FAQ

Allgemeine Fragen

Unser Anliegen ist nicht nur, jedem kostenlos Zugang zum Internet zu gewähren, sondern vielmehr ein Funknetzwerk in Bürgerhand aufzubauen, an dem jeder partizipieren kann und das von Niemandem kontrolliert, überwacht oder eingeschränkt werden kann.

Es gibt bei uns die verschiedensten Motivationen. Einige von uns interessieren sich für die Technik hinter den Routern und toben sich daran gerne aus. Andere machen bei Freifunk aus sozialen Gründen mit - um Allen eine freie Kommunikationsinfrastruktur zu ermöglichen (Stichwort “Digitale Teilhabe”). Einige interessiert vor allem die Interaktion mit Nachbarn, anderen Freifunkas oder völlig unbekannten Menschen.

Freifunk steht u.a. für Denzentralität. Deshalb wäre es klasse, wenn du dich einer Community in deiner Nähe anschließt oder vielleicht sogar deine eigene gründest. Da aller Anfang schwer ist, ergibt es für dich vielleicht Sinn, wenn du dich erst mal einer nahegelegen Gruppe anschließt. Auch wir von Freifunk Leipzig stehen dir natürlich gerne mit Rat und Tat zur Seite. Mit den existierenden Hilfsmitteln (Dokus und Know-How) sind die technische Hürden auch nicht mehr ganz so groß.

Es gibt auch technische Gründe, die gegen eine Erweiterung über die Grenzen von Freifunk Leipzig hinaus sprechen. Das Problem mit Mesh-Netzen ist, dass sie nicht beliebig gut skalieren, mit jedem weiteren Router sinkt die Leistung. Das Betreiben der Leipziger Firmware in Städten, die bereits ein eigenes Freifunk-Netz haben, ergibt gar keinen Sinn. Dies würde das Meshen, was ein zentraler Bestandteil von Freifunk ist, verhindern.

Zur Zeit enstehen ständig neue Freifunk-Gemeinden. Welche Gemeinden es schon gibt, siehst du auf https://freifunk.net.

Eine weitere Gefahr kann vom Freifunknetz selbst ausgehen. Durch die offene Netzstruktur können alle Teilnehmer:innen untereinander kommunizieren. Es kann also nicht ausgeschlossen werden, dass einige böse Menschen Angriffe auf andere Freifunk-Teilnehmer:innen unternehmen. Abhilfe schaffen hier restriktive Firewalleinstellungen und zeitnahe Updates.

Bevor ihr auch also mit dem Freifunk (oder irgend einem anderen offenen Netz) verbindet, stellt sicher, dass ihr im Browser möglichst immer HTTPS nutzt (dabei hilft z.B. HTTPS Everywhere und ein Blick in die Adresszeile des Browsers). Gleiches gilt natürlich auch für alle anderen Programme, wie z.B. E-Mail-Anwendungen analog. Besonders auf Apps, die auf dem Mobiltelefon installiert sind und bei denen die Verschlüsselung nicht überprüft werden kann, sollte in offenen WLANs verzichtet werden.

Leider reicht HTTPS alleine nicht aus. Aufgrund der offenen Netzarchitektur ist es besonders bei Freifunk aber auch bei anderen offenen Netzen leicht möglich, dass sich Angreifer über so genannte Man in the Middle-Angriffe Zugriff auf den Datenverkehr verschaffen. Dabei gibt sich der Angreifer als eine andere Netzwerkkomponente aus und leitet den gesamten Verkehr weiter, nachdem er diesen mitgelesen bzw. manipuliert hat.

Um verschlüsselten Verkehr über MITM-Angriffe zu lesen, muss der Angreifer dem Opfer in den meisten Fällen ein anderes Zertifikat unterjubeln. Sobald ihr auf eurem Rechner bzw. Mobiltelefon in einem offenen WLAN von einer bekannten Seite einen Zertifikatsfehler bekommt, solltet ihr misstrauisch werden.

Wer auf Nummer sicher gehen möchte, setzt eine zusätzliche VPN-Software ein. Diese sendet den gesamten Netzwerkverkehr (bei richtiger Konfiguration) verschlüsselt zu einem vertrauenswürdigen Server, von wo aus die Daten dann ins Internet gelangen. Alternativ könnte auch der Tor-Browser genutzt werden, mit der Einschränkung, das sich das eigentliche Problem hin zum Tor-Netzwerk verschiebt.

