Freifunk Köln, Bonn und Umgebung - Benutzerbeiträge [de]

FAQ

2015-09-15T05:46:33Z

Luke.westwalker: /* HowTo Firewall Freifunkrouter? */

= FAQ =

== Freifunk? Hm, soll ich das tun? ==

=== Was ist Freifunk? ===

Das erklärt [http://freifunk.net/ diese Seite] ganz ganz knackig, ohne zu viel Technik. Dort gibt es auch ein buntes Video.

Hier im Freifunk KBU ist zur Zeit der Internetzugang "fertig", aber jeder kann sich beteiligen und eigene Inhalte ins Freifunknetz stellen. Einfach den Dienst konfigurieren und am Freifunkrouter anschließen.

=== Wie Zeitaufwändig ist es? ===

Das kommt ganz auf dich an. Wenn du "nur" einen Freifunkrouter betreiben möchtest, dann ist das in ca. einer Stunde erledigt. (Router bestellen, Software aufspielen, Registrieren). Wenn du dir lieber einen fertigen Router bei einem Treffen mitnehmen möchtest, hast du einen netten Abend.

Dann sollte man immer mal wieder die Software auf den neuesten Stand bringen (ca. 1-2x im Jahr 0,5h, wenn überhaupt).

Darüber hinaus kannst du an Usertreffen teilnehmen, Leute kennenlernen, basteln, neue Router in der Nachbarschaft aufstellen, Community Stammtische im Viertel organisieren, mitprogrammieren, zu Freifunktreffen fahren ... Also bis hin zur Lebensaufgabe :-) Ist aber optional!

=== Was kostet das ganze? ===

Du kaufst dir einen Router und musst dann den Strom für den Betrieb bezahlen. Zur Zeit kostet das preiswerteste Modell ([http://luebeck.freifunk.net/wiki/Firmware%3A841nd TP-Link WR841N] ohne das "D" in der Typbezeichnung) unter 20€ im Handel. Der Stromverbrauch wird dich je nach Strompreis um die 6€ im Jahr kosten. (Stand 1/2014)

=== Was ist mit der Störerhaftung? Wie ist das mit "dem Saugen"?===

Viele Leute meinen das man in Deutschland kein offenes Wlan betreiben darf. Das stimmt so nicht, aber das Risiko, sein privates Wlan einfach so offen zu lassen (oder auch andere Leute mit nutzen zu lassen) ist recht hoch. Denn die Gesetzeslage macht es bei Verstößen gegen Rechtsvorschriften bei der Nutzung eines Internetanschlusses möglich, das nicht nur der Täter, sondern auch der Betreiber des Internetanschlusses in die Haftung genommen werden kann. Es macht also in dieser Hinsicht praktisch keinen Unterschied ob du das WLan in deinem Cafe verschlüsselst und den Schlüssel auf Anfrage rausgibst oder es gleich offen betreibst.

Freifunk ist sich der Problematik bewusst, und umgeht diese, indem der gesamte Internetverkehr nicht direkt vom Internetanschluss des Routerbetreibers ins Netz geschickt wird. Der Freifunkverkehr wird zuerst an einen Freifunkserver im Internet geschickt (man spricht technisch von "getunnelt") und geht dann erst von dort aus ins Internet. Für das Internet sieht es dann so aus als würde vom Freifunk-Server aus im Internet gesurft.

Wer mehr dazu wissen will liest [[StörerhaftungErklärt|hier weiter]]

== OK, ich probiers! Und jetzt? ==

=== Welche Hardware soll ich kaufen? ===

Ich fand als ersten Überblick über das Thema Hardware [http://luebeck.freifunk.net/wiki/Router die Seite des Lübecker Freifunkwikis] sehr hilfreich.

=== Wie bekomme ich die Software auf den Router? ===
Eine Anleitung findest du [[Mitmachen|hier]].

=== Ich bin aber nicht so technisch versiert. Schaffe ich das? ===

Dann komm doch einfach mal bei einem Freifunk-Usertreffen vorbei. Da sind immer Freifunker die dir helfen und Deine Fragen beantworten. Bringe deinen Router und eventuell deinen Laptop mit. Du kannst dort auch einen fertigen Router kaufen. Mehr zu den Treffen findest du auf der [[Hauptseite]].

Du kannst auch über die [[Mailingliste]] oder den [[IRC| IRC Chat]] (klicke auf den Link Webchat) Kontakt aufnehmen. Bedenke beim Chat, das nicht immer alle ständig vor dem Chat sitzen. Abends ist die beste Zeit. Oder Geduld mitbringen bis du entdeckt wirst.

== Ich habs getan! Und wie geht's weiter? ==

=== Muss ich meinen Router manuell Updaten oder kann ich das automatisch erledigen lassen? ===

Zur Zeit gibt es keinen Mechanismus um Firmware Updates automatisch auf den Freifunk Router laden zu lassen. Der normale und empfohlene Weg das Update aufzuspielen geht über den Config Mode und das Webinterface.

Wenn man jedoch sicher in der Benutzung von SSH und der shell ist, gibt es Wege das Update remote zu flashen. Siehe auch [http://wiki.d0b.eu/index.php?title=Freifunk#Node_Shell_Zeug].

=== Wie komme ich auf meinen Router drauf? ===
Im Normalbetrieb ist erst mal kein Zugriff notwendig (und auch erst mal nicht vorgesehen). Das läuft einfach! ;-) Und es gibt im Normalbetrieb eben auch kein Webinterface, welches Sicherheitslücken haben könnte.

Zum ersten Konfigurieren schaltet mal den Router in einen Konfig-Modus. Der Router nimmt dann in diesem Modus nicht mehr am Freifunknetzwerk teil. Nun kann man dann Rechner an die LAN Ports des Freifunkrouters anschließen und über ein Webinterface per Browser den Router konfigurieren oder Updaten. Das sollte aber nur ganz selten notwendig sein. Nach einem Reboot des Routers geht das Gerät dann wieder in den Freifunk-Modus mit deinen Konfigurationsänderungen.

Wenn man Spaß am Basteln hat kann man das Webinterface aber auch im Normalbetrieb aktivieren. Für die Absicherung muss man dann aber selber sorgen denn per Default ist das nicht abgesichert. Wer sich dennoch daran versuchen will findet eine Anleitung unter [[Pimp my Node#Weboberfläche aktivieren|Pimp my Node]]

=== Wie ändere ich das ssh-Passwort auf meinem Freifunk-Router? ===

Hier gibt es zwei Möglichkeiten:
* Via Config-Mode im Web-Interface ändern (siehe [Mitmachen])
* Via ssh auf den Router einloggen und das Programm '''passwd''' aufrufen. Wenn man sich als root eingeloggt hat, braucht man bloß zweimal das selbe neue Passwort eingeben und jeweils mit Return zu bestätigen. Dieses wird allerdings bei der Eingabe aus Sicherheitsgründen nicht angezeigt. Deshalb ist es gut darauf zu achten, dass Umlaute und Sonderzeichen, die man ggf. im Passwort verwendet, auch korrekt über die ssh-Session übertragen werden. Testen kann man das vorher ggf. auf der Kommandozeile.

=== Wie finde ich meinen Router im Netzwerk wieder? ===

Die IpV6 Adresse steht in den Node-Informationen deiner [https://register.kbu.freifunk.net/users/sign_in User Seite]. Da dies eine Link-Local Adresse ist, ist sie nur aus dem Freifunknetz zu erreichen. (Tipp: Interfacename mit vorangestelltem "%" nicht vergessen!)

=== Ich möchte gerne mehr Infos über meine Nodes ===

Man kann im [https://register.kbu.freifunk.net Benutzerbereich] einige Informationen sehen. Dort gibt es Statusinformationen und auch einige "Fieberkurven" zur aktuellen Auslastung.

