Freifunk Router am Gastzugang einer Fritzbox

 

Um einen Freifunk Router vollständig aus dem Heimnetz zu entkoppeln bieten viele aktuellen Modelle der Fritzbox die Möglichkeit an, das WLAN-Netzwerk des Gastzugangs zusätzlich auf den Lan-Port 4 zu schalten. An diesem kann dann der Freifunk Router direkt mit dem WAN-Port angeschlossen werden. Leider geht das zumindest bei einigen Fritzbox-Modellen nur, wenn das eingebaute Modem (nicht ein Ethernet-Uplink) als Internetverbindung genutzt wird.

bild1

Der Gastzugang der Fritzbox hat einen anderen, nicht veränderbaren, IP-Adressbereich (192.168.179.0/24) als das Heimnetzwerk der Fitzbox und stellt somit eine logische Trennung dieser Netzwerke dar. Für den Gastzugang einer Fritzbox können aber noch zusätzliche Regellisten erstellt werden, um den Gastzugang nur zum Surfen und Mail verwenden zu können. Die von AVM voreingestellte List “alles außer Sufen und Mailen” beinhaltet einen Negativ-Filter, welcher alle anderen Ports sperrt. Wenn diese Liste am Gastzugang aktiv ist funktioniert der Freifunk Router nicht, da alle UDP-Ports gesperrt sind. Um diese Sperrliste trotzdem mit Freifunk Router zu verwenden, müsste diese modifiziert werden.

Alternativ bietet sich aber auch an, eine eigene Sperrliste für den Betrieb eines Göttinger Freifunkknotens anzulegen und diese für den Gastzugang zu aktivieren, so dass der Freifunk-Router gar nichts anderes machen kann, als sich mit den VPN-Gateways zu verbinden. Der Freifunk-Router sollte zwar von sich aus nichts anderes versuchen, aber wir empfehlen diesen Ansatz, um einfach auf Nummer sicher zu gehen.

bild2b

Hierzu wählt man im Menü “Internet” – “Filter” und selektiert dann den Reiter “Listen”. Unter “Netzwerkanwendungen” kann man auf “Netzwerkanwendung hinzufügen” klicken um eine neue Liste für den Anschluss des Freifunk Routers zu erstellen, oder zum Verändern der “alles außer Sufen und Mailen“-Liste auf den entsprechenden Knopf klicken. Das Bild zeigt, wie dieser Dialog aussieht, wenn eine eigene Liste schon erzeugt wurde.

bild3b

Damit sich der Göttinger Freifunkknoten mit den VPN Gateways verbinden kann, muss die Fritzbox dem Freifunkrouter erlauben, UDP-Pakete an Ports 12345-12355 rauszulassen. Das heißt, wir können über so eine eigene Liste alle anderen Dienste sperren.

Nicht vergessen, die neue Sperrliste auch für den Gastzugang zu aktivieren. Das müsste dann so aussehen:

bild4b

(Dieser Text kommt ursprünglich aus dem Freifunk-Franken Wiki, wurde stark für Freifunk Göttingen angepasst und ist unter derselben Creative Commons Lizenz verfügbar: „Namensnennung, Weitergabe under den gleichen Bedingungen“.)

16 thoughts on “Freifunk Router am Gastzugang einer Fritzbox”

  1. Braucht ihr vielleicht einen neuen Screenshot für die Anleitung, auf dem NUR die UDP-Ports 12345-12355 drauf sind?

    Nicht, dass irgendwer auch 1-12345 und 12356-65535 freigibgt, und wömöglich auch den ganzen anderen Kram.

    Ich persönlich finde die Lösung, dass über den Gast-Account zu machen sehr attraktiv. Fritzboxen sind weit verbreitet, und ich vermute die Netze hart zu trennen beruhigt als Argument gegen vorgebrachte Bedenken ganz gut.

    1. Hallo Luther! Ja, früher oder später wollte ich die Screenshots hier ergänzen. Ich habe meine Fritzbox jetzt auch so laufen, dass nur noch diese Ports per UDP durchgelassen werden und sonst nichts. Der Aufwand für diese Screenshots hält sich also in Grenzen. Wahrscheinlich möchte ich dann den Text auch noch etwas anpassen.

