Archiv für den Monat: November 2015

Freifunk in der S-Bahn – Regionalversammlung berät

Pendler werden es kennen, wenn man morgens auf dem Weg zur Arbeit mit der S-Bahn fährt wünscht man sich oft statt einer „wackeligen“ LTE-Verbindung eine stabile WLAN-Verbindung ohne Datenbegrenzung. Wäre es nicht schön wenn es diese gäbe?

Wie die Regionalversammlung beschlossen hat, soll WLAN in den S-Bahnen kommen (die Stuttgarter Zeitung berichtete). Hier wäre die Idee von Freifunk eine gute Möglichkeit, um den Nutzern der S-Bahn unkompliziert einen freien Zugang zum Netz zu ermöglichen.

Gegenüber anderen Lösungen hat die Freifunk-Idee seinen besonderen Charme. Es ist keine Anmeldung erforderlich, sondern man verbindet sich einfach per WLAN ohne Registrierung und Login. Gerade bei der S-Bahn, wo man unter Umständen nur ein paar Stationen fährt ist dies ein essentieller Vorteil, da man sofort lossurfen kann. Für eine weltoffene Region hat dies für Touristen und Besucher besondere Vorteile, da keine funktionierende SIM-Karte benötigt wird oder mit teuren Roaming-Gebühren eine SMS geschickt werden muss. Ebenso entfällt eine Registrierung per E-Mail (was bereits mobiles Internet voraussetzen würde) oder gar die Authentifizierung über ein soziales Netzwerk. Dies bedeutet auch, dass bei Freifunk keine personenbezogenen Daten gespeichert werden und das Surfverhalten der Nutzer nicht ausgewertet und durch personalisierte Werbung monetarisiert wird.
Somit ist Freifunk im Gegensatz zu anderen Lösungen ein Modell, das nicht nur einen kostenlosen Netzzugang bietet, sondern darüber hinaus auch ein wirklich freies Netz ist.

Der Verkehrsausschuss der Region Stuttgart will das Freifunk-Prinzip in seinen Planungen für die Ausstattung der S-Bahnen mit WLAN berücksichtigen. Die Fraktion Die Linke + Pirat hat in ihrer Haushaltsrede Freifunk als Lösung vorgeschlagen.
Freifunk Stuttgart e.V. ist parteiunabhängig und für Gespräche mit allen Beteiligten offen. Sehr gerne kommen wir zu Gesprächen im Verkehrsausschuss, mit der S-Bahn Stuttgart, dem VVS oder dem Stadtmarketing.

Wir würden uns sehr freuen, wenn sich die Regionalversammlung Stuttgart für die S-Bahnen nicht nur für eine kostenlose, sondern für eine freie und datenschutzfreundliche Lösung entscheidet.

Firmwareupdate

Wie auf der Mailingliste bereits am 11.11.2015 wird kommende Nacht ein Firmwareupdate ausgerollt.

Wer die Auto-Update-Funktion aktiviert hat (das ist die Standardeinstellung) muss nichts weiter machen.
Wer die Auto-Update-Funktion deaktiviert hat, sollte dies zeitnah manuell installieren.

Eckdaten:
– FFS-Version 0.5
– Gluon-Version v2015.1.2
– Release-Notes: http://gluon.readthedocs.org/en/v2015.1.2/releases/v2015.1.2.html

Hinweis:
Bei einigen (auch populären) Routern wird sich die MAC-Adresse der
WAN-Schnittstelle leider ändern. Das ist meist relevant, wenn man
MAC-Filter gesetzt hat und/oder den Router unter einer bestimmten
IPv4-Adresse erwartet.
Wer damit nicht klar kommt, sollte den Autoupdater deaktivieren und das
Update manuell einspielen.

Die Firmware ist mit der aktuellen Beta-Version nicht binäridentisch, da sie
aufgrund des Autoupdater-Branches neu gebaut werden musste.

Ansonsten werden aber einige neue Router-Modelle unterstützt. Beispielsweise der TP-Link Archer C5 V1 (Dualband-Router), ebenso Netgear WNDR3700 v4 und einige weitere.

Bei Ubiquiti Geräte gibt es nun separate Firmware Images für beispielsweise Bullet M2 und Picostation M2.

