# Eigener WLAN-Hotspot - Brainstorming und Tipps

## Jimini

Aloha,

nachdem ich in den letzten Tagen von einem Mitbewohner aus unserem Haus erfahren habe, dass sich ein paar Leute die Internetzugänge via WLAN teilen, kam mir die Idee, wieso ich nicht einen Hotspot für unser Haus einrichten soll. Die 100MBit down und 6MBit up reize ich ohnehin selten aus, so dass ich mir gedacht habe, dass ich beispielsweise pro Person 10MBit down und 0,5MBit up zur Verfügung stellen könnte. Aber dazu später mehr - momentan bin ich erstmal am überlegen, wie ich das ganze am besten strukturiere und plane. 

Meine Ideen sind wie folgt:

1) Selbstbaulösung

Ich kann mir zwar auch irgendeinen fertigen Router holen, aber ich möchte mir alle Möglichkeiten offen halten und zu guter Letzt mache ich das ja auch aus Spaß an der Bastelei. Als Hardwarebasis habe ich unter anderem an einen Raspberry Pi gedacht, bei der Software bin ich noch unsicher, ob ich zu Linux oder BSD greifen soll, wobei ich mit BSD bislang sehr wenig gemacht habe.

2) Traffic Shaping

Jede/r TeilnehmerIn soll jederzeit garantiert 10MBit down und 0,5MBit up zur Verfügung gestellt bekommen - bei freier Leitung dann halt entsprechend mehr.

3) Proxy

Ein reiner Caching-Proxy lohnt sich bei der Anbindung nicht mehr großartig, aber Squidguard wäre eine Überlegung wert, mal schauen. Der Großteil der Leute hier im Haus ist vermutlich nicht sonderlich technikaffin und nutzt sicherlich Windows-Kisten.

4) VPN-Zugang

Um die einzelnen TeilnehmerInnen voneinander abzuschotten, würde ich nur einen Zugang via VPN erlauben. Manche Router bieten eine "WLAN-Partitionierung" an, durch die man die anderen Leute im WLAN nicht "sehen" kann - ist sowas eine Alternative zum VPN?

5) Nicht alles erlauben

Bestimmte Dienste würde ich unterbinden, um mich nicht in Teufelsküche zu bringen. Mit Deep Packet Inspection habe ich mich bislang noch nicht auseinandergesetzt, es sollte aber möglich sein - oder? Ich würde ungern nur bestimmte Ports (21, 22, 25, 80, 110, 143, 443, 993...) zulassen. Zudem Blieben noch File- und Sharehoster, aber da weiß ich momentan noch nicht, ob bzw. wie ich das regeln sollte.

6) Trennung von meinem privaten LAN

Mein LAN besteht im Wesentlichen aus mehreren Clients, einem Switch und einem Rechner, der nach außen routet. Reicht hier das VPN aus, um das Haus-WLAN von meinem LAN zu trennen? Oder müsste ich das WLAN komplett von meinem LAN abschotten, so dass ich in den Router noch eine dritte NIC einbauen müsste? 

Ideal wäre eine Lösung wie folgt:

- man verbindet sich mit dem unverschlüsselten WLAN

- eine Webseite wird präsentiert, auf der ein kurzes HowTo zu sehen ist (Hinweis auf VPN-Zugang, Downloadlink, Installations- und Konfigurationsanleitung etc.)

- man richtet den Zugang entsprechend ein und verbindet sich mit den persönlichen Zugangsdaten

- irgendwie würde ich gerne protokollieren, wer wieviel Traffic verbrät. Ich gehe zwar nicht davon aus, dass jemand dann exzessiv leechen wird, aber ich würde schon gerne sehen, ob jemand mein Netz stark beansprucht oder nicht

Ganz wichtig: inwieweit sollte ich mich rechtlich absichern? Ich würde natürlich ungern alle Zugriffe loggen, schon alleine deswegen, weil ich den NutzerInnen nicht das Gefühl geben will, dass ich ihr Surfverhalten analysiere. Wahrscheinlich kann ich das aber noch auf Vertrauensbasis machen, aber...naja.

Für Tipps, Anregungen und Hinweise wäre ich sehr dankbar.

MfG Jimini

Nachtrag: ich habe Smartphones ganz vergessen. Aber dafür gibt's mittlerweile ja auch VPN-Clients.

----------

## papahuhn

- Traffic Shaping geht mit Boardmitteln (tc), ist aber recht hässlich einzurichten.

- Ein Zwangswebproxy wäre nicht nur wegen des Cachings nützlich, sondern eventuell aus Sicherheitsüberlegungen und Logging. 