Das Webinterface auf dem Freifunk Router stellt zwar auch einige dieser Informationen zur Verfügung (und etwas mehr), ist aber standardmäßig aus Sicherheitsgründen nur im Config Mode aktiviert. Das kann man ändern, dann empfiehlt es sich aber den Zugriff zu schützen und abzusichern, z.B. indem man den Zugriff nur über https zulässt und entsprechende Zertifikate installiert. Siehe Frage "Wie komme ich auf meinen Router drauf?".

=== Kann ich wieder zurück zur original Hersteller Firmware? ===

Ja, wenn Sie vom Hersteller zum Download zur Verfügung gestellt wird. Das sollte aber meistens der Fall sein.

Für Router des Herstellers Ubiquity gibt es unter https://wiki.ubnt.com/Firmware_Recovery eine ausführliche Anleitung.

Weitere Infos findet man unter http://wiki.openwrt.org/toh/start . Bei unseren Freifunk-Treffen helfen wir gerne weiter, wenn's nicht gleich klappt.

=== Freifunkrouter mit 2,4GHz und 5 GHz gleichzeitig? ===

Ich fand zum ersten Überblick zum Thema Hardware [http://luebeck.freifunk.net/wiki/Router die Seite des Lübecker Freifunkwikis] sehr hilfreich.

Dort sind die Routermodelle [http://luebeck.freifunk.net/wiki/Firmware%3A3600 TP-Link WDR3600] und [http://luebeck.freifunk.net/wiki/Firmware%3A4300 TP-Link WDR4300] für den Dualbandbetrieb empfohlen. Wobei ich (Stand 11/2014) gerade den Eindruck hatte das letzteres Modell abverkauft wird.

Freifunkrouter decken zwei Funktions-Bereiche ab:
# Das MESH: hiermit verbinden sich die Router untereinander. Dieses WLAN tritt für den normalen Benutzer nicht in Erscheinung.
# Das Client-Netz WLAN: hier verbinden sich die Benutzer mit ihrem Mobilgerät unter der ESSID "kbu.freifunk.net"

Dualbandrouter stellen beide Funktionalitäten in beiden Frequenzbereichen gleichzeitig zur Verfügung, auch wenn das im Knotengraph nicht gesondert dargestellt wird. Zum Meshen wird dann einfach immer der beste Link genutzt. Das handelt das Protokoll BATMAN automatisch im Mesh aus.

Man kann es seinem Mobilgerät wahlweise selbst überlassen, in welches Band es sich einloggt, wenn die Hardware beide Bänder unterstützt. Es wird aber auch eine ESSID Ausgestrahlt die auf "5" endet, damit man im Zweifelsfall die Hardware in das bessere WLAN "zwingen" kann.

Generell kann man sagen das das 5GHz Band in Ballungsräumen weniger überlastet ist als das 2,4GHz Band.

=== HowTo Firewall Freifunkrouter? ===

Wenn man sicherstellen will das aus dem Freifunknetz und von Freifunkrouter an sich für das private Netzwerk keine Gefahr ausgeht, kann man seinen/seine Freifunkrouter in ein eigenes Subnetz stellen. Bitte nur VLAN oder richtige physikalische Subnetzte benutzen. Die von vielen Routern angeboteten "Exposed Hosts" oder ähnliche konstrukte taugen nicht, auch wenn man da teilweise auch eigene Subnetzadressen vergeben kann. Wichtig ist hier eine Trennung auf Ethernet-Ebene (Layer 2). Zu von manchen Routern angebotenen Gäste-Netzen habe ich (der Autor) zur Zeit keine Informationen.

Wenn man zusätzlich sicherstellen will, das kein Traffic vom Freifunkrouter ins Internet geht und die Tunnelnutzung erzwungen wird, kann man für den Freifunkrouter wie folgt in einer Firewall/Paketfilter einschränken. Damit ermöglicht man dem Freifunkrouter das Aufbauen der fastd-Tunnel, worüber der Internettraffic weggeleitet wird. Der Freifunkrouter kann dann nicht mehr ohne den Tunnel zu benutzen im Internet "surfen". (Stichwort: Schutz vor Störerhaftung)

Sofern man eine iptables-basierte Firewall mit echten Hardwareports besitzt, findet sich unter [https://github.com/nohn/fffirewall-kbu] ein fertiger Konfigurations-Generator.

==== Ports ====

Ich hab mal was gesnifft...
(Stand Freifunksoftware 1.2.1a 12/2014)

Diese Ports werden auf allen Fastd-Gateways benutzt:

{| class="wikitable"
! Port
! Protokoll
! Ziel Adresse
! Funktion
|-
| 53
| TCP/UDP
| Lokaler DNS Server (meistens dein Router)
| Namensauflösung (hm, braucht man die wirklich?)
|-
| 67
| UDP
| alle IPs incl. globalem Broadcast
| Optional: DHCP (wenn keine feste IP konfiguration gewünscht ist)
|-
| 80
| TCP
| Alle Fastd-Gateway-IPs (siehe Folgetabelle)
| Schlüsselregistrierung für den Fastd Tunnel
|-
|123
|UDP
| Alle Fastd-Gateway-IPs (siehe Folgetabelle)
| NTP (Zeitserver)
|-
| 10000
| UDP
| Alle Fastd-Gateway-IPs (siehe Folgetabelle)
| Fastd Tunnel zu den Gateways
|}

==== IPs Fastd Gateways ====
Es wird die Ext. IP Addresse eines jeden Supernodes benötigt:

{{:Serverliste:Supernodes}}

Die IPs der Supernodes können sich im Laufe der Zeit ändern. Von daher sind sie auch über DNS symbolisch adressierbar, wenn die Firewall dies unterstützt.

==== IpV4 vs. IpV6 ====

(Stand Freifunksoftware 1.2.1a 12/2014)

Zur Zeit sehe ich bei mir mangels nativen IpV6 nur IpV4 Traffic in Richtung Internet. Auf der Mailingliste wurde aber thematisiert das zur Zeit IpV6 zur Kommunikation der Nodes mit den Fastd-Gateways noch nicht benutzt wird. Kommt vermutlich mit der nächsten Firmwareversion.

=== Captive Portal installieren ===

Wir haben uns dagegen entschieden aus verschiedenen Gründen. Wer unbedingt will, kann das aber über Einspielen und Konfigurieren von entsprechneden Pakete aus den Originalquellen von openWRT machen. Ist aber alles andere als trivial.

== Technische Fragen ==

=== Warum Kanal 1? ===

http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/2014-July/002439.html

Installation

2014-10-21T20:41:22Z

Luke.westwalker: /* Einsperren des Freifunk-Routers in eine DMZ */

{{TOCright}}
Die Installation und Inbetriebnahme eines Routers im Freifunk-KBU Netz ist recht einfach, so dass grundlegendes IT-Verständnis dafür genügen sollte. In der unten stehenden Tabelle sind die von unserer Freifunk-Gruppe KBU aktiv unterstützten Geräte angegeben, die wir selbst im Einsatz haben oder hatten. Für andere Geräte beachte bitte [[Firmware]].

Es gibt kaum Unterschiede zwischen einer Neuinstallation und einem Upgrade. Beides geschieht durch einen Firmware-Upgrade, wobei bei der Neuinstallation das Administrations-Interface der Hersteller-Firmware und sonst das von OpenWRT-Interface genutzt wird. Der Garantieanspruch geht dabei nicht verloren: man kann auch die Original-Firmware wieder aufspielen, die für das jeweilige Gerät vom Hersteller zum Download angeboten wird.

Zur Installation bzw. für ein Upgrade sind die folgenden Schritte notwendig
# Download der Firmware
# Überprüfen der Signatur der Firmware, um eine Manipulation ausschließen zu können
# Einspielen der Firmware (Von der Hersteller-Firmware oder von OpenWRT aus)
# Registrieren des Nodes (optional)
# Konfigurieren des Nodes (optiomal)

Nachfolgend sind die einzelnen Schritte genauer beschrieben.

Bei Problemen, helfen wir gerne per [[IRC]] oder [[Mailingliste|E-Mail]] weiter.

