Freifunk-Inkubation in Soest – brauche Hilfe

Der ein oder andere mag es mitbekommen haben, wir Piraten in Soest haben uns in einer alten Kaserne ein paar Räume hübsch gemacht, um dort Tagungen, Schulungen und Seminare abzuhalten (wer Bedarf an den Räumen hat, bitte melden).

So und da wir ja nun Piraten sind die ständig irgendwas mit Internet machen, haben wir uns dort mal eine 100 MBit Leitung hin legen lassen von Unitymedia. Die Idee ist, das ganze dann halt via W-LAN offen zu machen so das jeder der mag (und in Reichweite ist) sich dort dranhängen oder einen Repeater zwischenklemmen kann. Ich hab da mal eine Zeichnung gemacht, wie ich mir das vorstelle:

Ich fang mal rechts an, das ist ja einfach. Am Internet hängt das Unitymedia-Kabelmodem und geht an den Proxyserver (derzeit noch Win XP, wenn jemand Bock hat uns da Linux einzurichten – bitte) in die erste Netzwerkkarte, nennen wir sie Spaßeshalber eth-0. Das funzt, Internet liegt am Server einwandfrei an. Dann hängt an der zweiten Netzwerkkarte, eth-1, ein W-LAN Router. Derzeit habe ich da nur so ein olles Telekom-Speedport W 701V-Dingen, das sich partout nicht konfigurieren lassen will. Das soll seinerseits via DHCP die Gast-Rechner über den Proxy leiten. Der eth-0 bezieht seine IP-Adresse (derzeit) dynamisch vom Kabelmodem, den eth-1 habe ich auf 192.168.0.1 gestellt, den W-LAN Router auf 192.168.02 und den DHCP-Bereich auf 192.168.0.3-254.

Erste Frage: Was geb ich da als Standardgateway ein, wenn ich auf keinen Fall möchte das jemand ohne den Proxy weiterkommt?

Zweite Frage: Wie konfiguriere ich den Proxy (derzeit Squid), das er auf alles was von eth-1 kommt reagiert und auf eth-0 weiterleitet wenn erlaubt? Der Proxy soll Whitelisted sein, das mit dem ganz offenen Internet hat in der Kaserne schon mal jemand versucht und durfte dann für Filme und Musik teuer blechen. Wir haben leider keinen Verein, und ich als Privatperson, der den Vertrag mit Unitymedia hat, möchte es nicht drauf ankommen lassen bis die Störerhaftung endlich mal vom Tisch ist.

Dritte Frage: Überlasse ich dem W-LAN Router das DHCPen, und wenn ja, was muss da für ein Gateway mitgegeben werden (.0.1 ?) und wie zwinge ich die Clients dazu, einen Proxy zu nutzen bzw. stelle den automatisch ein? Oder brauch ich das gar nicht wenn ich den Squid am Server richtig konfiguriere?

Fragen über Fragen… ihr seid dran, bin gespannt.

2 Kommentare zu “Freifunk-Inkubation in Soest – brauche Hilfe”

  1. Masch sagt:

    Moin Fizz,

    IP-Adressvergabe der fest vergebenen IPs: ist soweit ok.
    IP-Adressvergabe per DHCP: Range soweit ok, ich würde den Range aber an einem (virtuellen) Subnet orientieren, also 192.168.0.128/25 aka 192.168.0.128-254.
    Du schreibst, der Speedport lässt sich nicht konfigurieren, willst ihn aber mit DHCP beauftragen? Hmmmh.
    ProxyServer mit XP: Oerks. Nicht meine Party. Mit nem Linux als BS helfe ich gerne.
    Mit iptables verbietetest Du den Clients alles Richtung Internet. Dann – ebenfalls per iptables – fängst Du auf eth1 des Proxyservers alle eingehenden Pakete aus dem lokalen Netz für Port 80 ab und lenkst Sie auf localhost:8080. Damit werden sie vom Proxy entgegen genommen (angenommen, der Squid hört auf 8080). Squid prüft die Anfrage und holt den Content basierend auf Squid-Erlaubnis-Regelwerk gegebenenfalls beim Ziel ab und liefert ihn wieder an den anfragenden Client aus (hierbei findet die reverse Portumleitung von 8080 auf 80 statt).

    LG, Masch

  2. Masch sagt:

    Ach so, Gateway: 192.168.0.1 ist richtig, da der Speedport die 100BaseX- und 802.11x-Interfaces bridged.

Was denkst du?