Wie Ihr bereits hier, hier, aber auch hier und wer weiß wo sonst noch habt lesen können, unterstützt uns die Volksbank Schlangen beim Aufbau unseres Freifunk-Netzes im und vor allem auch am Geschäftsgebäude (=outdoor!) mitten in Schlangen. Mit der Installation von insgesamt 5 Knoten wird nicht nur der eigene Geschäftsbereich versorgt, sondern vorallem auch das Mesh-Netz nach außen in den Ortskern weitergegeben. Ich will aber aus diesem Artikel keinen „Propaganda“-Post machen, sondern einmal konkret auf das dort genutzte Setup als eine Referenzinstallation für größere Vorhaben eingehen.

Sollte nun jemand bereits Angst um seine Einlagen bei der Volksbank Schlangen haben, dem sei hiermit versichert, dass sowohl wir uns den speziellen Sicherheitsanforderungen im Bankwesen (und teilweise ja auch in öffentlichen Behörden) bewusst sind, als auch dass diese von den Mitarbeitern der Volksbank akribisch eingehalten werden. 🙂 Um dennoch ein freies, öffentliches und unzensiertes WLAN im und um die Bank herum anbieten zu können, mussten wir zusammen eine gemeinsame akzeptable Lösung erarbeiten. Unser Rezept:

• ein eigener, von der Netzwerkinfrastruktur der Bank komplett losgelöster DSL 16000 Anschluß
• keine Mitbenutzung aktiver Netzwerkkomponenten (Switches, Router, etc.) des internen Bank-Netzwerks für das Freifunk-Netz
• ein TP-Link TL-WR1043ND v2 als VPN-Uplink Knoten
• Installation unauffälliger Ubiquiti UniFi UAP-LR (auch liebevoll „UFO“ genannt) im Innenbereich der Bank auf mehreren Etagen
• ein Ubiquiti UniFi UAP-Outdoor als „Außenantenne“ zur Verteilung des Freifunk-Netzes auch außerhalb des Gebäudes

Von hier an wird der Artikel allerdings etwas technischer (auch wenn ich mir Mühe geben werde, es ggf. mit entsprechenden metaphorischen Beispielen jedermann zu verdeutlichen). Wer lieber gleich zur Zusammenfassung springen möchte, der folge bitte dem weißen Kaninchen (tl;dr).

Nachdem wir uns potentielle Installationspunkte für die Innenausleuchtung angeschaut hatten, waren wir uns sehr schnell sicher, dass wir für jede Etage ein eigenes „UFO“ brauchen würden. Also mussten insgesamt drei „UFOs“ her. Eines für den Empfangsbereich, eines für die Büroräume und eines für den Aufenthaltsraum / Sozialraum im Keller. Dank des vor wenigen Jahren durchgeführten Neubaus einiger Teile des Gebäudes gab es an jedem dieser Plätze – welch Zufall – auch bereits eine Netzwerkdose. Und dort wo keine saß,  wurde halt eben einmal schnell noch ein kleines Loch in die Wand gebohrt – Rigips sei Dank! 🙂

Das Anbringen des Outdoor-APs gestaltete sich etwas aufwändiger, aber mit den richtigen Mitteln kommt man auch hier problemlos weiter. Ein kompetenter Hausmeister, eine Hilti, ein 40 cm langer Bohrer und eine halbe Tube Gips/Silikon für hinterher sind bereits so ziemlich alle Zutaten, die man dazu braucht. Und schon fiel auch ein Netzwerkkabel außen aus der Bank heraus. Fix noch die Halterung des UniFi UAP-Outdoor an die Außenwand gespaxt … und fertig!

Der eigens für Freifunk von der Volksbank bestellte DSL-Anschluss fiel nach Bereitstellung von $Telco im Technikraum aus der Wand – ideal also für den Einsatz eines TL-WR1043nd v2 als „VPN-Konzentrator“ zum Freifunk-Netz für alle im Gebäude verteilten Knoten, denn die Unterverteilung der Netzwerkkabel zu diesen endete ebenfalls im Technikraum. Aber Moment mal! Was redet der Mann da?! Knoten mit dedizierten VPN-Konzentrator? Wie meinen? Und vor allem warum?!

