Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 2 – Freifunk Grundlagen & Ist-Aufnahme

Freifunk Grundlagen

Bevor es im nächsten Schritt um die Ist-Aufnahme geht, möchte ich ein paar Grundlagen zur Funktionsweise des Freifunk Netzes erläutern. Freifunk steht für freie Kommunikation in digitalen Datennetzen. Wir verstehen frei als öffentlich zugänglich, nicht kommerziell, im Besitz der Gemeinschaft und unzensiert (Pico Peering Agreement). Jeder Bürger kann bei diesem Netz mitmachen und sich einbringen.
Normalerweise werden einzelne Router mit der FFNW-Firmware bespielt. Diese werden als zusätzliche Geräte an bestehende Router in Hausnetzen angeschlossen. Dort strahlen sie das Freifunknetz mit der SSID nordwest.freifunk.net sowie die IBSS mesh.ffnw aus. Jeder Freifunkrouter dient dabei als erweiterte Antenne für einen sog. Gatewayserver. Dieser steht in einem Rechenzentrum und vergibt DHCP Adressen an Clients wenn diese sich in das nordwest.freifunk.net Netzwerk einwählen. Die Verbindung zwischen Freifunkrouter und Gatewayserver findet durch ein virtuelles Bridgeinterface statt. Dieses baut einen VPN Tunnel zum Gateway auf. Steht kein eigener Internetzugang zur Verfügung, so kann die Verbindung via WLAN über einen sich in Reichweite befindenden AccessPoint erfolgen. Dies nennt sich Meshing. Freifunk Nordwest ist als Netzbetreiber bei der Bundesnetzagentur gelistet und haftungsrechtlich ähnlich einzuordnen wie Telekom, Vodafone, EWE oder andere Netzbetreiber. Jeglicher Traffic wird über Freifunk geleitet. Das Risiko der Störerhaftung fällt damit weg.

Ist-Aufnahme

WLAN Ausleuchtung an den BBS Haarentor.

Die BBS Haarentor bestehen aus zwei Gebäuden,
verbunden mit einem Glasfaserkabel. Mitte 2016 wurde die in die Jahre gekommene WLAN Hardware durch neue Geräte ersetzt. In beiden Gebäuden befinden sich jetzt AccessPoints, die für volle Ausleuchtung sorgen. Sie werden von einem WLAN Controller verwaltet. WLAN Gast Tickets werden auf dem Controller vergeben. Das Gastnetz befindet sich in einem abgetrennten VLAN.

Soll-Konzeption

Das vorhandene Gastnetz wird durch das Freifunknetz ersetzt. Das bestehende VLAN für das Gastnetz kann weiter genutzt werden und es müssen nur minimale Änderungen am VLAN Tagging der Switche vorgenommen werden.
Bei Einzelinstallation von Freifunkroutern ist es normal, dass der einzelne Router die VPN Verbindung zum Gateway aufbaut. In größeren Installationen ist das nicht sinnvoll. Dort sollte ein einziger Router die VPN Verbindung stellvertretend für alle AccessPoints aufbauen. Zudem läuft die Freifunkfirmware nicht auf jeder Enterprise Hardware, da viele Hersteller ihren Softwarecode nicht unter eine Open Source Lizenz stellen. An dieser Stelle kommt der sog. Offloader ins Spiel. Dieser baut stellvertretend für alle AccessPoints einen VPN Tunnel zum Gateway auf. Der Offloader hat ausreichend Leistung, um performanten Netzzugang sicherzustellen. In meinem Fall ist der Offloader als virtuelle Maschine realisiert, damit keine weitere Hardware nötig ist. Auf der Website von FFNW werden fertige Images für virtuelle Maschinen im Format von VmWare, Xen, Virtual Box oder KVM zum Download angeboten. Diese können mit wenig Aufwand in bestehende Infrastrukturen eingebaut werden. Die Images lassen sich erfahrungsgemäß auch problemlos auf regulärer x86 Hardware installieren. Ob dedizierte Hardware bei 64MB RAM Auslastung sinnvoll ist, hängt vom Einzelfall ab.
Auf der Firewall wird für die Offloader VM ein eigenes Interface angelegt. Dies erlaubt es verlässliche Statistiken über Auslastung, Trafficverbrauch etc. abzufragen.

Fortsetzung Morgen.
Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 3 – Schutz der Jugend durch Webfilter?

1 thought on “Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 2 – Freifunk Grundlagen & Ist-Aufnahme”

Schreibe einen Kommentar