Die neuen TP-Link Geräte 841n(d) v10 und TP-Link 1043nd v3 werden leider noch nicht unterstützt. Es gibt zwar bereits ein experimental Image von Freifunk Stuttgart für diese Geräte. Nach ersten Tests laufen diese Images soweit. Dennoch sollte man, wenn man nicht explizit testen möchte, aktuell andere Router erwerben.

Freifunk Stuttgart auf der Messe Hobby & Elektronik

Seit heute findet auf der Landesmesse Stuttgart die „Hobby & Elektronik“ statt.
In diesem Jahr sind wir mit einem eigenen Stand vertreten und haben auch hardwaremäßig etwas „aufgerüstet“, so dass wir ein Gateway vor Ort haben und mit entsprechenden Outdoorgeräten die komplette Halle 5 versorgen.

Display auf der Hobby & Elektronik
Display auf der Hobby & Elektronik

Dies führt dazu, dass wir bereits am Donnerstag zur Mittagszeit über 80 Clients zeitgleich online waren 😀

Anzahl Clients um 14:00.
Anzahl Clients um 14:00. (Kartendaten von OpenStreetMap – Veröffentlicht unter ODbL)

Die Messe findet noch bis einschließlich Sonntag statt. Neben freiem WLAN kann man Aufkleber, Flyer und viele Infos bekommen. Bereits in den ersten Stunden konnten etliche spannende Gespräche mit Interessierten geführt werden. Außerdem konnten wir schon aktive Freifunker von Freifunk Freiburg, Rhein-Neckar und Dreiländereck am Stand begrüßen und kennenlernen.

Routerspenden für Flüchtlingsunterkünfte

Bereits Anfang Oktober wurden wir von der Software4Professionals GmbH & Co. KG kontaktiert, die jedes Jahr zur anstehenden Weihnachtszeit ein soziales Projekt unterstützt. Auf uns wurden sie aufmerksam durch unsere Aktivitäten in der Flüchtlingshilfe und wollten uns dabei durch eine Spende unterstützten.
Nach kurzem Mailwechsel hat die Software4Professionals GmbH & Co. KG uns bereits am 29.10.2015 vor einer Flüchtlingsunterkunft in S-Feuerbach zehn leistungsfähige TP-Link 1043nd v2 überreicht.

Übergabe der Router in S-Feuerbach
Übergabe der Router in S-Feuerbach

Drei der Geräte wurden direkt vor Ort konfiguriert. In den nächsten Tagen wird dort der DSL-Anschluss geschaltet werden und den Menschen vor Ort ist mit freiem WLAN geholfen.

Die anderen sieben Geräte werden in weiteren Unterkünften installiert, sobald der Internetanschlusstermin bekannt ist.

Außerdem hat uns in der vergangenen Woche eine Routerspende über den Förderverein freie Netzwerke e.V. erreicht. Der Förderverein erhielt von TP-Link Deutschland eine große Menge an TP-Link 841n.

Für die nächsten Unterkünfte haben wir also das perfekte Bundle: einen 1043er für den Uplink und ein-drei 841er um das Netz großflächig zu verteilen.

Von den TP-Link 841n konnten vergangenen Samstag direkt drei Geräte in Gomadingen beim Netzumbau verbleiben, da dort zeitnah mehr Gebäude mit Flüchtlingen belegt werden und diese aktuell nicht ausgeleuchtet sind.

Ein herzliches Dankeschön an die Spender für die großzügige Unterstützung!

Freifunk im betrieblichen Umfeld

Immer mehr Unternehmen bieten ihren Gästen und Mitarbeitern heute freien WLAN-Zugang ins Internet für deren private Smartphones, Tablets oder Notebooks. „Digitale Gastfreundschaft“ gehört inzwischen zum guten Ton.

Bei der IPRO GmbH in Leonberg wurde diesen Sommer ein solches WLAN eingeführt. Die IPRO GmbH entwickelt seit 1977 und derzeit mit 60 Mitarbeitern Software für 3000 Augenoptiker und Hörgeräteakustiker in Europa.

Im Folgenden möchte ich die gesammelten Erfahrungen weitergeben, so dass sich andere interessierte Firmen daran orientieren können.