Da ihr euch einen offenen Hotspot bzw. das Freifunk oft mit mehreren hundert Menschen teilt, solltet ihr darauf achten, dass auf dem eigenen Gerät immer alle aktuellen Patches und Updates installiert sind. Außerdem solltet ihr sichergehen, dass keine unerwünschten Dienste (Medien-Freigaben, Drucker usw.) freigegeben sind. So minimiert ihr die Chance von böswilligen Menschen innerhalb des Netzwerkes kompromitiert zu werden.

Bei weiteren Sicherheitsfragen, Unregelmäßigkeiten oder konkreten Vorfällen könnt ihr euch natürlich immer an uns wenden!

Mitmachen

Auf Seiten unseres Backbones fallen zusätzlich Kosten für die Server und die VPN-Zugänge an. Diese werden momentan durch Privatpersonen finanziert bzw. gespendet. In Zukunft möchten wir unter anderem diese Kosten durch regelmäßige Spenden und Mitgliedsbeiträge decken.

Bei Rückfragen helfen wir gerne auf einem öffentlichen Treffen (siehe Wann und wo trefft ihr euch immer/kann man mit euch sprechen?).

Du kannst uns auch aktiv unterstützen, indem Du einen eigenen Knoten (Zugangspunkt) aufstellst. Du bist auch herzlich zu unseren öffentlichen Treffen eingeladen. Dort können wir dann besprechen, was gerade konkret anliegt und wie Du Dich auch mit eigenen Ideen einbringen kannst.

Technik

Falls Du Fernzugriff (SSH) aktiviert hast, lässt sich auch alles über die Konsole ändern (siehe Gluon Commandline Administration)

Konfigurationsmodus

  1. Per Kabel Deinen Rechner mit einem LAN-Port des Knotens verbinden (die gelben bei den Modellen von TP-Link).
  2. Im normalen Betrieb die QSS- oder Reset-Taste hinten am Knoten einige Sekunden drücken bis alle Lampen vorne ein Mal aufleuchten, dann loslassen und den Knoten neustarten lassen.
  3. Dein Rechner bekommt eine IP-Adresse via DHCP zugewiesen (dies kann etwas länger dauern).
  4. Der Konfigurationsmodus ist nun erreichbar unter 192.168.1.1

SSH Wenn Du im Konfigurationsmodus ein Passwort oder einen SSH-Schlüssel hinterlegt hast, kannst Du auch im normalen Betrieb per SSH auf den Knoten zugreifen. Dazu musst du selbstverständlich im Freifunk-Netz sein: ssh root@[IPv6-Adresse des Freifunk Knotens]. Wenn der Knoten am Netz ist, taucht er auf der Knoten-Karte auf. Klickst Du auf den Knotennamen, siehst Du seine IPv6-Adresse.

Failsafe-Mode: Wenn gar nichts mehr geht

  1. Kabel an den LAN-Port stcken.
  2. Nach Neustart Reset-Taste 3s drücken, sobald Zahnrad leuchtet.
  3. LAN-Port am Rechner auf 192.168.1.2/24 einstellen
  4. telnet 192.168.1.1
  5. filesystem mounten $ mount_root
  6. ggf. Kennword aendern: passwd

Der WAN-Port (blau bei TP-Link) macht standardmässig entweder Mesh-VPN (VPN-Verbindung zu den Servern) und sollte dementsprechend hinter einem Internet-Anschluss hängen, oder Mesh-on-WAN (also meshen per Kabel), solltest Du das im Konfigurationsmodus so eingestellt haben.

uci set wireless.radio0.txpower=8 uci commit wifi

Alternativ kann auch in /etc/config/wireless eine weitere Option im radio0 hinzugefügt werden: option txpower ‘8’ anschließend einmal neustarten reboot

Rechtliches

Die immer noch viel genutzten Router TP-Link 841N haben beispielsweise eine 3db Antenne und somit eine Sendeleistung von 17db, um auf den zulässigen Maximalwert von 20db (100mW) zu kommen. Besonders bei den Ubiquiti Geräten mit stärkerer Antenne ist es wichtig, die Sendeleistung zu kontrollieren und gegebenenfalls anzupassen.

Leipziger Allerlei