Ufo schrieb: > tetzlav schrieb: >> Klar, wenn man das Geld für einen sinnlosen zweiten Router hat...!? :-P > das ist nicht "sinnlos"! Man hat dann zwei halbwegs "normal" > eingestellte Geräte anstelle von EINER super-spezialkonstruktion. > Wenn man extrem viel Zeit hat und extrem wenig Geld, wird es sich > natürlich lohnen, ein extremes Gerät aufzusetzen.
mehr/weniger Zeit nimmt der erwähnte Setup nicht in Anspruch - nur mehr Geld >> Die Nachteile wären neben den höheren Investitions- und Stromkosten: >> - hässliches Doppel-NAT > kann man konfigurieren, das es nur ein NAT ist. ja, und nur wenn man es schafft das Routing richtig einzurichten. Man muß den WAN Port für etwas verwenden, wofür er von der Firmware und den Scripten _nie_ vorgesehen wurde: einkommender, ungeNATter Traffic _ins_ WLAN/OLSR-Netz!? Da doch lieber die Netze sauber auf _einem_ Gerät trennen, oder? Ein weiteres Interface für eine OLSR-Kopplung ist von der Einrichtung total unkritisch und wird von _keinerlei_ Scripten negativ beeinflusst. > Natürlich ist es ein bisschen Geschmackssache und ein Asus Premium kann > auch mehr als ein Linksys. _Mein_ Setup auf der 17.35 macht ja auch wesentlich mehr als, der Setup bei thoralf jemals machen wird - speziell VPNs und extrem viel LAN<->Freifunk-Traffic. Der ganz Kram lief vorher auf einem SE505 genauso problemlos > Ich finde, die Konfiguration und Fehleranfälligkeit bei der gesamten > Konfiguration auf EINEM Gerät zu krass, obwohl es natürlich möglich > wäre. (Vielen Dank an dieser Stelle, das die VLAN-Anleitung mal endlich > veröffentlicht wird) ich hab auch nur C&P aus der News-Anleitung gemacht - das kann doch jeder, oder? :-P > Ich traue auch eigentlich niemanden zu, solche Spezialgeräte dann > wirklich auch schnell und erfolgreich zu updaten. Ein Vlan-Tagging überlebt ein Firmware-Update sozusagen out-of-the-box und ist nicht komplizierter als die Einrichtung einer Haupt-VPN-Verbindung. Nur weil ein paar kryptisch anmutende nvram-Variablen gesetzt werden ist das gleich _zu_ kompliziert!? > p.s. vielleicht als kleines Beispiel für die komplexität: > > irgendwo in der ANleitung soll man > iptables -I FORWARD -i vlan2 -j ACCEPT > verwenden, damit Kopplung klappt. So wie ich vermute, kommt man über > diese Firewall-Regel z.b. auch aus dem Freifunk-Netz, was über das > kabelgekoppelten Gerät erreichbar ist, auch auf das LAN-Netz des > Gerätes. (weil alles, was von vlan2 kommt, erlaubt wird). das stimmt wohl, aber das wäre ein richtiger Ansatzpunkt die Anleitung zu verfeinern: iptables -I FORWARD -i vlan2 -o !br0 -j ACCEPT und ist übrigens in der Anleitung zum HauptVPN genauso "verkehrt"... Ganz nebenbei finde ich es nur wichtig das man vom WAN nicht aufs LAN zugreifen kann, alles andere ist m.M.n. übertriebene Panikmache und eher kontraproduktiv. Ich habe hier bei einigen "meiner" Nodes keinerlei NAT und Firewall mehr und die Leute freuen sich darüber, weil sie in der Windoof-Netzwerkumgebung schön aufeinander zugreifen können und es endlich mal etwas "User-Content" gibt ;) Genau an diesem Punkt bin ich schwer dafür die "Hürden" tiefer zu setzen! Gruß tetzlav Langes PS: Nicht das hier jmd. denkt ich möchte unbedingt _mein_ Setup als "die Lösung schlechthin" durchsetzen - ich möchte einfach nur das begriffen wird, dass außerhalb von Klicki-Web-If oder zustätzlichem (teurem) Hardwareaufwand noch viel mehr mit unseren kleinen Kistchen geht. Alles ist halb so kompliziert wie es auf den ersten Blick erscheinen mag. Man muß manchmal nur bereit sein gewisse Hard- und Software-Problemchen auch nur _ansatzweise_ zu verstehen. Ich war und bin _immer_ gerne dazu bereit bei "nicht-klicki-webif"-Setups zu helfen - mich ärgert nur, das immer gleich alles als zu "komplex oder nicht zumutbar" für den "armen Nicht-Nerd-Freifunk-Nutzer" verschrien wird. Damit meine ich jetzt nicht unbedingt das hier aufgetretende Problem - es soll alles immer DAU-sicher gemacht werden. Genau darauf hab _ich_ keine Lust mehr. Wenn keiner hinter die Vorgänge der Firmware und des grundlegenden Aufbaus eines solchen Netzes blicken will, dann wird das Freifunk-Leipzig-Projekt auf kurz oder lang eh sterben. Jeder möchte oder sieht nur noch ein fertiges "Produkt" und keiner mehr versteht was wirklich passiert und möglich ist. ...naja wie auch immer... :D _______________________________________________ freifunk-leipzig mailing list [email protected] https://lists.subsignal.org/mailman/listinfo/freifunk-leipzig