Neben zahlreichen kommerziellen Angeboten stand die Nutzung von Freifunk zur Diskussion, einer nichtkommerziellen Initiative, die es in vielen Regionen bereits gibt, so auch im Großraum Stuttgart. Der Freifunkgedanke eines freien und offenen Netzes bedeutet Zugang zum WLAN ohne Anmeldung und Verschlüsselung, was es natürlich sehr einfach in der Handhabung macht.

An dieser Stelle tauchen in einem Unternehmen typischerweise Vorbehalte gegenüber Freifunk auf. Bei genauem Hinsehen sind diese aber unbegründet. Jeder öffentliche Hotspot hat ein unverschlüsseltes WLAN, Freifunk macht also nichts anderes. Die Anmeldung oder Registrierung ist dort notwendig, wo der Betreiber des WLANs den Netzwerkverkehr ins Internet ausleitet, und zwar wegen der sogenannten Störerhaftung, also der potenziellen Mit-Haftung für illegale Aktivitäten der Nutzer. Beim Freifunkkonzept ist das anders, denn hier wird der Netzwerkverkehr nicht direkt ins Internet ausgeleitet, sondern in einem virtuellen privaten Netzwerk (VPN) gekapselt und verschlüsselt an eines der Freifunk-Gateways übergeben, die sich dann um die eigentliche Ausleitung ins Internet kümmern. Damit ist der Freifunkanbieter aus der Störerhaftung entlassen, darum kümmern sich die Gateway-Betreiber.

Die Geschäftsleitung der IPRO GmbH ließ sich vom Freifunkgedanken überzeugen, zeigte sich aufgeschlossen und hat den Aufbau einer passenden Infrastruktur auf Freifunk-Basis nachhaltig gefördert, die es den Mitarbeitern und Gästen bequem und einfach ermöglicht, mit deren privaten und deshalb sicherheitstechnisch nicht kontrollierbaren Geräten ins Internet zu kommen. Wir haben aufgrund unserer günstigen topografischen Lage sogar einen Aussenrouter installieren können, mit dem wir Teile des Bahnhofs Leonberg ausleuchten, um so auch Aussenstehende am Freifunkgedanken teilhaben zu lassen.

Ein TP-Link CPE210 versorgt den Bahnhof Leonberg mit Freifunk
Ein TP-Link CPE210 versorgt den Bahnhof Leonberg mit Freifunk

Nachdem die grundsätzliche Entscheidung gefallen war, ging es um die technische Realisierung. Am Anfang steht dabei die Bestandsaufnahme der vorhandenen Netzwerkinfrastruktur im Hinblick auf bereits vorhandene und nutzbare Geräte und die Verkabelung. Jetzt ist auch der Zeitpunkt gekommen, das Thema Sicherheit detaillierter zu betrachten. Dazu gehören mehrere Aspekte:

  1. Aus Firmensicht:
    Praktisch alle relevanten Daten sind heute in einem Unternehmen auf Servern im internen Netzwerk abgelegt. Neben Personal- und Buchhaltungsdaten sind das in einem Softwarehaus natürlich auch die Quellcodes, die das Kapital des Unternehmens bilden. Alle diese Daten sind in besonderer Weise vor unbefugtem Zugriff zu schützen.

    1. Auf keinen Fall darf ein Zugriff aus dem Freifunknetz auf das interne Firmennetz möglich sein. Das kann durch geeignete technische Maßnahmen erreicht werden (s.u.).
    2. Vorhandene betriebliche WLAN-Geräte müssen durch eigene interne Netzwerkfilter/Firewallregeln und minimale Dienste soweit geschützt werden, dass bei einem irrtümlichen Verbinden dieser Geräte mit dem offenen Freifunknetz kein Sicherheits-Desaster entstehen kann.
    3. Die Netzwerkdosen, an denen Freifunkrouter oder eigene Accesspoints fürs Freifunknetz angeschlossen sind, müssen gegen irrtümliche Nutzung durch Firmen-Geräte geschützt werden.
  2. Aus Anwendersicht (Client):
    1. Das Freifunknetz ist offen, d.h. es gibt keine zentralen Schutzinstanzen gegen andere Netzteilnehmer. Jedes Gerät / jeder Client ist für seine Sicherheit selbst zuständig und verantwortlich. An diesem Punkt gibt es keinen Unterschied zu öffentlichen Hotspots.
    2. Das Freifunk-WLAN ist unverschlüsselt, d.h. jeder kann mithören. Auch hier gilt dasselbe, wie bei einem öffentlichen Hotspot, sensible Daten nur per verschlüsselter Verbindung übertragen (HTTPS, IMAPS, SMTPS, POP3S usw.).

