UniFi WiFi Setup mit Freifunk Gast-Netz
Anforderungen:
- Internes WiFi Netz mit mind. 5 AccessPoints
- Gekapseltes (offenes) Gast-Netzwerk
- Richtfunkverbindung zu anderen Gebäuden
Als Hardware kommen UniFi Komponenten von Ubiquiti zum Einsatz.
Das Gast-Netzwerk wird durch ein Freifunk Setup realisiert.
Vorwort
Freifunk
Freifunk ist eine nicht-kommerzielle Initiative zum Aufbau von stadtweiten Datennetzen mit WLAN-Geräten.
Vision ist die Demokratisierung der Kommunikationsmedien durch freie Netzwerke.
Ablehung der Mitstörerhaftung.
Einer der großen Vorteile von Freifunk ist die Mesh Funktionalität. Andere Freifunk Geräte können sich mit unserem Netz verbinden und es erweitern.
Technisch gesehen sind für uns 3 Komponenten der Freifunk Implementierung relevant:
- Client Netz
Das Netzwerk für die Endverbraucher. SSID ist meist<community-name>.freifunk.net - Mesh Netz
Dieses Netzwerk wird zum Verbinden von Freifunk-Geräten verwendet und transportiert das Client Netz. SSID ist meistmesh.<community-name>.freifunk - Uplink (VPN)
Ein Uplink bindet Gateway Mesh-Knoten ein. Darüber wird der Internet-Traffic geroutet. Sie sind die Verbindung zum World Wide Web.
VLANs
VLANs kann man abstrakt als
virtuelle Unterteilung in separate Netzwerks (Switchs) verstehen. Im Gegensatz zu einem
Subnet (Layer 3) wird hier die Separation auf Layer 2 Ebene vorgenommen.
Die Segmenete werden durch IDs unterschieden wobei ID=1 als default-Wert angenommen wird.
Wichtig ist noch zu verstehen wer bzw wo die VLAN-ID gesetzt wird. Bei Linux wird der
Traffic oft durch ein spezielles Interface wie eth0.XX mit der VLAN-ID XX versehen.
Soll der Switch die VLAN-ID setzen, dann spricht man bei UniFi vom Native Network.
Technisches Konzept
Der Traffic wird über VLANs in eigene Bereiche gekapselt:
- Internets Netz: VLAN 1 (default)
- Freifunk Client Netz: VLAN 21
- Freifunk Mesh Netz: VLAN 22
Die UniFi AccessPoints spannen zwei WiFi Netzwerke auf, das interne und das Freifunk Client Netz.
Der DSL Router ist Teil des internen Netzes (VLAN 1).
Eine Freifunk-Firmware wird als virtuelle Maschine auf einem Server deployed. Sie baut die VPN Verbindung für den Uplink auf und stellt das Client und Mesh Netz bereit.
Die Outdoor AccessPoints sind eigene Freifunk-Router und werden per Mesh-on-LAN an die virtuelle Maschine angebunden. Sie strahlen das internes Netzwerk nicht aus.
Die UniFi APs versehen den Traffic zwischen WiFi und Kabel mit VLAN-Tags. Da die APs ihren management Traffic nicht auf ein bestimmes VLAN legen können und kein extra VLAN dafür vorgesehen ist wurde für das interne Netz VLAN 1 gewählt.
Natürlich ist dieses Setup auch auf andere Hardware übertragbar. Der Unifi-Switch ist nicht zwingend nötig.
UniFi Setup
VLANs
Unter Einstellungen => Netzwerke kann die VLAN Konfiguration vorgenommen werden.
Hier legt man ein vlan-only Netz mit ID 21 für Freifunk Client und eins mit ID 22
für Freifunk Mesh an.
Das ggf. schon existente Default kann man zur besseren Unterscheidung in Intern umbenennen.
WLAN
Unter Einstellungen => Drahtlose Netzwerke werden die WLAN Presets definiert.
Für die WLAN Netze intern und <community.freifunk.net> wird hier die Konfiguration angelegt.
Letzteres bekommt die VLAN ID 21.
Switch
Die Konfiguration der Ports am Switch unterscheidet sich nach dem Zweck des angeschlossenen Geräts:
- DSL-Router: internes Netz
- Server: alle Netze
- UniFi APs: internes Netz + FF-Client
- FF-Router: Mesh-Netz
- weitere interne Geräte: internes Netz
Dabei unterscheidet man zwischen Traffic welcher bereits die korrekte VLAN-ID besitzt und untagged Traffic. Im Linux-Server können Interfaces konfiguriert werden, welche den Traffic entsprechend auszeichnen. Für andere Devices kann dies der Switch übernehmen.
DSL-Router und andere interne Geräte
Für diese Ports wird das interne Netz zugewiesen. Es ist egal ob der Traffic bereits
getagged ist oder nicht.
Server
Da der Server Linux basierend ist kann er relativ einfach den Traffic selbst mit VLAN-IDs
versehen. Da hier der Freifunk Uplink betrieben werden soll muss neben dem internen Netz
auch das FF-Client und FF-Mesh VLAN verfügbar sein. Das kann entweder über einen Trunk
(alle VLANs) oder über explizite Konfiguration erreicht werden.
Für einen Trunk wird am Switch-Port des Servers als Networks/VLANs all gewählt.
UniFi APs
Die AccessPoints benötigen das interne Netz sowie FF-Client. Hierfür wird im UniFi
Controller beim Switch unter Config => Networks/VLANs ein weiteres Netzwerks mit Namen
WLAN hinzugefügt. Als Native Network kann Intern gewählt werden, zusätzlich wird
der Haken bei Freifunk Client gesetzt. Das neu angelegte Netzwerk kann den entsprechenden
Ports zugewiesen werden.
Der Management-Traffic des APs ist untagged und somit auch Teil des des internen Netzes.
Das ist wichtig für die Kommunikation mit dem UniFi Controller auf dem Server.
Freifunk Router
Weitere Freifunk Geräte können über Mesh over LAN angebunden werden. Hierfür ist das
VLAN 22 (FF-Mesh) Netz vorgesehen. Die Switch Ports an denen FF-Router angeschlossen sind
bekommen dieses VLAN zugeweisen.
Ergebnis
Das ggf. bestehende Netzwerk ist nun für Freifunk vorbereitet. Das interne Netzwerk funktioniert bereits wie erwartet. Verbindet man sich allerdings zum Freifunk-Netz bekommt man weder eine IP noch hat eine Internet Verbindung. Dafür muss ein Freifunk-Router auf dem Server installiert und mit den entsprechenden VLANs verbunen werden. Das Setup werde ich in einem folgenden Artikel behandeln.
Achtung! Bislang strahlen die AccessPoints nur das interne und das Freifunk-Client Netz aus. Es ist keine Verbindung zu anderen Freifunk Knoten möglich. In diesem Zustand wird gegen das Pico Peering Agreement verstosen worauf das Freifunk Prinzip aufbaut. Man muss mindestens eine Möglichkeit schaffen, damit sich andere Freifunk Knoten mit unserem Netzwerk verbinden können. Das Konzept sieht hierfür zwei Outdoor-APs vor welche per Mesh verbunden werden und eigenständige Knoten darstellen.
Dieses Beispiel ist anhand von UniFi Komponenten erstellt, natürlich lässt sich das Setup auf jedes VLAN fähige Netzwerk übertragen.