Fangen wir dazu am besten beim „Warum?“ an. Im üblichen Fall – wie ihn wohl jeder kennt – verbindet sich ein Knoten (insofern entsprechend konfiguriert) nach dem Start selbst über einen VPN-Tunnel mit unseren Gateways und leitet die Daten an alle Ziele, die nicht über die lokale WLAN-Wolke erreicht werden können, an die Gateways weiter. Der Datentransfer über das Internet durch diesen VPN-Tunnel wird dabei natürlich verschlüsselt – aber durch die Kryptographie dahinter (genauer durch die Berechnung der verschlüsselten Daten) wird dieser Tunnel zum Flaschenhals der Verbindung. Wie eng dieser Flaschenhals letztlich ist, hängt vom eingesetzten Knotenmodell und dessen CPU-Leistung ab. Für unser Setup vorort ergeben sich somit zwei Probleme:

• Die Modelle UniFi UAP-LR und UniFi UAP-Outdoor sind hervorragende WLAN-Geräte (bzgl. Sende- und Empfangsleistung), ihre CPU ist aber vergleichsweise schmalbrüstig.
• Durch die Verwendung eines VPN-Tunnels entsteht bei der Datenübertragung ein gewisser Paket-Overhead. D.h. grob: Im Endeffekt wird die Datenmenge, die man als Nutzer übertragen möchte, auf der Leitung etwas aufgebläht. Da die Leitungskapazität andererseits begrenzt ist, sinkt damit die effektive Geschwindigkeit der Übertragung. Hängen nun mehrere Knoten mit eigenem VPN-Tunnel an derselben Leitung, erzeugt jeder dieser Knoten bei der Kommunikation mit den Gateways diesen (additiven) Overhead – die Leitung wird also nicht optimal genutzt.

Aus der nicht-technischen Perspektive merkt ihr diesen Effekt u.U. gerade auch dann, wenn ihr euch vielleicht „Freifunk ist soooo langsam!“ sagen hört. 😉 Ein durchdachtes Setup kann – gerade an vielgenutzten Knoten – hier schon für eine spürbare Entlastung sorgen.

Ich höre Euch aber bereits jetzt schon fragen: Warum denn dann die Knoten ohne VPN-Verbindung überhaupt noch über ein Netzwerkkabel verbinden? Das Meshing läuft doch mit WLAN?! Ja, das stimmt soweit auch – und man kann eine Installation mit mehreren Knoten so auch betreiben. Aber … auch hier gibt es wieder zwei Argumente:

• Viele Geräte des Herstellers Ubiquiti versorgen sich direkt über das Netzwerkkabel mit Strom (PoE), sodass es nicht notwendig ist in direkter Nähe zum Knoten auch noch eine Steckdose haben zu müssen (aus der dann noch ein ggf. hässliches Netzteil für den Knoten herausragt).
• Der aus Sicht der Netzkonzeption allerdings interessantere Aspekt ist die gesteigerte Belastung der Airtime durch die Knoten im WLAN-Mesh (quasi „WLAN-Luftverschmutzung“, wie wir hin und wieder auch sagen). Um das knapp mit einem nicht-technischen Beispiel zu erklären: Stellt euch das einfach wie eine große Party mit vielen Gästen vor, die sich alle (über das gemeinsame/geteilte Medium Luft) miteinander unterhalten wollen – und zwar nicht jeder irgendwann am Abend mal mit einem der anderen Gäste, sondern man möchte sich direkt gleich nur einmal allen anderen Gästen mitteilen (dann braucht man es nicht den ganzen Abend gelangweilt immer zu wiederholen  – man kennt das doch selbst! ;-)) . Damit nun jeder jeden verstehen kann, dürfen nie zwei Personen gleichzeitig sprechen (falls das doch passiert, müssen beide ihren Satz später wiederholen). Weil nun jeder Gast der Party etwas zu sagen hat, kann das zu einem ganz schön langen Abend werden, wenn sehr viele Gäste gekommen sind.
  Ist allerdings umgekehrt die Dauer des Abends beschränkt (und damit die Zeit, in der die Gäste miteinander „über die Luft“ kommunizieren können), muss sich jeder kürzer fassen, damit alle am Ende einmal zum Reden kommen konnten (= jeder einzelne Gast kann also weniger Information an andere vermitteln, d.h. seine „Datenrate“ sinkt.).

Apropos große Party: Dieses Prinzip der “WLAN-Luftverschmutzung” betrifft im übrigen nicht nur die Kommunikation der Knoten untereinander. Jedes SmartPhone ist z.B. ein Device, das bei diesem Wettbewerb kräftig mitmischen möchte. Das führt im Zweifel dann wieder zu – ihr kommt mittlerweile bestimmt schon selbst drauf 😉 – „Freifunk ist soooo langsam!“ und kann bis hin zu Verbindungsabbrüchen zwischen Knoten und Endgeräten oder noch drastischer zwischen den Knoten selbst führen (ein „Libori 2014 – Lessons Learned“). Es liegt also auf der Hand, dass man uns Freifunkern und den Nutzern des Netzes diese Schmerzen ersparen will.

Wie sollte man dieses Problem also nun umgehen oder wenigstens das Netz robuster gestalten?  An der Anzahl der Einbuchungen von Endgeräten in unser Netzwerk können wir nur wenig drehen – schließlich gehört dein SmartPhone dir und nur du hast die Kontrolle darüber (nun gut – von Google, Apple und der NSA vielleicht mal wohlwollend abgesehen ;-)). Andererseits können wir jedoch den Redebedarf der Knoten untereinander (zum Meshen) auf ein anderes Medium verlagern. Und zwar auf das gute alte Kupfer, so wie es formschön verpackt in Netzwerkkabel gegossen wurde. Das spart uns wenigstens ein bisschen Airtime, die nun zur Kommunikation der Knoten mit den Endgeräten zur Verfügung steht. Und da diese dann auch nicht die Verbindung der Knoten untereinander über das Kabel stören können, wird die Installation vorort auch noch robuster. Eine Win-Win-Situation für Knotenbetreiber und Nutzer. 🙂

Das Mittel zum Zweck heißt also mesh-on-wan (auf TP-Link Geräten über den blauen Port) bzw. mesh-on-lan (über die gelben Ports). Während ihr mesh-on-wan bereits bequem im Konfigurations-Modus der Knoten einrichten könnt, bedarf es zur Konfiguration von mesh-on-lan noch etwas mehr Handarbeit. Wie das genau funktioniert, lässt sich im verlinkten Wiki-Artikeln genau nachlesen.

Zusammenfassung (tl;dr)

Um größere Gebäude, Standorte oder gar Veranstaltungen mit Freifunk zu versehen, reicht es bei weitem nicht aus, einfach irgendwo unkoordiniert eine Handvoll 15€-Plaste-Router hinzuwerfen – genauer gesagt, eigentlich ist das sogar eher eine ziemlich dumme Idee. Ein wenig Zeit zur Planung (und die entsprechenden finanziellen Mittel für angemessene Hardware) sollte man hier schon in Kauf nehmen. Eine schlechte User-Experience z.B. durch langsame Verbindungen oder Verbindungsabbrüche schaden dem Netzwerk bzw. der Community ähnlich stark, wie Fehler in der Firmware. Der Image-Schaden ist nicht zu unterschätzen und es erfordert einiger Anstrengungen diesen wieder korrigieren, um schließlich neue Leute für unser Thema begeistern zu können und das Netz weiter auszudehnen.

Die Verwendung eines „1043er“s als VPN-Konzentrator (optimalerweise mit Meshing über ein Kabel, sollte man mehrere Knoten betreiben) ist insbesondere an hochfrequentierten Standorten wärmstens zu empfehlen. Am Rande bemerkt ist das Modell mit seinem erschwinglichen Preis aber auch ein wunderbares „Spielzeug“ für private Installationen zuhause. 😀

Für eine Installation wie in diesem Szenario sollten (falls nicht dringend wirklich benötigt oder sinnvoll nutzbar) ebenso die WLANs für das Mesh-Netzwerk als auch für die Endbenutzer auf dem VPN-Konzentrator deaktiviert werden. Ich empfehle jedoch nochmal dringend, Knoten mit einer hohen zu erwartenden Benutzerzahl über ein Kabel in das Mesh-Netzwerk zu integrieren, um gar nicht erst mit den Problemen der WLAN-Luftverschmutzung in Berührung zu kommen. Insbesondere gehört für mich das „Absichern“ von Outdoor-Geräten über eine Kabelverbindung in solchen Szenarien mittlerweile per Definition mit zur Pflicht. Trust me, ich und andere Freifunker haben uns u.a. zu Libori Goeken in langen intensiven Debugging-Sessions vorort schon mehrfach mit diesem Thema befassen müssen. Tut euch das nicht an. Wirklich nicht!

PS: Unser Dank geht natürlich hiermit auch nochmals an die Volksbank Schlangen, die uns – insbesondere auch finanziell – die Möglichkeit gegeben hat, ein solchen Referenz-Setup umsetzen zu können!