== Download der Firmware ==
[[Datei:wr741nd_pi3.jpg||300px|thumb|right|Abb. 1 Router und Hardversion]]
[[Datei:wr741nd_pi4.jpg||300px|thumb|right|Abb. 2 LAN Port ]]
* Typ und '''Hardware Version''' des TP-Link Routers prüfen, auf der Unterseite des Routers befindet sich der Router Typ und die Hardwareversion aufgedruckt (Abb.1).
* Download der aktuellen Freifunk Firmware für den Router Typ '''unter Berücksichtigung der entsprechenden Hardwareversion'''. Nach dem Download solltest Du sicher stellen, dass alle Dateien korrekt herunter geladen wurden ([[Firmware Überprüfen]]).
* Solltest Du Dir total unsicher sein, welche die richtige Firmware für Dein Router ist, dann wende Dich bitte per [[IRC]]hat oder über die [[Mailingliste|Mailingliste]] an uns.

{|class="wikitable centered mw-datatable"
|-
| Hersteller || Model || HW Revision || Antennen || Freifunk Firmware
|-
| TP Link || style="width:10em"| TL-WR740N || style="text-align:center"| v4.x (ohne v4.27) || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr740n-v4-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v1.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v2.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v2-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v4.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v4-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v3 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v3-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v5 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v5-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v7.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v7-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v8.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841n-v8-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v9 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841n-v9-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WR842ND || style="text-align:center"| v1.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr842n-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR842ND || style="text-align:center"| v2 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr842n-v2-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WR1043ND || style="text-align:center"| v1.x || style="text-align:center"| 3 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr1043nd-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WDR3500 ||style="text-align:center"| v1 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr3500-v1-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WDR3600 ||style="text-align:center"| v1.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr3600-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WDR4300 ||style="text-align:center"| v1.x (ohne v1.7), v1.7 läuft aber mindestens 1x OK || style="text-align:center"| 3 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr4300-v1-1.2.1a.bin 1.2.1a]
|}

== Überprüfen der Signatur ==

Damit sichergestellt ist, dass die heruntergeladene Freifunk-Firmware auch wirklich die ist, welche wir erstellt und zum Download angeboten haben, sollten unbedingt die Hash-Werte (d.h. ein eindeutiger Fingerabdruck) der Firmware-Dateien und die korrekte Signatur der von uns bereitgestellten Hash-Wert-Datei geprüft werden. Dieses ist vermutlich der schwierigste Teil der Installation und wird von Einzelnen gelegentlich übergangen, getreu der Kölschen Lebensweisheit ''"Et hät noch immer joot jejange"''. Darauf sollte man sich aber in heutigen Zeiten nicht verlassen.

Die Datei mit den Hash-Werten ist mit unserem GPG-Schlüssel signiert. Der heimliche Austausch einer Freifunk-Firmware und des entsprechenden Hash-Wertes ist also nicht möglich, da die Signatur nur bei unveränderter Hash-Wert-Datei gültig bleibt. Unser öffentliche GPG-Schlüssel ist auf gängigen Keyservern hinterlegt.

Wer sich mit GPG noch nicht auskennt, kann sich z.B. unter [https://www.gnupg.org www.gnupg.org] aufschlauen.

Unseren GPG-Schlüssel bekommt man z.B. unter Linux/Unix von der Kommandozeile aus so:
# gpg --keyserver pgp.mit.edu --recv-key '0FA27C6E4'

Nach dem Download der beiden Dateien
* [http://jenkins.kbu.freifunk.net/files/release/1.2.1/SHA256SUMS SHA256 Summen]
* [http://jenkins.kbu.freifunk.net/files/release/1.2.1/SHA256SUMS.sign Signatur]
prüft man dann einfach die Signatur mit

$ gpg --verify SHA256SUMS.sign
gpg: Signature made Wed 27 Aug 2014 10:40:01 PM CEST using RSA key ID FA27C6E4
gpg: Good signature from "Freifunk-KBU Release Signing Key (Used by jenkins.kbu.freifunk.net) <info@kbu.freifunk.net>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: E3B3 AF2B 6B54 149B 9313 4EC0 E782 EAC7 FA27 C6E4

Die Signatur ist also korrekt. Den Fingerprint prüft man am besten einmal offline bei unseren [http://kbu.freifunk.net/wiki/index.php?title=Hauptseite regelmäßigen Treffen].

Dann kann man selbst den Hash-Wert der heruntergeladenen Firmware (hier am Beispiel des Routers TL WR841n mit der Hardware-Version 9) berechnen

$ sha256sum ff-kbu-tl-wr841n-v9-1.2.1b.bin
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ff-kbu-tl-wr841n-v9-1.2.1b.bin

und mit dem Hash-Wert in der signierten und zuvor korrekt verifizierten Datei vergleichen:

$ grep ff-kbu-tl-wr841n-v9-1.2.1b.bin SHA256SUMS
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ./ff-kbu-tl-wr841n-v9-1.2.1b.bin
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ./untested/barrier_breaker/ff-kbu-tl-wr841n-v9-1.2.1b.bin

Damit ist die heruntergeladenen Datei auch genau die, die wir für Freifunk erstellt und angeboten haben. Unter der Voraussetzung, dass uns niemand den privaten GPG-Schlüssel entwendet und das Passwort zur Sicherung des privaten Schlüssels geknackt hat. Letzteres ist sehr sehr unwahrscheinlich.

== Installation ==

Verbindung zum Router herstellen: verbinden des PCs mit einen Netzwerkkabel (normales LAN Kabel) mit einem beliebigem LAN Port (gelb) (Abb.2).
'''Hinweis:''' Eine Ausnahme von dieser LAN/WAN/Farbwahl besteht beim TL-WR841N(D): hier ist es nicht der LAN Port (gelb)
sondern der WAN Port (blau) - wobei diese Ausnahme bei (oder ggf. auch ab) der Hardware-Version 9.0 nicht mehr gilt.

'''Bei TL-WR841N v8.4:''' Beim Flashen über das Firmware-Upgrade der Original-Firmware tritt ggf. folgender Fehler auf:
Error code: 23002
The uploaded file name is too long!
Hier hilft einfaches Umbenennen der herunter geladenen Freifunk-Firmware.

Am PC muss die Netzwerkkarte auf Automatische IP-Adresse beziehen (DHCP) eingestellt sein.

Ggf. den PC vorher von jeglichen anderen WLANs abmelden, sonst kann es zu Konflikten beim automatischen beziehen der IP kommen.

=== Variante: Hersteller-Firmware ===

#Aufrufen des Routermenüs im Webbrowser über die IP Adresse: 192.168.1.1 (oder 192.168.0.1). Benutzer: "admin" und Passwort: "admin" (im Auslieferungszustand)
#Menüpunkt "System-Tools", Untermenüpunkt "Firmware-Upgrade" auswählen (Abb. 3)
#Button "Durchsuchen..." anklicken (Abb. 4) Die Firmwaredatei auswählen (Abb. 5)
#Button "Upgrade" anklicken (Abb. 6) - Sicherheitsfrage mit "OK" beantworten
#Die Installation der Firmware beginnt und dauert ca '''5 Minuten'''. Schalte den Router '''nicht aus''' (Abb. 7). Der Prozess ist abgeschlossen, wenn der Router neu startet und anschliessend die Sys-Lampe dauerhaft leuchtet. (Abb. 8)
#Am Ende erscheint ggf. eine Fehlermeldung, weil der Router nicht mehr über die alte IP-Adresse direkt erreichbar ist.

Eine weitere Konfiguration ist nicht nötig, kann aber über den config-mode vorgenommen werden (siehe [[Installation#Konfigurieren_des_Nodes|Abschnitt config-mode)]].
Der Router (WAN-Port) kann nun mit dem Netzwerk zum DSL Router verbunden werden.

'''Wichtiger Hinweis:''' ''Verbinde keinesfalls Dein lokales Netz mit den '''LAN-Ports''' des Nodes. Sonst steht dein LAN im Freifunknetz offen!'' 

