Freifunk-Router hinter einer Firewall

Bei normalen DSL- bzw. Kabel-Routern werden in den Standardeinstellungen vom Werk aus normalerweise keine ausgehenden Verbindungen geblockt, die Euer Freifunk-Router zum Aufbau des VPN-Tunnels benötigt. Durch diesen VPN-Tunnel werden Eure Daten über die IP-Adressen des Freifunk-Rheinland e.V., der eingetragener Internetprovider ist, in das WWW geroutet. So seid Ihr vor Abmahnungen geschützt, und könnt ohne Risiko vor einer unberechtigten Abmahnung Euren Gästen Euer Internet zur Verfügung stellen. Wer aber einen Freifunk-Router in einer professionellen Firmen-Firewall und dort in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann diverse Schwierigkeiten mit der ausgehenden Verbindung bekommen. Es kann passieren, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen des Freifunk-Routers einem strengem Regelwerk unterliegen.

firewall

Es ist sicher zu stellen, dass der Freifunk-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server festlegen. Dies kann, je nach Firewall-Model und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber dieser und dem Administrator vorab besprochen werden.

Wenn der Freifunk-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, muss  ein Services für den ausgehenden Netzwerkverkehr definiert werden. Es empfiehlt sich hier immer gleich eine Richtlinie anzulegen, und diese dann dem entsprechenden Host in der neuen Firewall Regel zuzuweisen. Ist es geplant zukünftig mehrere Freifunk-Router einzusetzen, empfiehlt sich der Einsatz einer Hostgruppe.

Je nach eingesetzter Firmware (bezogen auf Eure Stadt) benötigt der Freifunk-Router derzeit (Stand 02/2016) folgende ausgehende Services:

Name                  Protocol        Details

DNS                       TCP/UDP        TCP(1:65535)/(53)
FF-VPN-Tunnel    TCP/UDP        UDP(1:65535)/(je nach Stadt 3080, 4080, 5080, 6080, 7080)

EN-Kreis: 3080
Hattingen: 4080
Sprockhövel: 5080
Witten: 6080
Refugee: 7080

Sollte es von Seiten Eurer EDV-Betreuer Rückfragen geben, stehen wir Euch gerne zur Verfügung.