Hi Carsten,

so Àhnlich habe ich das zurzeit bei mir auch, ich komme aber demnÀchst auf
ein Problem:
Ich will meine Freifunk-Installation erweitern (bisher nur 1x WDR4300) um
z.B. eine Picostation oder eine CPE210 (siehe Markierung im Schaubild).
Diese neuen GerÀte sollen außen zur Straße hin montiert werden.

[image: Inline-Bild 1]

Wenn ich die Pico oder CPE210 direkt ans Powerlan mit allen meinen VLANs
hÀnge, kann die Pico / CPE das entsprechende VLAN auskoppeln und verwenden.
Da ich im Erdgeschoss wohne und somit physischer Zugang "fÃŒr jedermann" zum
Netzwerkkabel gegeben ist, dÃŒrfen auf dem Netzwerkkabel aber keine Daten
aus meinem privaten Netz sichtbar sein, nur Freifunk (z.B. mein VLAN fÃŒr
"Mesh over LAN").

Wenn der Powerline-Adapter nun gleich das richtige VLAN auskoppeln könnte,
wÀre ich auf der sicheren Seite.
Sonst bleibt mir wohl nichts anderes ÃŒbrig, als einen Swich zum Ausfiltern
vorzuschalten.
Alternativ diese Antenne nicht ÃŒber LAN meshen, sondern ÃŒber Funk, was aber
die Freifunk-Airtime belastet.

LG,
Mattias

Am 17. November 2016 um 21:50 schrieb Simon MÃŒller <
Hi Simon,

ich formulier' mein Problem mal etwas anders:

Ich nutze die Powerline-Adapter, um -- wie du ja auch beschrieben hast --
den Netzwerk-Verkehr zwischen den einzelnen Zimmern zu bridgen.

Jetzt möchte ich nicht nur mein "privat-zuhause-Netz" bridgen, sondern auch
z.B. "Freifunk-DHCP" und vor allem "Freifunk-Mesh-over-LAN", und zwar alle
drei Netze in allen Zimmern.
DafÃŒr bietet es sich an, alles in VLANs zu packen und als "tagged VLANs"
auf die Reise zu schicken. Auf der Stromleitung enthalten die
Layer2-Datenpakete daher nicht nur Quell- und Ziel-MAC-Adresse, sondern
auch ein VLAN-Tag, das sagt: "ich bin ein Paket fÃŒr VLAN 1" oder "VLAN 2",
etc. (siehe [0]). VLAN 1 ist dann z.B. mein "zuhause-Netz", VLAN 2 z.B. das
Freifunk-Mesh-over-LAN.

DafÃŒr nehme ich in der Regel vor jedem Powerline-Adapter einen Switch, der
mir an den meisten Ports (konfigurierbar) entweder VLAN 1 oder VLAN 2
anbietet und an einem der Ports einen "Sammel-Anschluss", ÃŒber den alle
VLANs in der o.g. Form sichtbar sind. Diesen Switch-Port schließe ich dann
an den Powerline-Adapter an.
In dem Zimmer, in dem ein Freifunk-Router steht, benötige ich dafÌr keinen
extra Switch, das kann der Freifunk-Router mit seinen i.d.R. mehreren Ports
fÃŒr mich gleich mit erledigen.

So weit, so klar.

Jetzt das eigentliche Problem:
Wenn ich jetzt in einem neuen Zimmer an der Außenwand einen gerichteten
Freifunk-Router (z.B. TP-Link CPE210, [1]) anbringen will und dafÃŒr vom
Powerline-Adapter einfach ein Cat5-Kabel nach draußen zum CPE210 verlege,
dann kann ich den CPE210 zwar entsprechend fÃŒr "tagged VLAN" konfigurieren
und somit korrekt zum Funken bringen, ich handle mir aber auch ein
Sicherheitsproblem ein:
Auf der Powerline sind, wie oben beschrieben, ALLE meine VLANs gebridged
sichtbar, so will ich das in meiner Wohnung ja haben. Also kann man ÃŒber
den RJ45-Stecker des nach außen verlegten Cat5-Kabels alle meine VLANs
erreichen, auch das private Netz. Und da ich im Erdgeschoss wohne und der
CPE210 an der Straßenseite montiert werden soll, hat dann "jedermann"
Zugriff auf mein privates Netz. Er muss nur den RJ45-Stecker vom CPE210
abziehen, eine RasPi / einen Laptop mit VLAN-Konfiguration anklemmen und
ist sofort in meinem Netz.

Das kann ich mit einem extra Switch (im Zimmer) lösen, der zwischen
Powerline und CPE210-Außenkabel geklemmt wird und nur das VLAN 2 (Freifunk
Mesh over LAN) weiterleitet. Den Switch brÀuchte ich aber NUR dafÌr, da
sonst kein weiteres NetzwerkgerÀt in diesem Zimmer angeschlossen wird
(KÃŒche).
Oder ich könnte es eben "elegant" lösen, wenn der Powerline-Adapter selbst
in der Lage wÀre, den Ìber die Stromleitung ankommenden tagged-VLAN-Verkehr
aufzudröseln und (konfigurierbar) nur ein bestimmtes VLAN durchzulassen. Da
einige Powerline-Adapter auch gleich mehrere Ethernet-Ports haben (meine
haben 3 Ports), könnte man sich sogar vorstellen, jedem Eth-Port eine
eigene VLAN-Konfiguration zuzuweisen.

Aber:
Die gÀngigen Powerline-Adapter von AVM/Fritz und TP-Link können sowas nicht
(von allein), wahrscheinlich kann es bis dato gar kein Powerline-Adapter.

Und HIER setzt meine Frage an:
NÀmlich ob irgend jemand da draußen weiß, ob es möglich ist, mit etwas
Hacking openwrt oder lede auf einem Powerline-Adapter aufzuspielen und dann
u.U. auch VLAN-Konfigurationen einzutragen.

LG,
Mattias

[0] https://de.wikipedia.org/wiki/IEEE_802.1Q#Tags_im_Ethernet-Frame
[1] http://www.tp-link.de/products/details/cat-37_CPE210.html