Heimnetze: Die Masche mit dem Nachbarn
Heimnetze sind oft langweilig und eintönig. Der Router trennt zwischen LAN und Internet. Die Eigenschaften der Außenanbindung werden von den verfügbaren Providern weitestgehend diktiert. Leistungsmerkmale werden für Privatkunden künstlich beschnitten, um Geschäftskundenpreise rechtfertigen zu können. Symmetrische Datenraten, statische IP-Adressen oder ein Präfix in angemessener Größe sind oft nicht zu erhalten.
Netzwerke kann man jedoch auch als kreative Herausforderung begreifen. Das Open-Source-Ökosystem bietet Technologien, die sich auf unterschiedliche Weise kombinieren lassen. Über Funk können eigene Strecken betrieben werden. Die damit verbundenen Möglichkeiten betrachten wir in diesem Artikel genauer.
Freunde, Bekannte oder auch Verwandte aus der Nachbarschaft verstehen wir als potenzielle Peering-Partner. Der Begriff ist üblich, wenn sich im Kern des Internets Provider oder Firmen über BGP vernetzen. Eine vergleichbare Verbindung zum Nachbarhaus kann ohne großen zeitlichen und finanziellen Aufwand errichtet werden. Für die zivile Nutzung freigegebene Frequenzbereiche sind willkommene Kandidaten. Denkbar wäre auch eine selbst verlegte Glasfaser. Sie böte eine höhere Leistungsfähigkeit sowie Zuverlässigkeit. Der Aufwand ist dafür jedoch höher und nicht Teil unserer Betrachtung.
Eine Masche stricken
Die Frage drängt sich auf: Warum sollte ich mich mit meinen Nachbarn vernetzen wollen? Das Teilen der Internetanbindung ist sicherlich der naheliegendste Punkt, muss jedoch im Einzelfall geprüft werden. Manche Provider schließen das Teilen des Anschlusses in ihren Nutzungsbedingungen aus.
Trotz einer Rechtsprechung zugunsten der Nutzer in puncto Störerhaftung birgt die Verwendung der öffentlichen IP des Nachbarn rechtliche Gefahren . Werden Straftaten über die IP-Adresse begangen, kann es für den Anschlussinhaber ungemütlich werden.
Diese Problematik lässt sich durch Nutzung von VPN-Tunneln umgehen. Die öffentliche IP des freigebenden Nachbarn bleibt so für ihn selbst vorbehalten. Eine VPN-IP zu nutzen, unterliegt allerdings gewissen Problemen. Die Datenströme ins Internet laufen durch seine Netze und wären somit theoretisch abgreifbar. Befolgt man den Grundsatz, sichere Protokolle zu verwenden, minimiert sich dieses Problem. Netflix-Zugriffe über VPN sind heute kaum noch möglich, da wegen Missbrauchs der Videostreamingdienst diese IP-Adressen filtert .
Eine solche Vernetzung bietet mehr Potenzial als nur das Teilen des Internetzugangs. So lassen sich zum Beispiel verschlüsselte Backups beim Nachbarn ablegen. Das hilft für den Fall eines Einbruches oder Brandes. Nehmen gleich mehrere Nachbarn an diesem Projekt teil, kann man Hardware für Netzwerkspeicher oder Server gemeinsam finanzieren. Multiplayer-Spiele für lokale Netze sind etwas aus der Mode gekommen, aber eine willkommene Abwechslung.
Die maximal mögliche Übertragungsgeschwindigkeit ist von diversen Faktoren abhängig. Neben der Distanz zwischen den Access Points nehmen dazwischenliegende Objekte und deren Beschaffenheit Einfluss. Die Art der Antenne hilft, größere Distanzen zu überwinden. Richtfunkantennen(öffnet im neuen Fenster) führen dort zu besseren Ergebnissen als die üblicheren Rundstrahlantennen, Sichtverbindung vorausgesetzt.
Für den Datenaustausch kann man auf klassische serverbasierte Lösungen wie Samba oder NFS zurückgreifen. Software für serverlose Kommunikation ist für solche Umgebungen tendenziell besser geeignet. Syncthing(öffnet im neuen Fenster) beispielsweise bietet Dateisynchronisation ohne Server im Dauerbetrieb. Fällt die Internetanbindung aus, bleiben all diese Optionen weiterhin verfügbar.
