Wiki Navigation

Der Auslieferungszustand

Im Auslieferungszustand bietet die Fonera lediglich die Möglichkeit die folgende Szenarien nuztbar zu machen.

Das private Signal

Das private Signal ist per Standardeinstellung mit WPA-PSK verschlüsselt, so dass der Besitzer der Fonera dieses Signal als sein eigenes nutzen kann. Hierbei bekommt ein Client, der sich erfolgreich am privaten Signal mit WPA-Verschlüsselung authentifiziert hat, eine IP-Adresse zugewiesen mit der es ihm erlaubt wird das Internet per WLAN kostenlos zu nutzen. Über dieses Signal ist es auch möglich auf Resourcen im eigenem Netzwerk am WAN-Port (Ethernet-Kabel) zu erreichen. In folgendem Beispiel kann ein Client der am privaten Signal angemeldet ist auf PC1 zugreifen.

                                                        (192.168.10.0/24)
                                                        Privates Signal
               (192.168.0.0/24)                   (LAN)
  DSL-ROUTER -- Kabel --- SWITCH --- (WAN) FONERA
                              |                   (WIFI)
                              |                         Öffentliches Signal
                              |                         (192.168.182.0/24)
                             PC1
                       (192.168.0.1/32)

Umgekehrt ist ein Zugriff von PC1 auf den Client am privaten Signal jedoch nicht möglich, es sei denn man konfiguriert auf Fonera per Webinterface eine Portweiterleitung die dann den Transport von Paketen in Richtung privates Signal zulässt.

Das öffentliche Signal

Clients am öffentlichen Signal (WIFI) authentifizieren sich nicht wie der Client am privaten Signal (LAN) per WLAN Verschlüsselung, sondern bekommen AddHoc eine IP-Adresse aus dem Netz 192.168.182.0/24. Versucht sich der Client am WIFI mit seinem Browser in das Internet zu verbinden, wird er zu einer Anmeldeseite bei FON weitergeleitet. War dort die Authentifizierung erfolgreich, wird er auf der Fonera für dem kompletten Internetzugriff frei geschaltet. Der Client am WIFI hat jedoch direkten keinen Zugriff auf das Netz am WAN-Interface, kann also nicht auf dortige Resourcen zugreifen. Eine Verbindung zum PC1 ist also nicht möglich. (Jedenfalls sollte das so sein.)

Besonderheit in Sachen Sicherheit

Einschließlich bis zur Version 0.7.1r3 der Firmware der Fonera ist es möglich auf Resourcen am WAN zuzugreifen, die nicht im IP-Bereich vom WAN liegen, insofern dort hin eine Route möglich ist. Bei dem folgenden Szenario setzen wir einen Router ein der PC1 in einem anderen IP-Bereich versorgt (192.168.1.0/24).

                                                        (192.168.10.0/24)
                                                        Privates Signal
                      (192.168.0.1/24)  (..0.2)   (LAN)
   DSL-ROUTER -- Kabel --- ROUTER --- (WAN) FONERA
                      (192.168.1.1/24)
                              |                   (WIFI)
                              |                         Öffentliches Signal
                              |                         (192.168.182.0/24)
                             PC1
                       (192.168.1.10/32)

Im vorherigen Beispiel war PC1 im selben IP-Netz wie das WAN der Fonera. Ein Zugriff von authentifizierten Clients am WIFI zu PC1 ist nicht möglich. In diesem Beispiel jedoch ist PC1 nicht mehr mit seiner IP 192.168.1.10 im selben IP Bereich wie das WAN der Fonera. Die Fonera hat benutzt als Standardgateway den Router mit der IP 192.168.0.1. Da die Firewall der normalen Fonera (ohne Addons) lediglich den Verkehr zum IP-Netz verbietet, dass am WAN anliegt, ist jedoch Zugriff von Clients am WIFI zu PC1 möglich, da sich dieser nicht mehr im selben IP-Bereich wie das WAN der Fonera befindet.

Download in other formats:

Plain Text