Die Alternative zu Freifunk

  • besser
  • schneller
  • transparenter
  • sicherer
  • einfacher

Da seit dem 01. August 2016 kein Abmahnrisiko mehr besteht, siehe HIER, hat sich die Notwendigkeit für offenes WLAN mit Freifunk-Firmware als Schutz gegen Abmahnungen erledigt, und die damit verbundenen Beschränkungen in Bandbreite, Verfügbarkeit, Zuverlässigkeit, personeller Sicherheit und Vertrauenswürdigkeit der agierenden Personen brauchen nicht mehr in Kauf genommen zu werden.

Freifunk ist wieder das, was es früher war: nur noch ein Spielzeug für Nerds, das sich diese gerne unter dem Glimmer der Idealisierung und vorgeblichen Gemeinnützigkeit von anderen finanzieren lassen. Tatsächlich ist beides in der Realität aber fragwürdig.

Sicherlich war Freifunk eine technisch interessante Lösung, aber für all jene, die keine Linux- und OpenWRT-Insider sind, für Gewerbetreibende, Behörden, andere, die Wert auf Zuverlässigkeit und zumindest Semi-Professionalität legen und eine sichere Vertrauensbasis suchen, ist das zumindest bei uns, d.h. Leichlingen, Burscheid, Odenthal, Bergisch Gladbach, keine Lösung, nur ein Irrtum. Es gibt seit dem 01. August. 2016 keinen sachlichen Grund mehr, offenes WLAN mit Freifunk-Firmware zu betreiben.

Denn wenn sogar schriftliche Vereinbarungen (siehe HIER), die wortwörtlich abgestimmt wurden und aufgrund derer zweckgebundene, projektbestimmte, steuerbegünstige Spenden von ca. €1.000,- flossen, nach Gusto eines in einer technischen Schlüsselposition stehenden 14jährigen (stellv. Geschäftsführer der Schülerfirma des Landrat-Lucas-Gymnasiums in Leverkusen ) einfach annulliert werden, weil er sich nicht kontrollieren lassen will, ohne dass daraufhin der Verein als Aussteller der Spendenbescheinigung und der Vater hier aktiv werden, sondern solch ein Sabotieren eines Projektes der drei Kommunen Leichlingen, Burscheid, Odenthal und des Wirtschaftsförderungsvereins, ungeachtet der finanziellen und rechtlichen Auswirkungen, einfach tolerierten, auch mit allen (steuer)rechtlichen Weiterungen, und auf schriftlichen Hinweis  auf die Problematik und Hilfeersuchen durch ein Vereinsmitglied diesem nicht einmal antworten, dann ist die notwendige Vertrauensbasis in die agierenden Personen, ihre Zuverlässigkeit und Glaubwürdigkeit ihrer Aussagen und mündliche wie schriftliche Zusagen, einfach nicht mehr gegeben.

Hinzu kommt, dass nun auch die Firmware manipuliert ist und die  tatsächlichen Einstellungen verheimlicht sind, der Aufsteller arglistig getäuscht wird, jetzt alles beliebig manipulierbar und ohne Kontrolle von Aussen ist. Das war früher anders. Aber das offenbarte ein generelles Sicherheitsproblem, das vorher so nicht erkannt oder ignoriert wurde. (siehe separate Ausführung dazu).

Ich stehe deshalb, nach 2 Jahren Aktivität, hunderten von Arbeitsstunden und weit über € 1.500,- privaten Kosten und gesammelten Spenden, für Freifunk nicht mehr zur Verfügung.

gez. K. Krahne, Burscheid

Aber zu Glück für alle, die – wie ich – von der Idee „Internet für alle“ angetan waren oder noch sind (denn die Idee an sich ist ja unterstützenswert), gibt es seit dem 1. August 2016 durch die neue Gesetzeslage eine Lösung, die einfacher, billiger, effektiver und sicherer ist.

Die Alternative ist einfach:

ein eigenes Freifunk-Netz machen

(und,  gerade wie jeder will, es entweder auch Freifunk nennen, oder sonst wie)

für alle, Behörden, Gewerbetreibende, Flüchtlingsunterkünfte, Privatpersonen, ohne profunde Kenntnisse in Linux und OpenWRT, ist Freifunk  jetzt unsinnig geworden.