      1. Ah, fein – sonst hätt ich bei Gelegenheit mal einen geschickt. Ich muss eh mal bei eurer Sprechstunde aufkreuzen, so’n paar offene Fragen hab ich denn da doch noch…

        1. So! Jetzt sind da auch Screenshots, die zur Empfehlung passen. Statt bis zur nächsten Sprechstunde zu warten, kannst Du Dich auch einfach auf der Mailingliste des Göttinger CCCs eintragen und da fragen. :)

          1. Im Screenshot sind jetzt immer noch 1-65535 für TCP und 1-12344 für UDP offen. Im Text steht, nur 12345-12355 für UDP offen zu lassen sei sinnvoll.

            Äh. Was denn nun? ^^

          2. Der Screenshot zeigt eine Liste mit dem Namen “alles außer FFGOE VPN Gateways”. Dementsprechend umfasst das alles außer UDP Port 12345-12355. Warum das so ist, wird klar, wenn Du Dir das letzte Bild nochmal genau anguckst. Da steht nähmlich in der letzten Spalte “gesperrte Anwendungen”. Die Liste wird also als Blacklist verwendet und sollte all das enthalten, was Du nicht möchtest.

    2. Ich habe meine Fritzbox 7270 nach dieser Anleitung eingerichtet.
      Wie kann ich mich denn nun per WLan mit diesem Gastzugang verbinden? In der Liste der verfügbaren WLans wird nur meine schon vorher existierende SSID angezeigt.

      1. Hallo mt! Die Idee ist es, auf diesem Wege dem Freifunkrouter in dem einzuschränken, was er tun kann. Wenn Du deinen Freifunkrouter per LAN an den Gastzuganzsport der Fritzbox hängst und diese so wie oben konfiguriert hast, dann kann der Freifunkrouter nichts anderes machen, als sich mit dem Göttinger Freifunk VPN zu verbinden. Gäste können dann einfach das Freifunk-Netz ohne Passwort benutzen.

        1. Ah, ok.
          Das heißt, ich benötige in jedem Fall einen zweiten WLan-Router, den ich über den LAN-4-Anschluss mit meiner Fritzbox verbinde. Über die SSID dieses zweiten Routers verbindet man sich dann (ohne Passwort) über die Fritzbox (Gastzugang) mit dem Freifunk-Netz. Richtig?
          Kann dieser zweite WLan-Router dann auch eine (ältere) Fritzbox sein, oder sind die TP-Link-Router mit modifizierter Firmware erforderlich?

          1. Das ist richtig. Erst die spezielle Firmware macht einen WLAN-Router zu einem Freifunkrouter. Unter Hilfe+Info/FAQ findest Du auch eine Antwort auf die Frage nach den unterstützten Geräten. Fritzboxen sind leider nicht dabei.

  2. Hallo,

    anbei finde ich die Lösung über eine Firewall sehr attraktiv, mir erscheint nur nicht warum man soviele Ports benötigt. Reicht nicht ein einziger Port aus? Hat jemand dafür ne Erklärung für mich?

    vielen Dank schon mal

    Gruß Tobias

    1. Hallo Tobias. Aktuell wird tatsächlich nur ein Port verwendet: 12345. Wir wollten mit dieser Empfehlung nur zukunftssicher bleiben, falls wir mit neueren Firmware Updates mal mehr brauchen sollten.

  3. Ich habe meinen Freifunk-Router mit dem beschriebenen Portfilter m Gastzugang der Fritzbox angeschlossen und festgestellt, dass damit die Netzwerkgeschwindigkeit auf etwa ein 1/10 fällt (auf 400-600 Kb/sek).
    Ist das normal oder habe ich einen Konfigurationsfehler gemacht?
    Ist die schnellere Konfiguration ohne Portfilter aber mit einer URL-Filterliste (als Werbefilter) für den Nutzer und mich genauso anonym und sicher?

    Danke fürs lesen und eine Antwort
    Ralf

    1. Das ist nicht normal, die Geschwindigkeit muss unverändert bleiben.

      Und nein, die URL-Filterliste erfüllt einen ganz anderen Zweck.

Leave a Reply

Your email address will not be published. Required fields are marked *