochmal. |
| | |
| | {{ :anleitungen:map_mesh_next_hop.png?400 |}} |
| | |
| | ===== Gateways ===== |
| | |
| | Wie bereits gesagt, kann man mit seinem Gerät andere Geräte, die mit Routern verbunden sind, die mit dem eigenen Router (indirekt) meshen, erreichen. Eigentlich würde man aber gerne alle Geräte erreichen, die irgendwo mit einem Freifunk-Router verbunden sind. Dazu können sich Router, die mit dem Internet verbunden sind, über eine Mesh-VPN-Verbindung mit einem Gateway verbinden. Gateways sind Server, die von der Freifunk-Community (bei uns [[https://freifunk-3laendereck.net/ | Freifunk Dreiländereck]]) betrieben werden. Ein VPN ist ein virtuelles Netzwerk. Im Falle von Freifunk wird das VPN dazu genutzt, eine Mesh-Verbindung zu einem Gateway aufzubauen, obwohl eigentlich keine direkte Funk- oder Kabelverbindung zwischen Router und Gateway besteht. Dadurch können sich dann auch Geräte erreichen, die eigentlich gar nicht mit miteinander meshenden Routern verbunden sind. |
| | |
| | ===== Offloader ===== |
| | |
| | Ein Router, der mit dem Internet verbunden ist, schickt Pakete niemals direkt an das eigentliche Ziel, sondern zuerst mal an die Gateways. Einer der Hauptgründe dafür war und ist die Umgehung der [[https://de.wikipedia.org/wiki/St%C3%B6rerhaftung#WLAN-Betreiber|Störterhaftung]] - die besagte nämlich grob gesagt, dass dem Betreiber eines öffentlichen WLANs für die Aktivitäten seiner Nutzer (z.B. für das illegale Herunterladen eines Films) ein Unterlassungsanspruch gestellt werden kann. Damit sind unter Umständen Kosten verbunden und der Betreiber muss möglicherweise sein öffentliches WLAN abschalten oder die Nutzerdaten erfassen. 2016/17 gab es dazu Änderungen, aber es herrscht noch immer keine Rechtssicherheit für die Betreiber öffentlicher WLANs. Freifunk umgeht dieses Problem, indem alle Daten, die in das Internet gehen sollen, zuerst über die Gateways geleitet werden. Die Server, zu denen eigentlich gesurft wird, sehen daher immer nur die IP-Adressen der Gateways. Da auf den Gateways keine Daten darüber, welcher Nutzer wohin gesurft hat, gespeichert werden, kann der Gateway-Betreiber auch keine Auskunft über den Verursacher herausgeben. Es kommt aber selten dazu, dass Nutzer das für illegale Handlungen missbrauche (siehe [[https://freifunk-3laendereck.net/transparenzbericht/|Transparenzbericht]]) - schließlich könnte man dazu auch jeden anderen VPN-Anbieter (dem man vertraut, dass er die eigenen Daten nicht speichert) wählen. Außerdem werden die Daten, die über die Mesh-VPN-Verbindung von einem Router zu einem Gateway geschickt werden, vom Router verschlüsselt. Das wird getan, damit der eigene Internetanbieter nicht überwachen kann, was die Nutzer des Freifunk-Routers im Internet tun. Die Mesh-VPN-Verbindung und die Verschlüsselung übernimmt übrigens im Moment noch [[https://wiki.freifunk.net/Fastd|fastd]], wobei [[https://ffmuc.net/freifunkmuc/2020/12/03/wireguard-firmware/|einige Communities]] mittlerweile auf Wireguard setzen. Den Prozess, die Daten zu verschlüsseln und an ein Gateway zu schicken, nennt man übrigens "Offloading". Da fastd ironischerweise ziemlich langsam ist, nimmt man bei größeren Installationen auch oft dedizierte Offloader - das sind einfach normale Computer, die dann die Verschlüsselung übernehmen und die dabei schneller sind als normale Router. Die Gateways sind also nicht nur dazu da, verschiedene "Mesh-Inseln" miteinander zu verbinden. |