Die Vorteile des nun möglichen eigenen offenen WLAN (-Netzes) sind offenkundig:

  • Das Abmahnproblem existiert nicht mehr und damit auch keine Notwendigkeit, via VPN über den Freifunk-Server ins Internet einzuleiten. Es gibt nichts, das man jetzt nicht selbst besser, einfacher und sicherer könnte.
  • Der Flaschenhals VPN-Tunnel -> Freifunk-Server bei Firmware mit verheimlichter Drosselung entfällt. Damit hat man die ca. 50% Leistungsverlust gegenüber einer eigenen Anbindung weg.
  • Man kann nun selbst kontrollieren, was wie eingestellt wird. Nichts kann kaschiert, heimlich geändert oder sonst wie per „Autoupdate“ oder maskierter Firmware manipuliert werden. Die Hersteller-Originalsoftware bleibt.
  • Erhöhte Sicherheit, weil niemand sonst Zugriff hat, ausser man selbst
  • Einfacher zu installieren, selbst ohne Hilfe, da Flashen mit fremder Firmware entfällt. Alles bleibt Hersteller-Original

Die Hardware ist dieselbe und es sind relativ wenige Einstellungen an der Originalfirmware vorzunehmen:

Als Beispiel hier eine Anleitung für ein kleines privates „Freifunk“-Netz mit insgesamt 4 Routern oder Repeatern:

  1. zuerst auf dem Router des ISP den GAST-Zugang einrichten und konfigurieren (siehe separate Anleitung)
  2. sodann den ersten offenen Router konfigurieren (Primärrouter oder Parent), der per LAN (blaue Buchse) mit dem Router des ISP (Port 4 = GAST) verbunden werden soll
  3. dann folgen 2 Router (Sekundärrouter oder Child), die beide per WLAN mit dem Primärrouter verbunden werden sollen, und dann folgt
  4. ein Router (Terziärrouter oder Enkel), der per WLAN mit einem der beiden Sekundärrouter verbunden ist.

Anstelle der nur per WLAN verbundenen 3 Router können auch Repeater genommen werden.

In dem Beispiel verbinden sich zwei der drei anderen Router (oder Repeater) mit dem primären Router per WLAN, und der letzte Router verbindet sich nicht mit dem primären Router, sondern mit einem „Brückenpfeiler“-Router.

Übrigens können auf diese Art ganze Fußgängerzonen oder Behördenkomplexe ihr offenes WLAN sicher und einfach einrichten.

Der erste (primäre) Router

Wie bei Freifunk wird der blaue Port des ersten (primären) Routers per LAN mit dem Router des Providers verbunden, und zwar unbedingt den GAST-Zugang (zumeist Port 4). Das ist wichtig, damit kein Zugriff auf das eigene Heimnetz von außen stattfinden kann! (siehe weiter unten die Anleitung)

Die von Freifunkern öfters verbreitete Darstellung, der GAST-Zugang sei verzichtbar, da ja bei Freifunk die VPN-Verschlüsselung die Sicherheit böte, ist so falsch. Die VPN-Verschlüsslung ist dafür keine Sicherheit und hat damit gar nichts zu tun.  Die VPN-Verschlüsselung gibt in keiner Weise irgend eine zusätzliche SIcherheit.

  • LAN-Kabel beim Router in einen gelben Port und mit dem PC/Notebook verbinden
  • Browser aufrufen und 192.168.0.1 eintippen
  • es erscheint die TP-link Login-Maske, bei einem fabrikneuen TP-Link sind Username und Passwort beides admin
  • nach wireless settings gehen

wireless_settings-0

  • den Netznamen (SSID) eintragen, wie er in der Netzwerkliste angezeigt werden soll, z.B. „Feifunk“.

  • Der Name ist beliebig. Bei mehreren Routern können Sie die SSID bei allen gleich nennen, z.B. alle einfach nur „Freifunk“ oder auch mit Unterscheidungen (Freifunk-Router 1, Freifunk-Router-2, usw.) Für und gegen beide Varianten gibt es Argumente, hängt von den konkreten Gegebenheiten ab.

  • Als Landeseinstellung Germany nehmen, sonst könnte der Router mit unseren Bestimmungen kollidieren.

  • Auto auswählen und Kanal 1 (freie Kanalwahl bei mehreren Routern gibt Probleme)

  • der primäre Router bekommt bei „Enable Bridging“ KEIN Häkchen, nur die sekundären Router. Es knüpfen immer nur die nachrangigen Router die Brücke zu dem jeweiligen „parent“, kein bidirektionales Bridging!

  • Als SSID denselben Namen nehmen, der eingangs gewählt wurde, oder Durchnumerieren: MeinFreifunk-1, MeinFreifunk-2, usw. – Der Nachteil bei unterschiedlichen Namen ist, dass immer wieder neu verbunden werden muss, der Vorteil, dass man sieht, womit man verbunden ist.

