Archiv:Nanostation loco
Diese Seite bezieht sich auf nicht mehr empfohlene Routermodelle. Inzwischen gibt es die Modelle der Reihe NanoStation loco M. Merke M! |
Warnung
Diese Konfiguration ist noch BETA ;-) Und trotz intensiver Bemühungen ist es mir mit dieser Firmwareversion nicht gelungen mit der GUI eine sinnvolle Firewallregel zu erstellen, mit ich verhindert hätte, dass man sich aus dem Freifunk-Netz in meinem Lan verlaufen kann. Hier ist echte Handarbeit notwendig. Wenn man die Loco trotzdem, wie von mir beschrieben, betreiben möchte, sollte man sicherstellen, dass alle Rechner im Netz ihre Firewall oben haben. Im Abschnitt Firewall steht ein HowTo für die Firewall, welches ich mit Hilfe der Berliner Mailingliste, insbesondere mit Hilfe von ~ JoW heraus gefummelt habe.
Vorwort
Die Nanostation2 Loco, ist die ideale Hardware für alle, die einfach nur ein Wölkchen in der großen freien Freifunk-Datenwolke werden wollen. Aber nicht ganz so einfach zu konfigurieren. Hier ein kleines HowTo wie es mir neulich geklückt ist. Dieser Text beschreibt eine mögliche Vorgehensweise. Sicher kommt man auch anders zum Ziel, aber so hat es geklappt. Seit heute morgen hängt das gute Stück bei mir im Fensterbankprobebetrieb und nach den Ferien (Ende August) soll das gute Stück bei uns in der Kantine meine internetsüchtigen Kollegen mit einem Uplink ins Internet versorgen. Die Loco ist so konfiguriert, dass sie sich die Uplink-Route per DHCP vom Router des Kantinenpächters holt und einen DHCP Splash und Freifunk anbietet.
SetUp
Mensch braucht
- erstens etwas Geduld
- zweitens die passende openWRT Firmware
- drittens eine Freifunk IP
Installation
Als erstes muss der Loco die Firmware eingehaucht werden. Ich habe mich für die gute alte tftp Methode entschieden. D.H.
- Firmware laden
- dann ein Terminal öffnen und in das Verzeichnis mit der Firmware wechseln
- dem Service Rechner eine IP im 192.168.1. Netz verpassen
- Rechner mit der Loco per Ethernetkabel verbinden
- Die Loco in den Upload Modus versetzen (Während des Einschaltens die Resettaste gedückt halten bis die LEDs anfangen rotgelbgrün zu blinken ca. 10 sek)
- Jetzt hört die Loco auf 192.168.1.20 (mal anpingen kann nicht schaden)
- dann:
tftp 192.168.1.20 >binary >rexmt 1 >put openwrt-loco.bin
Und Ruhe bewaren. Nach ein paar Sekunden sollte das tftp Programm melden, dass der Upload abgeschlossen ist. Zeit für ein kurzes Päuschen, denn jetzt dauert es ungefähr eine Minute bis man sich, mit einem Browser seiner Wahl, mit der Loco unter 192.168.1.1 wieder verbinden kann. Danach haben wir die Möglichkeit die Loco über die openWRT GUI zu konfigurieren. Ich erspare mir an dieser Stelle die gesamte openWRT Firmware zu erklären. Ich vermute, es gibt schon genug Doku zu diesem Thema. Ich beschränke mich darauf zu beschreiben, was ich gemacht habe, um die Loco an den Start zu bringen. Wer mit dieser Beschreibung nichts anfangen kann, dem empfehle ich den Kontakt zu einem erfahrenen Freifunker zu suchen. So trifft man sich in Berlin z.B. Mittwochs in der c-base.