      Diese Situation sollte unbedingt den Mitarbeitern / Kollegen vor Augen geführt werden, nicht allen ist das klar. Wir haben dazu eine Rundmail verfasst. Gästen/Besuchern wird jeweils persönlich die Nutzung des Freifunknetzes angeboten und dabei auf diesen Sachverhalt aufmerksam gemacht.

  3. Sicherheit als Synonym für Zuverlässigkeit und Verfügbarkeit:
    Die Freifunk-Gateways, über die die Freifunkknoten mit dem Internet verknüpft werden, werden von Privatpersonen betrieben, die Spaß an der Technik haben und aus persönlicher Überzeugung vom Freifunkgedanken die Infrastruktur in ihrer Freizeit betreiben. Mit viel Herzblut und unermüdlichem Einsatz bieten sie uns Nutzern ein möglichst stabiles Netz.

Eine eigene Sicherheitszone für das Freifunknetz ist in einem betrieblichen Umfeld unabdingbar. Es gelten hier die gleichen Regeln, als wäre es das offene Internet, denn man hat nicht in der Hand, wer sich darin alles tummelt. Jeder Client, egal ob innerhalb der Firma oder sonst wo im Land, hängt logisch gesehen an einem großen Switch, kann also genau so auf andere zugreifen, wie es in einem lokalen Netz möglich wäre. Sämtliche Freifunk-Knoten (-Router), die Teile dieses großen Switches für die Clients zur Verfügung stellen, gehören zusammen mit den Clients vom restlichen Firmennetzwerk isoliert, per VLAN oder/und getrennten Leitungen. Nur der oder die Freifunk-Router, die den Uplink zu den Freifunk-Gateways herstellen, brauchen für den Internetzugang eine logische Verbindung zur bestehenden Infrastruktur, wenn man dafür keinen eigenen unabhängigen Internetanschluss einrichten möchte. Diese Verbindung sollte so nahe wie möglich am WAN per Firewall angedockt werden – so haben wir es gemacht. Und da der Uplink ausgehend nur ein paar UDP-Ports nutzt (eingehend gar nichts), sollte das jede Firewall leisten. Das eigentliche Entkoppeln des Traffics machen die Switches per VLAN.

Existiert in einem Unternehmen bereits ein betriebliches WLAN, muss man sich Gedanken zur Kanalwahl machen, damit sich die beiden WLANs nicht gegenseitig stören. Beim Freifunk-Stuttgart nutzen alle WLAN-Router im 2,4 GHz-Band den Kanal 1. Das ist so festgelegt, weil sich Freifunk-Router untereinander per WLAN zu einem vermaschten Netz verbinden können und dazu auf demselben Kanal arbeiten müssen. Dieses „Meshen“ ermöglicht den Einsatz von Routern auch dort, wo kein Netzwerkkabel verlegt werden kann, solange ein anderer Freifunk-Router in Reichweite ist. Leider verringert sich dadurch die nutzbare Bandbreite im WLAN, so dass insbesondere bei einer hohen Client-Anzahl einem kabelgebundenen Anschluss der Vorzug zu geben ist, gegebenenfalls indirekt per PowerLAN übers Stromnetz, wenn nicht – wie unter Umständen durch Maschinen in Produktionshallen – das Stromnetz HF-technisch verseucht wird. Darüber hinaus gibt es weitere Alternativen, wie z.B. Mesh per Richtfunk (Punkt-zu-Punkt-Verbindung mit zweitem WLAN-Router) auf einem anderen Kanal (z.B. im 5 GHz Band), auf die man die im konkreten Fall bei Bedarf zurückgreifen kann.