  • beim ersten (primären) Router nun nichts mehr dort eintragen bzw. so lassen.

  • Als Keytype „None“ eintragen, kein Passwort setzen

  • sichern nicht vergessen!

Nun WLAN auf dem Router offen machen=> Wireless => Wireless Security => Disable Security

disable_security

Alsdann noch die DNS-Settings eintragen

dhcp

  • DHCP Server = Disable
  • Start IP Address und End IP Address unverändert lassen
  • Address lease time entweder auf Voreinstellung 120 lassen oder auf Maximum 2880 Minuten setzen. Die Address Lease Time bestimmt, wie lange derselbe User maximal ununterbrochen verbunden sein kann. Die Voreinstellung 120 Minuten ist bei einem freien Netz, das über einen richtig konfigurierten GAST-Zugang (siehe dazu separate Anleitung) ins Internet kommt, eigentlich widersinnig.  Aber – im Gegendsatz zu Freifunk – hier kann das jeder selbst bestimmen.

  • Default Gateway ist die IP des primären (parent) Routers, also 192.168.0.1
  • Als primary DNS trage ich 8.8.8.8 ein, das ist der DNS Server von Google, und damit immer erreichbar.
  • Sichern nicht vergessen!

Und nun zum Abschluss ein gutes Passwort setzen, damit nicht von aussen jemand (das geht nämlich auch per WLAN !!!) auf die Routereinstellungen zugreifen kann. pw

Damit ist dann der erste (primäre) Router fertig.


Bei den beiden nachfolgenden, nur mit dem primären Routern per WLAN verbundenen Routern gibt es nur einige Abweichungen:

  • Bei Wireless Settings wird die Brücke (Bridge) eingetragen (damit der Router mit dem richtigen „Parent“ die Verbindung aufbaut und als Repeater arbeitet. Also den Netznamen = SSID des „Parent“ nehmen, auch wenn der nachfolgende Router anders lautet!) => Klick auf „Survey“ und aus Liste die MAC-Adresse des primären (Parten) Routers auswählen.

wireless_settings-1

Hier nun den eigenen, primären Router auswählen und auf connect klicken, wodurch in Wireless Settings die MAC-Adresse des primären Routern eingetragen wird.

bridge

Speichern nicht vergessen!

  • Bei Network => LAN wird die IP des Routers geändert
    Der primäre Router hat die IP 192.168.0.1, und jeder weitere Router sollte seine eigene IP bekommen, also z.B. einfach weiter zählen: 192.168.0.1, 192.168.0.2, 192.168.0.3 usw. lan
  • Bei DHCP wird als Default Gateway die IP des primären (Parent) Routers = 192.168.0.1 eingetragen.

dhcp

ansonsten alles, wie zuvor. Neues eigenes Passwort vergeben, fertig.


Bei dem dann „hintendran“ verbundenen letzte Router (Enkel) , der mit einem der beiden vorherigen sekundären Router (Kind) verbunden sein soll, ist hier dann bei Bridge der sekundäre Router auszuwählen, weil ja eine Brücke zu diesem und nicht zum primären Router hergestellt werden soll.

Ansonsten alles, wie zuvor.

Fertig! Ihr eigenes sicheres Freifunk-Netz kann genutzt werden.

Als Hardware empfehle ich

  • Router TP-Link WR940n mit 450 Mbit Bandbreite (ca. € 30, – – € 35,-)
  • Repeater TP-Link WA850RE (ca. € 20,- – € 25,-)

Sicherheitswarnung!

Verbinden Sie niemals gleichzeitig per WLAN das offene Netz und per LAN Ihr eigenes Heimnetz auf demselben Rechner (PC, Notebook, Tablet).

Also: entweder LAN oder WLAN, nie beides gleichzeitig!

Sonst haben Sie eine Brücke vom offene Netz zu Ihrem Heimnnetz geschaffen! Wenn Sie das machen, kann jeder auf alle Ihre Systeme zugreifen. Wäre so, als würden Sie Ihren Wagen mit steckendem Schlüssel und laufenden Motor abstellen und weggehen.


Gast-Zugang auf dem Router des Providers einrichten

(am Beispiel einer Fritz-Box, andere Hersteller haben ähnliche Einstellmöglichkeiten)

  • Gast-Zugang aktivieren

01

 

  • Zugangsprofil für Gast bearbeiten

 

02

  • die Priorisierung, damit Sie selbst immer Vorrang haben und wirklich nur das an Bandbreite abgeben, was Sie zwar bezahlen aber in dem Moment gar nicht brauchen.

03

  • das sieht dann abschliessend so aus

04