Möchtest Du jedoch einen Dienst (Web-/ Jabber-/ sonstiger Server) innerhalb des Freifunknetzwerkes anbieten, so ist einer der LAN-Ports dein Freund.

<gallery caption="Abbildungen zeigen das original Webinterface des Herstellers" widths="180px" heights="120px" perrow="5">
Datei:install_sc3.jpg|Abb. 3 Firmware-Upgrade
Datei:install_sc4.jpg|Abb. 4 Durchsuchen
Datei:install_sc5.jpg|Abb. 5 Datei wählen und Öffnen (Mittels des Dateimanagers des Betriebssystems)
Datei:install_sc6.jpg|Abb. 6 Firmware-Upgrade
Datei:install_sc10.jpg|Abb. 8 Erfolgreiche Installation
</gallery>

=== Variante: Update ===

Updates der Freifunk-Software werden wie gewöhnliche OpenWRT-Updates eingespielt. (Vgl. http://wiki.openwrt.org/doc/howto/generic.sysupgrade). Solltest Du mit beim Upgrade Probleme haben, so helfen wir Dir gerne im [[IRC]] oder per [[Mailingliste]] weiter. Bei einem Update muss wie folgt vorgegangen werden:

# Config Mode starten (Vgl. [[#Konfigurieren des Nodes]])
# Firmware-Upgrade auswählen
# Firmware hochladen und neu starten

== Registrierung des Nodes ==
Bitte registrieren Deine Freifunk-Node und gibt die Position auf der Karte an. Dies erlaubt es uns, Dich bei Probleme zu verständigen - gleichzeitig kann Dein Node von Nutzern einfacher gefunden werden.

Ein Node muss nach einem Update nicht erneut registriert werden.

'''WICHTIG:''' Der PC muss mit dem gleichen Netzwerk wie die Freifunk Node verbunden sein! Du kannst nur Freifunk-Nodes registrieren, die unter Deiner IP online sind.

#Zum Registrieren des Nodes die Webseite https://register.kbu.freifunk.net aufrufen (Abb. 20)
#Wenn noch nicht vorhanden, ein neuen Account erstellen (Abb. 21)
# Nach der Anmeldung erscheint auf der Startseite die unregistrierte Node als registrierbar (Abb. 22)
#Hier nun die Information zu der Node eingeben (Abb. 23)
#Bei "Standort auf der Karte" die Adresse eingeben und einen Moment warten. Das System sucht die passende Adresse automatisch heraus. Die Adresse anklicken (Abb. 24)
#Der genaue Standort der Node (blauer Marker) kann mit der Maus verändert werden (Abb. 25)
#Auf der Startseite ist die neu registrierte Node unter dem Punkt "Eigene Nodes" zu finden (Abb. 26)
#Um die Details der Registrierung zu bearbeiten, klickt man in der Leiste auf "Nodes" und sucht dann in der Liste seine Node und klickt auf den Link "Registrierung" (Abb. 27)

<gallery>
Datei:register_sc1.jpg|Abb. 20
Datei:register_sc2.jpg|Abb. 21
Datei:register_sc3.jpg|Abb. 22
Datei:register_sc4.jpg|Abb. 23
Datei:register_sc5.jpg|Abb. 24
Datei:register_sc6.jpg|Abb. 25
Datei:register_sc6-5.jpg|Abb. 26
Datei:register_sc8.jpg|Abb. 27

</gallery>

==Konfigurieren des Nodes==
(config mode - optional) 
Grundsätzlich ist unsere Freifunk Firmware so konzipiert, dass der Betreiber eines Nodes (Freifunkknoten) keinerlei Konfigurationsarbeiten durchführen muss. Das bedeutet, nach dem Aufspielen unserer Firmware und der Registrierung, kann der Betreiber direkt loslegen und ist Teil unseres Freifunk-Netzwerkes. Wenn der Betreiber es wünscht, besteht natürlich für Ihn die Möglichkeit, seinen Knoten an seine speziellen Bedürfnisse anzupassen. Die Möglichkeiten und Abweichungen von der Default-Konfiguration sind vielfältig. Diese sollten aber nur dann durchgeführt werden, wenn der Durchführende genau weiß was er da macht. Eine fehlerhaft Konfiguration kann zum Beispiel zu Störungen im Netzwerk führen, ferner könnten illegitime Maßnahmen implementiert werden. Beide zuvor genannten Beispiele würden zu einem Ausschluss aus unserem Netzwerk führen. Dennoch kann man gute Gründe haben die ein Abweichen von den Defaultwerten sinnvoll machen.

* Es ist zum Beispiel möglich, ein Passwort zu setzen um den Node per Fernzugriff/Login zu warten oder einige erweiterte Einstellungen vorzunehmen.

Es kann durchaus sinnvoll sein, die LAN-Ports speziell zu konfigurieren oder zusätzliche Software für eine Bandbreitenbegrenzung zu installieren.

An dieser Stellen möchten wir nur beschreiben, wie man in diesen Konfigurationsmodus gelangt. Eine ausführliche Beschreibung einiger [[Erweiterungen]] ist in Arbeit. Siehe auch [[Mitmachen#Pimp_My_Node|Pimp_My_Node]]

'''Vorgehensweise'''
#PC mit Router über Netzwerkkabel verbinden (gelbe LAN Ports am Router)
#Wenn der Router gestartet ist (Power, Sys, WLAN leuchten dauerhaft), QSS Taste (schwarzer Knopf) 6 Sekunden drücken (Abb.10) (bis der Router neu startet, das sieht man daran, dass alle Lampen einmal ausgehen). Danach wird die Sys-Lampe, unregelmäßig blinken (Siehe: http://www.nilsschneider.net/2013/02/10/freifunk-blinken.html).
#bei manchen Routern (z.B. beim WR841N) muss man jetzt das Netzwerkkabel am Router umstecken (blauer WAN Port)
#Abwarten, bis der PC eine neue LAN-Verbindung aufgebaut hat (DHCP ist aktiv)
#Adresse http://192.168.1.1 aufrufen. - Punkt "Knoten neu einrichten" anklicken (Abb. 11)
#Vergabe von Passwort für den Fernzugriff/Login. Dann auf "weiter" klicken (Abb. 12)
#bei Bedarf die Bandbreitenbegrenzung aktivieren und auf "weiter" klicken (Abb. 13)
#auf "Jetzt neustarten!" klicken (Abb. 14) - Der Router startet neu, die kommende Fehlermeldung kann ignoriert werden (Abb. 15)
#Netzwerkkabel trennen und im WLAN warten, bis das netz "kbu.freifunk.net" auftaucht

'''Verbinde keinesfalls Dein lokales Netz mit den gelben LAN-Ports des Nodes. Sonst steht es allen offen!'''

<gallery>
Datei:wr741nd_pi4-5.jpg|Abb. 10 QSS-Taste bei WR741ND
Datei:config_sc1.jpg|Abb. 11
Datei:config_sc2.jpg|Abb. 12
Datei:config_sc3.jpg|Abb. 13
Datei:config_sc4.jpg|Abb. 14
Datei:config_sc5.jpg|Abb. 15

</gallery>

=== via Shell ===
Vorraussetzung für folgende Befehle sind eine Verbindung mit dem KBU Freifunk Netz sowie ein Terminal / Shell.
Vergesst nicht eth0 gegen die Bezeichnung eures Netzwerkinterfaces, welches am Freifunk hängt zu tauschen.
Bei Macbooks via Wlan z.B. "en1" statt "eth0"! Die link local Adresse der jeweiligen node findet ihr auf der [http://register.kbu.freifunk.net KBU Register] Seite.
IPv6 ping
<pre>
ping6 <link local adress des node>%eth0
</pre>

IPv6 ssh - Hinter der link local Adresse "%" + "Netzwerk Interface an eurer Kiste" (Hier im Beispiel eth0)
<pre>
ssh root@<link local adress des node>%eth0
</pre>

Firmware upgrade bei node mit uplink

<pre>
ssh root@<link local adress des node>%eth0 // SSH Verbindung zum Node aufbauen
cd ../tmp/ // in das Verzeichnis "tmp" wechseln
free // Freien Speicher prüfen
wget http://pfad/zur/firmware.bin // Firmware herunterladen oder
sysupgrade -v firmware.bin // Firmwareupgrade durchführen
</pre>

Firmware upgrade bei node ohne uplink
<pre>
scp -6 -v -r firmware.bin root@\[<linkloc>%eth0\]:../tmp/ // Firmware auf den node schieben (md5 checken!)
ssh root@<link local adress des node>%eth0
cd ../tmp/
sysupgrade -v firmware.bin
</pre>

==== LAN Kopplung ====
Eine LAN Kopplung kann in manchen Fällen sinnvoll sein, besonders wenn man einen VLAN fähigen Switch und eine bestehende Ntzwerkverkabelung hat. Hier werden die Switchports angwiesen auch über LAN zu meshen.