OpenWRT - ein heißer Kandidat
Gute Unterstützung für all das bietet OpenWRT, eine Open-Source-Lösung für Firewalls und Access Points. Sie wird ständig verbessert und regelmäßig mit Sicherheitsupdates versorgt. Zu den größten Stärken gehören die Flexibilität und Erweiterbarkeit. Sie läuft auf zahlreichen Geräten und ist eine ideale Option - nicht nur für kreative Projekte wie dieses.
Für das Routing stehen mehrere Optionen zur Wahl. OpenWRT beherrscht neben den klassischen Protokollen viele weitere Alternativen, darunter batman-adv, bmx6, bmx7 oder babeld.
Wir werden ein konkretes Beispiel betrachten. Anpassungen sind je nach Umgebung möglich oder sogar notwendig. Da nicht alle Eventualitäten berücksichtigt werden können, haben wir versucht, das Szenario möglichst generisch zu halten. Die Konfiguration der Knoten hängt dem Artikel an. Sie dient als Orientierungshilfe und sollte in dieser Form nicht eins zu eins übernommen werden.
Wahl der Hard- und Software für ein Nachbarschaftsnetz
Die Liste der durch OpenWRT unterstützten Geräte (öffnet im neuen Fenster) ist lang. Knoten A ist hier ein TP-Link Archer C7 v2. Knoten B ein Ubiquiti Unifi Mesh AC. Beide Geräte laufen auf der bei Erstveröffentlichung des Artikels aktuellen Version 21.02.1.
Möchte man in Haus B auch kabelgebundene Geräte in den skizzierten Segmenten unterbringen, muss man mit einem VLAN-Trunk und einem VLAN-fähigen Switch arbeiten. Dieses Youtube-Video zeigt, wie VLAN und Bridging mit der in 21.02 eingeführten Distributed Switch Architecture (DSA) funktionieren.
DSA(öffnet im neuen Fenster) ist eine Methode, um Switching-Funktionen zu steuern. Sie wird für OpenWRT-Targets angeboten(öffnet im neuen Fenster) .
Als Verschlüsselungsmethode für die Funkverbindung setzen wir auf WPA3. Um sie nutzen zu können, sind Anpassungen an den lokalen Paketen nötig.
opkg remove wpad-mini
opkg remove wpad-basic
opkg remove wpad-basic-wolfssl
opkg install wpad-wolfssl
Teilnehmer segmentieren
Von Beginn an sollte man mehrere Netzsegmente einplanen:
- LAN (geschützte, eigene Geräte)
- GÄSTE
- DMZ ( Server / NAS o.Ä)
- MESH (Anbindung zu Nachbarn)
In Haus A ist eine Anbindung zum Internet vorhanden. Der Provider verteilt eine IPv4-Adresse auf Knoten A und einen IPv6-Präfix der Länge 56 (2100::/56). In den meisten Fällen ist dieser dynamisch. Kleinere Präfixe wie /48 bieten mehr Raum, größere wie /60 oder gar /64 hingegen nicht genügend Platz für Netze dieser Art. In jedem Fall hilft ein IP-Rechner (öffnet im neuen Fenster) weiter.
Mit einem dynamischen Präfix sieht man sich mit zusätzlichen Herausforderungen konfrontiert. Sollte ein Serverbetrieb gewünscht sein, der auch aus dem Internet erreichbar ist, bietet sich Dynamic DNS nach RFC 2136 an. OpenWRT verfügt über zusätzliche Pakete, Stichwort: ddns . Statische Präfixe kommen mit einfachen DNS-Einträgen für die Serversysteme aus.
Über DHCPv6 Prefix Delegation gibt Knoten A an Knoten B den Präfix 2108::/61 aus. Knoten B kann damit 8 Netze erzeugen (2108::/64 bis 210f::/64).
WAN-Interface Knoten A (Upstream):
config interface 'wan'
option device 'eth0.2'
option proto 'dhcp'
config interface 'WAN6'
option proto 'dhcpv6'
option device '@wan'
option reqaddress 'try'
option reqprefix '56'
Mesh-Interface Knoten A (Downstream):
config interface 'mesh'
option proto 'static'
option ipaddr '10.125.1.1'
option netmask '255.255.255.0'
option type 'bridge'
option device 'wlan1'
option ip6assign '60'
Mesh-Interface Knoten B (Upstream):
config interface 'mesh'
option device 'wlan1'
option proto 'dhcp'
config interface 'MESH6'
option proto 'dhcpv6'
option device '@mesh'
option reqaddress 'try'
option reqprefix '61'
Neben den sogenannten Global-Unicast-Adressen (öffnet im neuen Fenster) verteilt jeder OpenWRT für seine Teilnehmer Unique-Local-Adressen(öffnet im neuen Fenster) . Dies sind lokale Adressen, vergleichbar mit denen nach RFC 1918(öffnet im neuen Fenster) . Um zwischen den Standorten zu kommunizieren, sollte man diese wählen, da der Präfix statisch ist. Die per Prefix Delegation verteilten öffentliche Adressen erhalten automatisiert Routingeinträge. Für die Unique-Local-Adressen sind manuelle Einträge nötig.