Wir setzen bei der IPRO GmbH derzeit für den Freifunk-Uplink eine virtuelle Maschine mit Gluon-x86 auf unserem VMWare-Cluster ein, auf dem auch andere Server für DMZ-Dienste realisiert sind. Die „WLAN-AccessPoints“ für innen sind billige TP-Link-Router „WR841N“, die als Freifunk-Nodes per Mesh-on-WAN über Kabel angebunden sind (Mesh-on-WLAN ist abgeschaltet, um Air Time zu sparen). Durch die geringen Kosten kann man gerne auch mal einen mehr aufstellen, wenn die Ausleuchtung schlecht ist.

Als Außenrouter kommt ein TP-Link „CPE210“ zum Einsatz, der eine Segmentantenne beinhaltet, mit dem wir den wesentlichen Teil des Bahnhofs in Leonberg mit Freifunk versorgen können, obwohl die Entfernung über 100 Meter beträgt.

Voll vermaschtes Freifunknetz bei der IPRO GmbH Leonberg
Voll vermaschtes Freifunknetz bei der IPRO GmbH Leonberg (Kartendaten von OpenStreetMap – Veröffentlicht unter ODbL)

Seit Mitte Juli diesen Jahres ist das Freifunk-WLAN bei uns in Betrieb und wird sowohl von den eigenen Kollegen, Gästen und nicht zuletzt von Wartenden am Bahnhof gerne genutzt.

Geschäftsführer Martin Himmelsbach (rechts) und Technikleiter Roland Volkmann (Autor des Beitrags, links). Im Hintergrund ist der Freifunk-Außenrouter zu erkennen.
Geschäftsführer Martin Himmelsbach (rechts) und Technikleiter Roland Volkmann (Autor des Beitrags, links). Im Hintergrund ist der Freifunk-Außenrouter zu erkennen.

Terminvorschau inkl. Rückblick

Sollte der Eindruck entstehen, dass bei Freifunk Stuttgart weniger los ist, so täuscht dies. Es ist eher so viel los, dass keine Zeit mehr zum Bloggen bleibt… 😀

Es sind in den letzten Wochen wieder mehrere Flüchtlingsunterkünfte vernetzt worden, so dass mittlerweile allein durch Freifunk Stuttgart über 20 Unterkünfte versorgt werden.

Nach dem Barcamp Stuttgart Ende September wurde auch das TEDx Stuttgart im Renitenztheater mit Freifunk Stuttgart versorgt. Als schöner Nebeneffekt sind im Renitenztheater gleich zwei Nodes „stehen geblieben“.

Neben diesen Events gab es noch viele weitere Aktivitäten, seien es Vorträge oder unser erstes „großes“ Mumbletreffen.

Nun zu den anstehenden Terminen:

Ihr seht, es gibt einiges zu tun und man kann sich gerne noch einbringen – am besten auf der Mailingliste melden oder auf dem Monatstreffen.
Auf der No-Spy Konferenz wird es neben der Freifunk Session auch viele weitere spannende Sessions geben. Für potentielle FreifunkerInnen besteht die Möglichkeit, mitgebrachte Hardware zusammen in einer Pause zu flashen.

Für die Messe Hobby & Elektronik können wir noch helfende Hände gebrauchen und Leute, um den Stand zu besetzen. Wer ausgefallene Freifunk-Bastelprojekte hat, kann die sehr gerne bei unserem Stand präsentieren.

Und last but not least wollen wir wieder versuchen den Weihnachtsmarkt Stuttgart – zumindest teilweise – mit Freifunk zu versorgen. Letztes Jahr ist uns das auf Teilen des Marktplatzes Dank Richtfunk-Uplink aus zwei km Entfernung gelungen (s. Blog Artikel vom 11.12.2014). Falls jemand Uplink temporär oder besser dauerhaft bereitstellen kann, bitte melden. Eventuell werden wir auch wie im letzten Jahr noch einmals durch die Läden und Kneipen bummeln auf der Suche nach Uplink und dem ein oder anderen Getränk… 😉

Dann bis zum nächsten kommenden Montag. Für die weitgereisten werden derzeit über die Mailingliste auch Mitfahrgelegenheiten koordiniert.