===== TL-WR841ND =====
03/2014: Hier wird über die alle 4 LAN Ports gemeshed, Mesh über WLAN kann man optional noch ausschalten! Folgende Config stammt von rampone/FF-KBU und wurde an 2 TL-WR841N v.8 getestet mit KBU-FF-Firmware 1.1.

''vim /etc/config/network'' - Folgende Änderungen wurden an der FF-Firmware 1.0 vorgenommen:
#config interface 'freifunk' -> Hier haben wir eth0 aus "ifname" rausgenommen, damit kein ff aus dem eth0 (switch) rauskommt.
#config interface 'mesh_lan' -> kompl. codeblock hinzugefügt, dieser bewirkt das über eth0 (switch) gemeshed wird.

<pre>
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
option type 'bridge'
option accept_ra '0'
option auto '1'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'

config interface 'freifunk'
option ifname 'bat0' #LAN-Kopplung: ifname eth1 entfernt
option type 'bridge'
option proto 'none'
option auto '1'
option accept_ra '1'
option macaddr '10:fe:ed:f1:53:84'

config interface 'mesh'
option proto 'batadv'
option mtu '1528'
option mesh 'bat0'

config interface 'mesh_vpn'
option ifname 'mesh-vpn'
option proto 'batadv'
option mesh 'bat0'
option macaddr '12:fe:ed:f2:53:84'

config interface 'mesh_lan' #LAN-Kopplung: Codeblock mesh-lan hinzugefuegt
option ifname 'eth1'
option proto 'batadv'
option mesh 'bat0'
</pre>

''vim /etc/config/wireless'' - Hier wird der Codeblock, der für das Mesh über WLAN verantwortlich ist auskommentiert (optional)
<pre>
#config wifi-iface 'wifi_mesh'
# option device 'radio0'
# option network 'mesh'
# option mode 'adhoc'
# option ssid '02:d1:11:37:fc:39'
# option bssid '02:d1:11:37:fc:39
</pre>

===== TL-WDR4300 =====
Das gleiche nochmal für den 4300er

''vim /etc/config/network''
<pre>
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'
option type 'bridge'
option accept_ra '0'
option auto '1'
option macaddr 'a2:f3:c1:65:81:cd'

config switch
option name 'eth0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'eth0'
option vlan '1'
option ports '0t 2 3 4 5'

config switch_vlan
option device 'eth0'
option vlan '2'
option ports '0t 1'

config interface 'freifunk'
option ifname 'bat0' #LAN-Kopplung: ifname eth0.1 entfernt
option type 'bridge'
option proto 'none'
option auto '1'
option accept_ra '1'
option macaddr 'a0:f3:c1:64:81:cc'

config interface 'mesh'
option proto 'batadv'
option mtu '1528'
option mesh 'bat0'

config interface 'mesh_vpn'
option ifname 'mesh-vpn'
option proto 'batadv'
option mesh 'bat0'
option macaddr 'a2:f3:c1:65:81:cc'

config interface 'mesh_lan' #LAN-Kopplung: Codeblock mesh-lan hinzugefuegt
option ifname 'eth0.1'
option proto 'batadv'
option mesh 'bat0'

</pre>

===Pimp My Node===

An dieser Stelle möchten wir noch ein paar Erweiterungen vorstellen. Da die Geräte normalerweise 24/7 in Betrieb sind, kann, je nach Hardware, der ein oder andere Freifunkrouter mit ein paar zusätzlichen Funktionen und/oder Aufgaben betreut werden.

;Web-Interface einschalten.
Um das WebInterface dauerhaft einzuschalten:
Per SSH auf der Konsole einloggen und
/etc/init.d/uhttpd enable
ausführen.

;Zusätzliche WLANs
:Hier eine Anleitung von [[Benutzer:Twinter|Twinter]], in der er euch zeigen möchte, wie Ihr einfach eurem Freifunk-Node [[AnleitungZusätzlichesWLAN|zusätzliche WLANs]] beibringen könnt.

== Einsperren des Freifunk-Routers in eine DMZ ==

Wer seinen Freifunk-Router einsperren und/oder die Bandbreite begrenzen möchte, kann dies am einfachsten tun, indem er ihn an seiner Firewall an einen eigenen Netzwerkport klemmt und diesen dann als DMZ konfiguriert. Ein KBU-Freifunk-Router muß zur Zeit im LAN DHCP, DNS, im Internet NTP sowie mit den [[fastd]]-Knoten reden können. Folgendes Bespiel für eine iptables-Firewall nimmt an, dass der Freifunk-Router über eth2 angeschlossen ist:

# eth2 darf nur dns, ntp, dhcp und ansonsten mit den fastdX reden
iptables -i eth2 -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -i eth2 -A FORWARD -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -i eth2 -A INPUT -p udp --dport 53 -j ACCEPT
iptables -i eth2 -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -i eth2 -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -i eth2 -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -i eth2 -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -i eth2 -A FORWARD -p tcp --dport 123 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 176.9.41.253 -j ACCEPT
iptables -i eth2 -A FORWARD --src 176.9.41.253 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 178.63.59.41 -j ACCEPT
iptables -i eth2 -A FORWARD --src 178.63.59.41 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 37.120.169.214 -j ACCEPT
iptables -i eth2 -A FORWARD --src 37.120.169.214 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 37.221.195.47 -j ACCEPT
iptables -i eth2 -A FORWARD --src 37.221.195.47 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 78.46.68.75 -j ACCEPT
iptables -i eth2 -A FORWARD --src 78.46.68.75 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 84.201.35.206 -j ACCEPT
iptables -i eth2 -A FORWARD --src 84.201.35.206 -j ACCEPT
iptables -i eth2 -A INPUT -j DROP
iptables -i eth2 -A FORWARD -j DROP
# eth2 darf maximal 2000 kbit/s ein- und ausgehenden traffic machen
wondershaper eth2 2000 2000

Prinzipiell könnte man den Traffic noch weiter einschränken. DHCP und DNS müssen nur zum DHCP- bzw. DNS-Server funktionieren und der Traffic zu den fastd-Servern ließe sich auf TCP Port 80 und UDP Port 10000 begrenzen.

Installation

2014-10-21T20:40:42Z

Luke.westwalker: /* Einsperren des Freifunk-Routers in eine DMZ */

Installation

2014-10-19T07:47:56Z

Luke.westwalker: Einsperren des Routers

{{TOCright}}
Die Installation und Inbetriebnahme eines Routers im Freifunk-KBU Netz ist recht einfach, so dass grundlegendes IT-Verständnis dafür genügen sollte. In der unten stehenden Tabelle sind die von unserer Freifunk-Gruppe KBU aktiv unterstützten Geräte angegeben, die wir selbst im Einsatz haben oder hatten. Für andere Geräte beachte bitte [[Firmware]].

Es gibt kaum Unterschiede zwischen einer Neuinstallation und einem Upgrade. Beides geschieht durch einen Firmware-Upgrade, wobei bei der Neuinstallation das Administrations-Interface der Hersteller-Firmware und sonst das von OpenWRT-Interface genutzt wird. Der Garantieanspruch geht dabei nicht verloren: man kann auch die Original-Firmware wieder aufspielen, die für das jeweilige Gerät vom Hersteller zum Download angeboten wird.

Zur Installation bzw. für ein Upgrade sind die folgenden Schritte notwendig
# Download der Firmware
# Überprüfen der Signatur der Firmware, um eine Manipulation ausschließen zu können
# Einspielen der Firmware (Von der Hersteller-Firmware oder von OpenWRT aus)
# Registrieren des Nodes (optional)
# Konfigurieren des Nodes (optiomal)

Nachfolgend sind die einzelnen Schritte genauer beschrieben.

Bei Problemen, helfen wir gerne per [[IRC]] oder [[Mailingliste|E-Mail]] weiter.

== Download der Firmware ==
[[Datei:wr741nd_pi3.jpg||300px|thumb|right|Abb. 1 Router und Hardversion]]
[[Datei:wr741nd_pi4.jpg||300px|thumb|right|Abb. 2 LAN Port ]]
* Typ und '''Hardware Version''' des TP-Link Routers prüfen, auf der Unterseite des Routers befindet sich der Router Typ und die Hardwareversion aufgedruckt (Abb.1).
* Download der aktuellen Freifunk Firmware für den Router Typ '''unter Berücksichtigung der entsprechenden Hardwareversion'''. Nach dem Download solltest Du sicher stellen, dass alle Dateien korrekt herunter geladen wurden ([[Firmware Überprüfen]]).
* Solltest Du Dir total unsicher sein, welche die richtige Firmware für Dein Router ist, dann wende Dich bitte per [[IRC]]hat oder über die [[Mailingliste|Mailingliste]] an uns.

{|class="wikitable centered mw-datatable"
|-
| Hersteller || Model || HW Revision || Antennen || Freifunk Firmware
|-
| TP Link || style="width:10em"| TL-WR740N || style="text-align:center"| v4.x (ohne v4.27) || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr740n-v4-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v1.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v2.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v2-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR741N(D) || style="text-align:center"| v4.x || style="text-align:center"| 1 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr741nd-v4-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v3 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v3-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v5 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v5-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v7.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841nd-v7-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v8.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841n-v8-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR841N(D) || style="text-align:center"| v9 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr841n-v9-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WR842ND || style="text-align:center"| v1.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr842n-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WR842ND || style="text-align:center"| v2 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr842n-v2-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WR1043ND || style="text-align:center"| v1.x || style="text-align:center"| 3 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wr1043nd-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WDR3500 ||style="text-align:center"| v1 || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr3500-v1-1.2.1b.bin 1.2.1b]
|-
| TP Link || TL-WDR3600 ||style="text-align:center"| v1.x || style="text-align:center"| 2 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr3600-v1-1.2.1a.bin 1.2.1a]
|-
| TP Link || TL-WDR4300 ||style="text-align:center"| v1.x (ohne v1.7), v1.7 läuft aber mindestens 1x OK || style="text-align:center"| 3 || style="text-align:center"| [http://jenkins.kbu.freifunk.net/files/release/1.2.1/ff-kbu-tl-wdr4300-v1-1.2.1a.bin 1.2.1a]
|}

== Überprüfen der Signatur ==

Damit sichergestellt ist, dass die heruntergeladene Freifunk-Firmware auch wirklich die ist, welche wir erstellt und zum Download angeboten haben, sollten unbedingt die Hash-Werte (d.h. ein eindeutiger Fingerabdruck) der Firmware-Dateien und die korrekte Signatur der von uns bereitgestellten Hash-Wert-Datei geprüft werden. Dieses ist vermutlich der schwierigste Teil der Installation und wird von Einzelnen gelegentlich übergangen, getreu der Kölschen Lebensweisheit ''"Et hät noch immer joot jejange"''. Darauf sollte man sich aber in heutigen Zeiten nicht verlassen.

Die Datei mit den Hash-Werten ist mit unserem GPG-Schlüssel signiert. Der heimliche Austausch einer Freifunk-Firmware und des entsprechenden Hash-Wertes ist also nicht möglich, da die Signatur nur bei unveränderter Hash-Wert-Datei gültig bleibt. Unser öffentliche GPG-Schlüssel ist auf gängigen Keyservern hinterlegt.

Wer sich mit GPG noch nicht auskennt, kann sich z.B. unter [https://www.gnupg.org www.gnupg.org] aufschlauen.

Unseren GPG-Schlüssel bekommt man z.B. unter Linux/Unix von der Kommandozeile aus so:
# gpg --keyserver pgp.mit.edu --recv-key '0FA27C6E4'

Nach dem Download der beiden Dateien
* [http://jenkins.kbu.freifunk.net/files/release/1.2.1/SHA256SUMS SHA256 Summen]
* [http://jenkins.kbu.freifunk.net/files/release/1.2.1/SHA256SUMS.sign Signatur]
prüft man dann einfach die Signatur mit

$ gpg --verify SHA256SUMS.sign
gpg: Signature made Wed 27 Aug 2014 10:40:01 PM CEST using RSA key ID FA27C6E4
gpg: Good signature from "Freifunk-KBU Release Signing Key (Used by jenkins.kbu.freifunk.net) <info@kbu.freifunk.net>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: E3B3 AF2B 6B54 149B 9313 4EC0 E782 EAC7 FA27 C6E4

Die Signatur ist also korrekt. Den Fingerprint prüft man am besten einmal offline bei unseren [http://kbu.freifunk.net/wiki/index.php?title=Hauptseite regelmäßigen Treffen].

Dann kann man selbst den Hash-Wert der heruntergeladenen Firmware (hier am Beispiel des Routers TL WR841n mit der Hardware-Version 9) berechnen

$ sha256sum ff-kbu-tl-wr841n-v9-1.2.1b.bin
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ff-kbu-tl-wr841n-v9-1.2.1b.bin

und mit dem Hash-Wert in der signierten und zuvor korrekt verifizierten Datei vergleichen:

$ grep ff-kbu-tl-wr841n-v9-1.2.1b.bin SHA256SUMS
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ./ff-kbu-tl-wr841n-v9-1.2.1b.bin
2a3df4ea2e10cc9697a80fa0db7cf962fca052ec5d669779ae79e0345da16b30 ./untested/barrier_breaker/ff-kbu-tl-wr841n-v9-1.2.1b.bin

Damit ist die heruntergeladenen Datei auch genau die, die wir für Freifunk erstellt und angeboten haben. Unter der Voraussetzung, dass uns niemand den privaten GPG-Schlüssel entwendet und das Passwort zur Sicherung des privaten Schlüssels geknackt hat. Letzteres ist sehr sehr unwahrscheinlich.

== Installation ==

Verbindung zum Router herstellen: verbinden des PCs mit einen Netzwerkkabel (normales LAN Kabel) mit einem beliebigem LAN Port (gelb) (Abb.2).
'''Hinweis:''' Eine Ausnahme von dieser LAN/WAN/Farbwahl besteht beim TL-WR841N(D): hier ist es nicht der LAN Port (gelb)
sondern der WAN Port (blau) - wobei diese Ausnahme bei (oder ggf. auch ab) der Hardware-Version 9.0 nicht mehr gilt.

'''Bei TL-WR841N v8.4:''' Beim Flashen über das Firmware-Upgrade der Original-Firmware tritt ggf. folgender Fehler auf:
Error code: 23002
The uploaded file name is too long!
Hier hilft einfaches Umbenennen der herunter geladenen Freifunk-Firmware.

Am PC muss die Netzwerkkarte auf Automatische IP-Adresse beziehen (DHCP) eingestellt sein.

Ggf. den PC vorher von jeglichen anderen WLANs abmelden, sonst kann es zu Konflikten beim automatischen beziehen der IP kommen.

=== Variante: Hersteller-Firmware ===

#Aufrufen des Routermenüs im Webbrowser über die IP Adresse: 192.168.1.1 (oder 192.168.0.1). Benutzer: "admin" und Passwort: "admin" (im Auslieferungszustand)
#Menüpunkt "System-Tools", Untermenüpunkt "Firmware-Upgrade" auswählen (Abb. 3)
#Button "Durchsuchen..." anklicken (Abb. 4) Die Firmwaredatei auswählen (Abb. 5)
#Button "Upgrade" anklicken (Abb. 6) - Sicherheitsfrage mit "OK" beantworten
#Die Installation der Firmware beginnt und dauert ca '''5 Minuten'''. Schalte den Router '''nicht aus''' (Abb. 7). Der Prozess ist abgeschlossen, wenn der Router neu startet und anschliessend die Sys-Lampe dauerhaft leuchtet. (Abb. 8)
#Am Ende erscheint ggf. eine Fehlermeldung, weil der Router nicht mehr über die alte IP-Adresse direkt erreichbar ist.

Eine weitere Konfiguration ist nicht nötig, kann aber über den config-mode vorgenommen werden (siehe [[Installation#Konfigurieren_des_Nodes|Abschnitt config-mode)]].
Der Router (WAN-Port) kann nun mit dem Netzwerk zum DSL Router verbunden werden.

'''Wichtiger Hinweis:''' ''Verbinde keinesfalls Dein lokales Netz mit den '''LAN-Ports''' des Nodes. Sonst steht dein LAN im Freifunknetz offen!'' 

Möchtest Du jedoch einen Dienst (Web-/ Jabber-/ sonstiger Server) innerhalb des Freifunknetzwerkes anbieten, so ist einer der LAN-Ports dein Freund.

<gallery caption="Abbildungen zeigen das original Webinterface des Herstellers" widths="180px" heights="120px" perrow="5">
Datei:install_sc3.jpg|Abb. 3 Firmware-Upgrade
Datei:install_sc4.jpg|Abb. 4 Durchsuchen
Datei:install_sc5.jpg|Abb. 5 Datei wählen und Öffnen (Mittels des Dateimanagers des Betriebssystems)
Datei:install_sc6.jpg|Abb. 6 Firmware-Upgrade
Datei:install_sc10.jpg|Abb. 8 Erfolgreiche Installation
</gallery>

=== Variante: Update ===

Updates der Freifunk-Software werden wie gewöhnliche OpenWRT-Updates eingespielt. (Vgl. http://wiki.openwrt.org/doc/howto/generic.sysupgrade). Solltest Du mit beim Upgrade Probleme haben, so helfen wir Dir gerne im [[IRC]] oder per [[Mailingliste]] weiter. Bei einem Update muss wie folgt vorgegangen werden:

# Config Mode starten (Vgl. [[#Konfigurieren des Nodes]])
# Firmware-Upgrade auswählen
# Firmware hochladen und neu starten

== Registrierung des Nodes ==
Bitte registrieren Deine Freifunk-Node und gibt die Position auf der Karte an. Dies erlaubt es uns, Dich bei Probleme zu verständigen - gleichzeitig kann Dein Node von Nutzern einfacher gefunden werden.

Ein Node muss nach einem Update nicht erneut registriert werden.

'''WICHTIG:''' Der PC muss mit dem gleichen Netzwerk wie die Freifunk Node verbunden sein! Du kannst nur Freifunk-Nodes registrieren, die unter Deiner IP online sind.

#Zum Registrieren des Nodes die Webseite https://register.kbu.freifunk.net aufrufen (Abb. 20)
#Wenn noch nicht vorhanden, ein neuen Account erstellen (Abb. 21)
# Nach der Anmeldung erscheint auf der Startseite die unregistrierte Node als registrierbar (Abb. 22)
#Hier nun die Information zu der Node eingeben (Abb. 23)
#Bei "Standort auf der Karte" die Adresse eingeben und einen Moment warten. Das System sucht die passende Adresse automatisch heraus. Die Adresse anklicken (Abb. 24)
#Der genaue Standort der Node (blauer Marker) kann mit der Maus verändert werden (Abb. 25)
#Auf der Startseite ist die neu registrierte Node unter dem Punkt "Eigene Nodes" zu finden (Abb. 26)
#Um die Details der Registrierung zu bearbeiten, klickt man in der Leiste auf "Nodes" und sucht dann in der Liste seine Node und klickt auf den Link "Registrierung" (Abb. 27)

<gallery>
Datei:register_sc1.jpg|Abb. 20
Datei:register_sc2.jpg|Abb. 21
Datei:register_sc3.jpg|Abb. 22
Datei:register_sc4.jpg|Abb. 23
Datei:register_sc5.jpg|Abb. 24
Datei:register_sc6.jpg|Abb. 25
Datei:register_sc6-5.jpg|Abb. 26
Datei:register_sc8.jpg|Abb. 27

</gallery>

==Konfigurieren des Nodes==
(config mode - optional) 
Grundsätzlich ist unsere Freifunk Firmware so konzipiert, dass der Betreiber eines Nodes (Freifunkknoten) keinerlei Konfigurationsarbeiten durchführen muss. Das bedeutet, nach dem Aufspielen unserer Firmware und der Registrierung, kann der Betreiber direkt loslegen und ist Teil unseres Freifunk-Netzwerkes. Wenn der Betreiber es wünscht, besteht natürlich für Ihn die Möglichkeit, seinen Knoten an seine speziellen Bedürfnisse anzupassen. Die Möglichkeiten und Abweichungen von der Default-Konfiguration sind vielfältig. Diese sollten aber nur dann durchgeführt werden, wenn der Durchführende genau weiß was er da macht. Eine fehlerhaft Konfiguration kann zum Beispiel zu Störungen im Netzwerk führen, ferner könnten illegitime Maßnahmen implementiert werden. Beide zuvor genannten Beispiele würden zu einem Ausschluss aus unserem Netzwerk führen. Dennoch kann man gute Gründe haben die ein Abweichen von den Defaultwerten sinnvoll machen.

* Es ist zum Beispiel möglich, ein Passwort zu setzen um den Node per Fernzugriff/Login zu warten oder einige erweiterte Einstellungen vorzunehmen.

Es kann durchaus sinnvoll sein, die LAN-Ports speziell zu konfigurieren oder zusätzliche Software für eine Bandbreitenbegrenzung zu installieren.

An dieser Stellen möchten wir nur beschreiben, wie man in diesen Konfigurationsmodus gelangt. Eine ausführliche Beschreibung einiger [[Erweiterungen]] ist in Arbeit. Siehe auch [[Mitmachen#Pimp_My_Node|Pimp_My_Node]]

'''Vorgehensweise'''
#PC mit Router über Netzwerkkabel verbinden (gelbe LAN Ports am Router)
#Wenn der Router gestartet ist (Power, Sys, WLAN leuchten dauerhaft), QSS Taste (schwarzer Knopf) 6 Sekunden drücken (Abb.10) (bis der Router neu startet, das sieht man daran, dass alle Lampen einmal ausgehen). Danach wird die Sys-Lampe, unregelmäßig blinken (Siehe: http://www.nilsschneider.net/2013/02/10/freifunk-blinken.html).
#bei manchen Routern (z.B. beim WR841N) muss man jetzt das Netzwerkkabel am Router umstecken (blauer WAN Port)
#Abwarten, bis der PC eine neue LAN-Verbindung aufgebaut hat (DHCP ist aktiv)
#Adresse http://192.168.1.1 aufrufen. - Punkt "Knoten neu einrichten" anklicken (Abb. 11)
#Vergabe von Passwort für den Fernzugriff/Login. Dann auf "weiter" klicken (Abb. 12)
#bei Bedarf die Bandbreitenbegrenzung aktivieren und auf "weiter" klicken (Abb. 13)
#auf "Jetzt neustarten!" klicken (Abb. 14) - Der Router startet neu, die kommende Fehlermeldung kann ignoriert werden (Abb. 15)
#Netzwerkkabel trennen und im WLAN warten, bis das netz "kbu.freifunk.net" auftaucht

'''Verbinde keinesfalls Dein lokales Netz mit den gelben LAN-Ports des Nodes. Sonst steht es allen offen!'''

