Immer häufiger nutzen wir das Internet für Konfirmandenunterricht, Jungscharstunden und anderen Veranstaltungen in unserer Kirchengemeinde. Dabei sollen möglichst Viele ohne Risiko für das Netz der Kirchengemeinde ihre eigenen Smartphones, Tabletts oder Computer nutzen können. Da wir aber nicht einfach unseren WLAN-Schlüssel an alle weitergeben können und wollen, haben wir uns dazu entschlossen, bei Freifunk Lippe mitzumachen.
Dieses Netz ist fast immer eingeschaltet und kann und darf einfach benutzt werden. Dazu einfach nach dem offenem WLAN „Freifunk“ suchen und sich ohne Passwort verbinden. Schon steht die Verbindung ins Internet.
Warum wir nicht einfach den WLAN-Schlüssel an alle weitergeben können:
- Es würden sich alle im internen Netz bewegen und so evtl. auf interne Daten zugreifen. Das berührt die beiden sensiblen Bereiche Datenschutz und Datensicherheit.
- Was ist, wenn jemand von unserem Anschluss im Netz Blödsinn anstellt? Es reicht schon ein illegal heruntergeladenes Musikstück und die Gemeinde haftet als Anschlussinhaber. Das Schlagwort hierzu lautet Störerhaftung.
- Haben wir einmal die Zugangsdaten herausgegeben, haben es entweder alle oder es muss immer wieder bei Bedarf geändert werden. Das wäre dann eine zusätzliche Mühe für alle normalen Benutzer des internen Netzes.
Mit einem Freifunk-Router baut man ein zusätzliches Netzwerk auf, das nur den Internet-Zugang des Gemeinderouters braucht. Ist diese Verbindung erst einmal hergestellt, lösen sich drei Probleme in Luft auf, denn:
- Der Freifunk-Router leitet jede Verbindung durch einen verschlüsselten Kanal durch den Gemeinderouter und erst dann ins Internet (man spricht vom Tunneln, violett dargestellt). Aus diesem Datentunnel kann der Nutzer des Freifunk-Routers nicht ausbrechen und somit nicht auf Daten aus dem Gemeindenetz zugreifen.
- Der Tunnel wird vom Freifunk-Router genaugenommen nicht nur ins Internet aufgebaut, sondern bis zu einem speziellen Server, der nicht von der Störerhaftung betroffen ist. Erst dort gelangt der Nutzer des Freifunk-Netzes ins Internet. Damit ist die Kirchengemeinde die Haftungsfrage los.
- Durch das separate WLAN des Freifunkrouters können die Mitarbeitenden weiterhin im internen WLAN arbeiten, ohne sich mit Änderungen herumschlagen zu müssen.
Wir nutzen für unseren Freifunk-Zugang die Infrastruktur von Freifunk Lippe e.V.
Es gibt für die Knoten in Kirche und Gemeindehaus und zusätzlich im Gemeindebüro auch eine Statistik für die Nutzung.
Dann gibt es noch einen weiteren Knoten im Pfarrhaus, aber der ist privat aufgestellt. 🙂
Für die technisch interessierten hier noch ein paar Details zur technischen Umsetzung:
Wir haben 2 Accespoint in Kirche und Gemeindehaus aufgebaut. Diese stellen folgende Netze über VLAN zur Verfügung:
- Internes WLAN der Kirchengemeinde, Hier haben nur die Mitarbeitenen das Passwort fürs WLAN
- Technik-WLAN, in dem sich technische Geräte tummeln können.
- Gast-WLAN der Kirchengemeinde. Das Passwort hierzu wird im Bedarfsfall herausgegben. Aber in der Regel wird von dieser Zielgruppe Freifunk genutzt.
- Freifunk hat ein eigenes VLAN und ist so logisch komplett vom restlichen Netz getrennt. Die Trennung und Bereitstellung erfolgt über einen Router (Ubiquiti Edge) der als Offloader eingesetzt wird.
Durch den Aufbau des gemeinsamen Netztes brauchen wir nur einmal Hardware und Verkabelung, können aber den internen Datenverkehr und Freifunk logisch voneinander trennen.