Knoten A nutzt als Präfix fd3f:bafb:0c4a::/48 und hat im Mesh die Link-Local-Adresse fe80::c66e:1fff:feea:c0d6/64. Knoten B nutzt fd27:c108:9f24::/48 und die Adresse fe80::f692:bfff:fe2d:df02/64.
Firewall
So wie man das Heimnetz für den unbefugten Zugriff aus dem Internet absichert, möchte man das auch für die Zugriffe untereinander regeln. Die Funkstrecke wird in OpenWRT einer eigenen Firewall-Zone zugeordnet, für die sich Regeln granular aufstellen lassen. Haus B verfügt über keinen eigenen Internetzugang. Seine Mesh Verbindung dient als Internet-Uplink und wird deswegen als WAN-Zone gekennzeichnet. Bei dort eingehenden Verbindungen lässt sich nur über die IP-Adresse unterscheiden, ob sie vom Nachbarn oder aus dem Internet kommen.
Der Paketfilter auf Knoten A ist so konfiguriert, dass alle aus dem Internet eingehenden Pakete für Mesh-Teilnehmer frei durchgeleitet werden. Der Administrator der OpenWRT-Firewall in Haus B möchte Regeln selber festlegen können. Gäste der einzelnen Häuser dürfen untereinander beliebig kommunizieren. Dazu werden in OpenWRT Firewall Forwardings definiert.
Aus Punkt zu Punkt wird Masche
Unser Beispiel nutzt Funk, da er zugänglicher und einfacher zu realisieren ist als Glasfaser. Die Konfiguration der Verbindung zum Nachbarn verwendet einen speziellen Modus namens 802.11s(öffnet im neuen Fenster) . Dies ist ein offener und plattformübergreifender Meshing-Standard, der seinen eigenen dynamischen Routing-Algorithmus mitbringt. Die Besonderheit daran ist das Routing auf OSI Layer zwei, was zunächst unsinnig erscheinen mag. Alle Teilnehmer dieser Verbindung können so über die MAC-Adresse miteinander kommunizieren, wie über einen virtuellen Switch.
Wie im Bild dargestellt, kann das OpenWRT-Gerät von Haus A mit dem von Haus C kommunizieren, obwohl sie nicht in Reichweite sind. Eine ähnliche Technik (öffnet im neuen Fenster) wird bei Freifunk schon seit vielen Jahren erfolgreich eingesetzt.
Ein solches Ad-hoc-Netz bietet wesentliche Vorzüge. Es ist gut erweiterbar, selbstheilend und wartungsarm. Von Nachteil ist, dass es nicht beliebig skaliert. Umgebungen mit wenigen Hundert Teilnehmern werden erfolgreich praktiziert.
Weitere Nachbarn können an der Vernetzung teilnehmen, müssen dafür eine Funkverbindung einrichten, wie in den Screenshots zu sehen. Gerade in enger bebauten Gebieten oder Mehrfamilienhäusern ist dies einfach umzusetzen. Andere Umgebungen benötigen angepasste Lösungsansätze wie eine Richtfunkverbindung. Sollte der eigene Router im Keller stehen, bietet es sich an, einen weiteren Access Point aufzustellen, der dem Nachbarn näher ist.
Umgebungen nach diesem Konzept sind mit einer überschaubaren Anzahl Teilnehmern realistisch. Größere Strukturen benötigen andere Lösungsansätze, die stärker automatisiert sind. Da man sich keine IP-Adressen merken möchte, wäre ein umfangreiches DNS-Konzept notwendig.
Jochen Demmer ist hauptberuflich System- und Netzwerkadministrator. Nebenbei ist er selbständig und publiziert gelegentlich Youtube-Videos. In allen Bereichen spielt Open Source eine entscheidende Rolle.
Die Konfiguration von Knoten 1 und Knoten 2 gibt es hier als Archiv. Hinweis: Das Passwort in der angehängten OpenWRT Konfiguration lautet: pplznet
Update:
Der Artikel wurde auf seine Aktualität überprüft.