- Du scheinst mMn ein falsches Verständnis von VPNs zu haben. Um eine VPN-Verbindung aufzubauen, brauchst Du eine Basisverbindung zu einem VPN-Server. Wenn Du einen Hotspot betreibst, dann haben Deine Nachbarn bereits Zugang zum WLAN-Netz und zueinander auf Layer-2 Ebene. Ein VPN-Tunnel irgendwohin (ja wohin eigentlich?) ist da nicht mehr notwendig. Um die Nachbarn gegeneinander abzuschotten, müsstest Du jedem Nachbarn ein eigenes WLAN und damit eine eigene Broadcast-Domäne (VLAN) innerhalb des Access-Points bereitstellen. Der einzige Layer-2-Kommunikationspartner wäre dann das Router-Interface in dem entsprechenden VLAN. So kannst Du auch dein Heimnetz vom WLAN abschotten.

- Wenn Du den Leuten nicht traust, kann man eigentlich nie genug sperren. Ich habe vor einen Jahren einen Tor-Exit-Knoten betrieben, und nach diversen Abuse-Mails nur noch HTTP erlaubt. Nicht mal das half gegen Behördeninteresse (Kreditkartenbetrug bei eBay).

----------

## Jimini

Das Traffic Shaping wäre - so sehe ich es momentan - kein allzu großer Akt, ich habe bei mir bereits ein sauber arbeitendes Skript laufen, was ich (modifiziert) auf den Hotspot übertragen könnte.

Den Logging-Aspekt beim Proxy hatte ich bislang übersehen, da werde ich mir mal Gedanken machen.

Was das VPN beim WLAN angeht, so ging ich davon aus, dass die einzelne Verbindung zwischen Client und Server ja verschlüsselt wird. Ich habe mich bislang noch nie großartig mit dem Thema beschäftigt, bei uns an der Uni kann allerdings das (öffentliche) WLAN nur mit einem petsönlichen VPN-Zugang genutzt werden.

Was die Sperrung von Ports angeht, so würde ich es wohl nicht ganz so restriktiv handhaben. Zu den Leuten hier im Haus habe ich einen guten Draht, und sollte ich feststellen, dass jemand beispielsweise viel saugt oder Filesharingdienste nutzt, kann ich immer noch die Leitung kappen - zumal wir hier von allerhöchstens 5 Personen reden.

MfG Jimini

Edit: danke natürlich für den Input :)

----------

## forrestfunk81

Zu Wlan mit VPN gibts da diesen Thread im Doku Forum.

----------

## Christian99

ich hab mir wegen sowas auch schon mal gedanken gemacht. Das mit dem vpn glaub ich nicht, dass das nötig ist. du kannst doch dein WLAN mit wpa2 verschlüsseln, oder ist dir das nicht ausreichend?

----------

## Jimini

Ich bin mittlerweile zu dem Ergebnis gekommen, dass ein VPN deplatziert wäre, da hierdurch der Zugang mit beispielsweise Smartphones erschwert werden würde. Ich werde demnach wohl für jeden User bzw. jede Wohnung ein eigenes WLAN aufmachen.

Ich bin mir jetzt nur nicht sicher, ob ich sowas nicht auch mit dem bestehenden Router umsetzen kann - kann ich in das System einfach mehrere WLAN-Adapter reinpacken und diese Netze dennoch sauber von meinem und voneinander trennen? Oder sollte ich da lieber auf eine getrennte, DMZ-artige Lösung setzen?

MfG Jimini

----------

## papahuhn

Mit einem vernünftigen WLAN-Adapter kann man mehrere virtuelle APs erzeugen.

Ich würde mir an Deiner Stelle aber einen OpenWRT-tauglichen Router besorgen, z.B. den TP-Link WR1043ND. Kommt um einiges billiger.

----------

## Jimini

Da ich kürzlich ohnehin den Router neu gebaut habe, habe ich auch direkt zwei WLAN-Adapter drangehängt. Mit beiden habe ich jeweils ein eigenes WLAN aufgebaut, mit dem ich mich auch verbinden kann. Ich bin mir allerdings immer noch unsicher, wie ich

1) jedem WLAN einen eigenen IP-Bereich zuweise (eth0 führt zum Modem, mein Netz (hängt an eth1) ist 10.0.0.0/24, wlan0 sollte beispielsweise 10.0.1.0/24 und wlan1 10.0.2.0/24 haben),

2) ich den Traffic trotzdem über das Gateway (10.0.0.1) nach außen bekomme und

3) ich den Traffic alle IP-Bereiche voneinander trennen kann.

(4) wenn alles läuft, will ich jedem WLAN noch eine garantierte Bandbreite zuweisen, dazu sollte ich aber mein Trafficshaping-Skript nur geringfügig anpassen müssen.)

Ich habe mich schon länger nicht mehr mit so einem Kram beschäftigt und bin da mittlerweile scheinbar ziemlich draußen. Wie stelle ich es an, dass alle Clients in WLAN1 eine Adresse aus einem bestimmten Bereich zugewiesen bekommen und Clients in WLAN2 Adressen aus einem anderen? Natürlich möchte ich nicht jedem WLAN-Client / jeder MAC-Adresse von Hand eine IP-Adresse zuweisen müssen.

Für Hilfestellung jedweder Art wäre ich extrem dankbar :)

MfG Jimini

----------