<gallery>
Datei:wr741nd_pi4-5.jpg|Abb. 10 QSS-Taste bei WR741ND
Datei:config_sc1.jpg|Abb. 11
Datei:config_sc2.jpg|Abb. 12
Datei:config_sc3.jpg|Abb. 13
Datei:config_sc4.jpg|Abb. 14
Datei:config_sc5.jpg|Abb. 15

</gallery>

=== via Shell ===
Vorraussetzung für folgende Befehle sind eine Verbindung mit dem KBU Freifunk Netz sowie ein Terminal / Shell.
Vergesst nicht eth0 gegen die Bezeichnung eures Netzwerkinterfaces, welches am Freifunk hängt zu tauschen.
Bei Macbooks via Wlan z.B. "en1" statt "eth0"! Die link local Adresse der jeweiligen node findet ihr auf der [http://register.kbu.freifunk.net KBU Register] Seite.
IPv6 ping
<pre>
ping6 <link local adress des node>%eth0
</pre>

IPv6 ssh - Hinter der link local Adresse "%" + "Netzwerk Interface an eurer Kiste" (Hier im Beispiel eth0)
<pre>
ssh root@<link local adress des node>%eth0
</pre>

Firmware upgrade bei node mit uplink

<pre>
ssh root@<link local adress des node>%eth0 // SSH Verbindung zum Node aufbauen
cd ../tmp/ // in das Verzeichnis "tmp" wechseln
free // Freien Speicher prüfen
wget http://pfad/zur/firmware.bin // Firmware herunterladen oder
sysupgrade -v firmware.bin // Firmwareupgrade durchführen
</pre>

Firmware upgrade bei node ohne uplink
<pre>
scp -6 -v -r firmware.bin root@\[<linkloc>%eth0\]:../tmp/ // Firmware auf den node schieben (md5 checken!)
ssh root@<link local adress des node>%eth0
cd ../tmp/
sysupgrade -v firmware.bin
</pre>

==== LAN Kopplung ====
Eine LAN Kopplung kann in manchen Fällen sinnvoll sein, besonders wenn man einen VLAN fähigen Switch und eine bestehende Ntzwerkverkabelung hat. Hier werden die Switchports angwiesen auch über LAN zu meshen.

===== TL-WR841ND =====
03/2014: Hier wird über die alle 4 LAN Ports gemeshed, Mesh über WLAN kann man optional noch ausschalten! Folgende Config stammt von rampone/FF-KBU und wurde an 2 TL-WR841N v.8 getestet mit KBU-FF-Firmware 1.1.

''vim /etc/config/network'' - Folgende Änderungen wurden an der FF-Firmware 1.0 vorgenommen:
#config interface 'freifunk' -> Hier haben wir eth0 aus "ifname" rausgenommen, damit kein ff aus dem eth0 (switch) rauskommt.
#config interface 'mesh_lan' -> kompl. codeblock hinzugefügt, dieser bewirkt das über eth0 (switch) gemeshed wird.

<pre>
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
option type 'bridge'
option accept_ra '0'
option auto '1'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'

config interface 'freifunk'
option ifname 'bat0' #LAN-Kopplung: ifname eth1 entfernt
option type 'bridge'
option proto 'none'
option auto '1'
option accept_ra '1'
option macaddr '10:fe:ed:f1:53:84'

config interface 'mesh'
option proto 'batadv'
option mtu '1528'
option mesh 'bat0'

config interface 'mesh_vpn'
option ifname 'mesh-vpn'
option proto 'batadv'
option mesh 'bat0'
option macaddr '12:fe:ed:f2:53:84'

config interface 'mesh_lan' #LAN-Kopplung: Codeblock mesh-lan hinzugefuegt
option ifname 'eth1'
option proto 'batadv'
option mesh 'bat0'
</pre>

''vim /etc/config/wireless'' - Hier wird der Codeblock, der für das Mesh über WLAN verantwortlich ist auskommentiert (optional)
<pre>
#config wifi-iface 'wifi_mesh'
# option device 'radio0'
# option network 'mesh'
# option mode 'adhoc'
# option ssid '02:d1:11:37:fc:39'
# option bssid '02:d1:11:37:fc:39
</pre>

===== TL-WDR4300 =====
Das gleiche nochmal für den 4300er

''vim /etc/config/network''
<pre>
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'
option type 'bridge'
option accept_ra '0'
option auto '1'
option macaddr 'a2:f3:c1:65:81:cd'

config switch
option name 'eth0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'eth0'
option vlan '1'
option ports '0t 2 3 4 5'

config switch_vlan
option device 'eth0'
option vlan '2'
option ports '0t 1'

config interface 'freifunk'
option ifname 'bat0' #LAN-Kopplung: ifname eth0.1 entfernt
option type 'bridge'
option proto 'none'
option auto '1'
option accept_ra '1'
option macaddr 'a0:f3:c1:64:81:cc'

config interface 'mesh'
option proto 'batadv'
option mtu '1528'
option mesh 'bat0'

config interface 'mesh_vpn'
option ifname 'mesh-vpn'
option proto 'batadv'
option mesh 'bat0'
option macaddr 'a2:f3:c1:65:81:cc'

config interface 'mesh_lan' #LAN-Kopplung: Codeblock mesh-lan hinzugefuegt
option ifname 'eth0.1'
option proto 'batadv'
option mesh 'bat0'

</pre>

===Pimp My Node===

An dieser Stelle möchten wir noch ein paar Erweiterungen vorstellen. Da die Geräte normalerweise 24/7 in Betrieb sind, kann, je nach Hardware, der ein oder andere Freifunkrouter mit ein paar zusätzlichen Funktionen und/oder Aufgaben betreut werden.

;Web-Interface einschalten.
Um das WebInterface dauerhaft einzuschalten:
Per SSH auf der Konsole einloggen und
/etc/init.d/uhttpd enable
ausführen.

;Zusätzliche WLANs
:Hier eine Anleitung von [[Benutzer:Twinter|Twinter]], in der er euch zeigen möchte, wie Ihr einfach eurem Freifunk-Node [[AnleitungZusätzlichesWLAN|zusätzliche WLANs]] beibringen könnt.

== Einsperren des Freifunk-Routers in eine DMZ ==

Wer seinen Freifunk-Router einsperren und/oder die Bandbreite begrenzen möchte, kann dies am einfachsten tun, indem er ihn an seiner Firewall an einen eigenen Netzwerkport klemmt und diesen dann als DMZ konfiguriert. Ein KBU-Freifunk-Router muß zur Zeit im LAN DHCP, DNS, im Internet NTP sowie mit den [[fastd]]-Knoten reden können. Folgendes Bespiel für eine iptables-Firewall nimmt an, dass der Freifunk-Router über eth2 angeschlossen ist:

# eth2 darf nur dns, ntp, dhcp und ansonsten mit den fastdX reden
iptables -i eth2 -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -i eth2 -A FORWARD -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -i eth2 -A INPUT -p udp --dport 53 -j ACCEPT
iptables -i eth2 -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -i eth2 -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -i eth2 -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -i eth2 -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -i eth2 -A FORWARD -p tcp --dport 123 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 176.9.41.253 -j ACCEPT
iptables -i eth2 -A FORWARD --src 176.9.41.253 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 37.221.195.47 -j ACCEPT
iptables -i eth2 -A FORWARD --src 37.221.195.47 -j ACCEPT
iptables -i eth2 -A FORWARD --dst 78.46.68.75 -j ACCEPT
iptables -i eth2 -A FORWARD --src 78.46.68.75 -j ACCEPT
iptables -i eth2 -A INPUT -j DROP
iptables -i eth2 -A FORWARD -j DROP
# eth2 darf maximal 2000 kbit/s ein- und ausgehenden traffic machen
wondershaper eth2 2000 2000

Prinzipiell könnte man den Traffic noch weiter einschränken. DHCP und DNS müssen nur zum DHCP- bzw. DNS-Server funktionieren und der Traffic zu den fastd-Servern ließe sich auf TCP Port 80 und UDP Port 10000 begrenzen.