<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

</head>

<body bgcolor="#ffffff" text="#000000">

Jubel! Nur um mal zu erzählen, was alles so möglich ist: Da ich in

Bremen wohne und die Hoffnung erstmal aufgegeben habe, in meiner

Reichweite noch andere FreifunkFirmware/OLSR-Nutzer zu finden, und

außerdem mal mit den verschiedenen packages von OpenWRT

rumexperimentieren wollte (Samba, vsftpd, LDAP, OpenVPN), habe ich die

ff-firmware erstmal wieder runtergeschmissen und durch OpenWrt

Whiterussian RC5 ersetzt. Ich habe außerdem in Erwägung gezogen, da es

mir nicht mehr ganz geheuer ist, mein WLAN samt Internet für alle

möglichen Leute (Passanten, Nachbarn) offenstehen zu lassen <i>(habe

das jahrelang gemacht und bisher keinerlei Ärger bekommen, ich hatte

auch den Eindruck, dass die vielen Nutzer recht respektvoll und

zurückhaltend damit umgegangen sind)</i>, mein WLAN nun zu

verschlüsseln und nur noch Leute darüber ins Internet zu lassen, die

sich bei mir für die Nutzung anmelden. Da ich hier aber im WLAN einen

Debian-Mirror laufen lasse, und außerdem per FTP-Server Freeware

(Wikipedia-DVD, OpenOffice.org für Windows, freie eBooks usw.)

kostenlos zum Download anbiete, und ja kein Grund besteht, den anonymen

Nutzerkreis dieses Angebotes zu beschränken/auszusperren, war mir die

Idee, das WLAN per WEP oder WPA dichtzumachen <i>(wobei man bei WEP ja

eigentlich nicht von dichtmachen reden kann ;-) )</i> unsympathisch.

Außerdem wäre es ja nett, wenn der httpd auf dem WRT54g noch frei

zugänglich wäre, damit sich vorbeikommende Passanten wenigstens auf

dessen Webseite informieren können, wie sie sich für die

Internet-Nutzung bei mir anmelden können. Dazu kommt noch, dass ein

völlig unverschlüsseltes WLAN + InternetZugang ja auch für dessen

Nutzer etwas unsicher ist, da, solange kein  SSL oder GPG benutzt wird,

eMails, Passwörter, Cookies usw. der Nutzer einfach offen und

unverschlüsselt über die Luftschnittstelle übermittelt werden, sie also

theoretisch  von anderen abgehört  werden können (ok, wenn sie erstmal

ins Internet übermittelt werden, können sie dort natürlich auch

abgehört werden, aber die Übertragung über ein unverschlüsseltes WLAN

erhöht diese Gefahr ja noch). Lange Rede kurzer Sinn, erstmal habe ich

die Subnetzmaske etwas großzügiger gemacht, statt 192.168.1.0/24 ist es

nun 10.110.192.0/22. Statt 254 sind, wenn ich da nicht einem

Trugschluss erlegen bin, also nun 1022 gleichzeitige Nutzer "möglich" -

von "möglich" kann allerdings natürlich praktisch erstmal keine Rede

sein, aufgrund der Hardware-mässigen Beschränkungen <i>(es sei denn

andere Accesspoints gesellen sich per WDS noch dazu)</i>. Und dann habe

ich (musste dazu allerdings erstmal viel OpenVPN-Doku lesen) ein LAN im

LAN eingerichtet. Innerhalb des offenen Netzes 10.110.192.0/22

existiert nun auch ein hybridverschlüsseltes (Blowfish, CBC, RSA-2048)

VPN (10.110.19<b>6</b>.0/22), das man, wenn man per Zertifikat dafür

authorisiert ist, von dem offenen Subnetz aus erreichen kann <i>(Angeblich

soll es bei OpenVPN auch eine Möglichkeit geben, dies über Passwort

statt Zertifikat zu machen, da muss ich mich aber erstmal noch einlesen)</i>.

Auf diese Weise fliegen die Daten wenigstens der Leute, die das VPN

nutzen wollen, nun nicht  mehr unverschlüsselt durch die Luft. Ich

denke nun darüber nach, dass ich auch das Internet nur noch über das

VPN zur Verfügung stelle, dass also nur noch Leute, die von mir dafür

authorisiert wurden, über das WLAN ins Internet kommen. Ich geh mal

davon aus, dass ich das über iptables im Router einstellen kann, so

weit bin ich aber noch nicht. Das gute ist jedenfalls, dass das WLAN so

trotzdem offen zugänglich bleibt und der FTP-Server und Debian-Mirror

nach wie vor auch von anonymen Passanten benutzt werden kann (das waren

bisher auch gar nicht mal wenige). Zur Performance ist zu sagen, dass

den WRT durch das VPN hindurch anzupingen gegenüber dem

unverschlüsselten Weg zusätzliche 3,5 ms kostet, und dass ich auch noch

nicht weiss, ob der WRT da nicht bei mehreren VPN-Nutzern gleichzeitig

in die Knie geht. Eventuell bräuchte man einen Accesspoint mit

schnellerem Mikroprozessor. Den FTP-Server habe ich so eingerichtet,

dass er nur über das unverschlüsselte Subnetz erreicht werden kann, da

es ja keinen Sinn macht, den OpenVPN-Server auf dem WRT mit dessen

Verkehr zu belasten. Natürlich hätte ich den OpenVPN-Server auch auf

meinem Rechner statt

auf dem WRT einrichten können, aber der ist - da verglichen mit dem WRT

ein Stromfresser - nicht immer an.<br>

</body>

</html>