Als erstes habe ich der Loco das Freifunken beigebracht. Die FirmwareGUI bietet dazu die Möglichkeit den Freifunk-Assistenten zu nutzen. Das ist eigentlich selbsterklärend. Ein wenig verwirrend ist vielleicht die Eingabe der Freifunk IP. Im ersten Feld trägt man die ersten beiden Stellen der IP ein (OHNE den Punkt hinter der zweiten Zahl), im zweiten die Dritte und im Dritten die Vierte (OHNE Punkt - Schöne Grüße aus Schilda). Jetzt hakt man noch die Felder für DHCP Splash, OLSR einrichten, Internet zu Verfügung stellen an und klickt dann auf absenden. Die Seite wechselt und wir bekommen eine Übersicht was alles geändert werden wird. Leider hat der Assitent keine sinnvolle ESSID eingetragen. Das holen wir nun nach. Im Menupunkt Schnittstellen findet sich zweimal (und wieder grüßen die Schildbürger) der Eintrag Wifi0. Wir wählen den zweiten Eintrag und tragen in das Feld ESSID einen sinnvollen Wert ein, für Berlin z.B. olsr.freifunk.net und klicken auf sichern bzw. save. Nun kann man unter dem Menupunkt Änderungen beherzt sichern&anwenden auswählen. Nun hat man sich eine Pause verdient, denn die Loco speichert und rebootet. Sollte sich die Loco nach zwei Minuten nicht zurückgemeldet haben, hilft die gute alte SteckerRausReinMethode um die Loco davon zu überzeugen einen ordentlichen Neustart zu absolvieren.
So jetzt kann die Loco funken und ist unter der FreifunkIP, welche ich zuvor im Assistenten eingetragen habe, per WLAN zu erreichen. Nun kann man das Ethernetkabel in das Lan einklinken. Aus dem Lan ist die Loco weiterhin unter 192.168.1.1 zu erreichen
Jetzt kommt der Trick mit dem WAN aus dem LAN per DHCP :-)
Im openWRT Menü gibt es das Feld Schnittstellen: Auf dieses klicken... Es öffnet sich eine Seite auf der man eine neue Schnitstelle mit dem Namen "wan" hinzufügen kann. Danach öffnet sich eine weiter Seite. Dort kann man diese Schnittselle mit DHCP auf eth0 einstellen und ein Häckchen bei Netzwerkbrücke machen. Dann wieder speichern&anwenden&pause
Wenn die Loco wieder aufnahmebereit ist, einen ordentlichen Neustart anstoßen. Das letzte SteckerRausRein (geht natürlich auch per tenet oder ssh reboot) ist wichtig, weil sonst der DHCP Server der Loco nicht hochfährt und die Loco keine IPs für die DHCP Kunden verteilt!!
Puh und fast fertig ;-) Mir ist es beim Testen vorgekommen, dass sich die Wan-Schnittstelle nach dem Reboot abgemeldet hat. Da muss man dann einfach die Schnittstelle noch einmal speichern und anmelden... Aber dann klappt es mit den Nachbarn :-)
Firewall
Nun, ich war erst einmal verwirrt dass man aus dem Freifunknetz mein Lan sehen konnte. Daher postete ich das Problem in der Berliner Mailing Liste. Als Antwort erhielt ich von ~JoW
Äh ja, ist ja auch normal das alles hinter dem NAT erreichbar ist, ist ja an deinem WAN-Port auch nicht so das du nur Zugriffe auf google.de zulässt und den Rest der Range ausklammerst... Du willst eine /etc/local.fw anlegen http://luci.freifunk-halle.net/UserDocs/Firewall und jeglichen Verkehr ausgehend vom Freifunk-Bereich im Forwarding auf die IP deies Default-Gateways beschränken. ~ JoW
Um also zu verhindern dass man sich aus dem Freifunk-Netz in seinem Lan verlaufen kann muss man den Anweisungen auf http://luci.freifunk-halle.net/UserDocs/Firewall folgen und der Loco eine Datei mit dem Namen: firewall.user in das Verzeichnis /etc/ schreiben. Und die Firewall neu starten. Bei meiner Konfiguration musste in dieser Datei folgendes stehen:
# Erstmal alles im LAN-Subnetz verbieten: iptables -I zone_wan_ACCEPT -i br-wifi0 -o eth0 -d 192.168.5.0/24 -j REJECT # Gateway freigeben (durch -I landet das _vor_ der anderen Rule): iptables -I zone_wan_ACCEPT -i br-wifi0 -o eth0 -d 192.168.5.1 -j ACCEPT
Wobei zu Beachten ist, dass die Einträge für das Netzwerk (192.168.5) und der Eintrag br-wifi0 eventuell für eine andere Konfiguration angepasst werden müssen. Zitat JoW:
Noch ne Anmerkung: "br-wifi0" ist *normalerweise* ath0 Es wird nur zu "br-wifi0" wenn du in der Gui das Bridge-Häkchen setzt
Wem das ganze zu verwirrend erscheint, oder was besser weiß, den bitte ich um Korrektur. Fragen, Tipps oder Anregungen an julius (dot) gruhlstein (ät) berlin (dot) de