WiFi – Jetzt noch professioneller

VonStephan Bahr

Vorwort: Dieser Artikel ist sehr technisch und vermutlich nur für Nerds und andere IT-Fachkräfte interessant und nachvollziehbar.

Von Beginn an haben wir mit der Starlink-Antenne der 3. Generation sowie dem TP-Link EAP650 Outdoor AccessPoint auf modernste Geräte zum Aufbau unseres Internetzugangs gesetzt. Die Verkabelung und der Router waren aber noch eher behelfsmäßig gelöst. Sowohl die Netzwerkleitung von der Starlink-Antenne als auch jene vom AccessPoint liefen ins Vorzelt, wo der Starlink-Router (auf einer Kiste liegend) beides miteinander verbunden hat. Dabei konnte prinzipiell jedes mit dem WLAN verbundene Gerät mit jedem anderen im Netzwerk kommunizieren, was sicherheitstechnisch mindestens bedenklich war. Der Starlink-Router bietet auch nur wenig Konfigurations- und Analysemöglichkeiten.

Darum habe ich das Netzwerk in dieser Saison gründlich überarbeitet. Zuerst habe ich eine Lösung gefunden, um die Netzwerkkabel in den Wohnwagen zu verlegen, ohne eine Netzwerkdoppeldose als Außensteckdose einbauen zu müssen. Direkt neben der in der Sitzgruppe verbauten Heizung gibt es zwei Lüftungslöcher im Boden des Wohnwagens. Hier habe ich in ein Plastikgitter ein Loch von ca. 1,5 x 1,5cm geschnitten, durch welches ich beide Netzwerkkabel von unten in den Wohnwagen einleiten konnte. Da unser Wohnwagen stationär ist und nicht ständig bewegt wird, ist dies eine kostengünstige und schnelle Lösung. Die Netzwerkkabel habe ich dann innerhalb der Sitzgruppe bis in die Nähe des Wassertanks verlegt, damit die Router-Hardware nicht zu nah an der Heizung steht und dort möglicherweise ein Temperaturproblem bekommt.

Als neue Router-Hardware kommt ein Dell Optiplex 3060 Mini-PC zum Einsatz, den ich günstig bei Kleinanzeigen.de geschossen habe. Er ist mit einem Intel Core i3-8100T (4x 3,1 GHz), 8 GB DDR4 RAM und einer 120 GB NVMe SSD ausgestattet. Außerdem hat der Vorbesitzer zur vorhandenen GBit Netzwerkschnittstelle noch eine weitere mit 2,5 GBit/s nachgerüstet. Auf dem System habe ich erstmal Proxmox VE installiert, da ich neben der Firewall auch noch eine Home Assistant-Instanz auf dem Gerät betreibe. Als Firewall kommt, wie auch zu Hause, eine OPNsense zum Einsatz.

Und nun das Beste: der TP-Link AccessPoint beherrscht VLAN. Ich habe also mehrere SSIDs aufgesetzt, die den Parzellennummern entsprechen, die sich an den laufenden Kosten beteiligen. Die Parzellennummer ist auch gleichzeitig die VLAN-ID.

So getaggt laufen die Pakete auf der LAN-Schnittstelle der OPNsense ein, wo sie wieder auf individuelle, virtuelle Schnittstellen aufgeteilt werden. Jedes VLAN bekommt hier seinen eigenen DHCP-Bereich 192.168.{Parzellennummer}.0/24. Glücklicherweise liegen keine Parzellennummern >254 in Reichweite unseres AccessPoints. Ins Internet dürfen sie dann alle, untereinander kommunizieren nicht.

Auch wenn Starlink wirklich niedrige Latenzen hat, geht doch nichts über einen Caching-Nameserver. Der in OPNsense mitgelieferte Unbound kann mit der aktuellen Konfiguration ca. 40% der Anfragen aus dem Zwischenspeicher beantworten und das Surferlebnis so weiter verbessern.

Zu guter Letzt habe ich noch eine dauerhafte Verbindung zwischen unserem VLAN 215 und unserem Heimnetzwerk geschaffen. Da weder Starlink noch mein Provider zu Hause in den genutzten Tarifen feste IP-Adressen vergeben, habe ich kurzerhand einen virtuellen Hetzner CX22 Server, der bisher ausschließlich als Nameserver für meine eigenen Domains genutzt wurde, umfunktioniert. Auch ihn habe ich mit OPNsense betankt und als WireGuard-Hub konfiguriert. Nun kann ich von zu Hause über den VPN-Hub auf die OPNsense-Instanz im Wohnwagen zugreifen und im dortigen Netzwerk nach dem Rechten sehen. Umgekehrt habe ich vom Wohnwagen aus sicheren Zugriff auf die zu Hause liegende Mediensammlung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert