TP-Link Geräte automatisch neu starten

Netzwerkgeräte wie WLAN Router, Repeater oder Switches des chinesischen Herstellers TP-Link sind im Privatbereich sehr beliebt. Zum einen, da das Preis- Leistungsverhältnis sehr gut ist, zum anderen da sich viele TP-Link Geräte perfekt eignen, eine freie Router Distribution wie OpenWRT oder DD-WRT zu verwenden. Damit lassen sich Funktionsumfang sowie die Zuverlässigkeit/Sicherheit der Geräte deutlich erhöhen. In meinem heimischen Netzwerk finden sich mittlerweile ausschließlich TP-Link Geräte. Bis auf den managebaren Switch und einen WLAN Repeater den ich leider benötige, läuft alles auf OpenWRT. Bei den erwähnten anderen Geräten läuft die Stock Firmware. Da diese innerhalb des Netzwerkes sind, habe ich mit der halbgaren Herstellerfirmware keine großen Probleme. Was sich allerdings negativ bemerkbar macht, der Repeater verschwindet gelegentlich ins Nirwana und lässt sich nur noch durch einen Kaltstart zum Arbeiten motivieren.

„TP-Link Geräte automatisch neu starten“ weiterlesen

Statische IP Adressen unter OpenWRT

IP basierte Geräte infiltrieren mehr und mehr die privaten Haushalte. Neben klassischen Netzwerkgeräten wie Notebooks, Druckern, WLAN Access Points und Switches kommen immer mehr mobile Geräte in die eigenen vier Wände. Dazu gehören neben Smartphones und Tablets auch streaming Clients für Audio und Video Übertragung, Spielekonsolen, Smart Home Geräte, Küchengeräte und vieles mehr. Die Verwaltung hierfür obliegt dem heimischen Router. Für technisch versierte Anwender eignet sich hier die OpenSource Router Distribution OpenWRT. Diese lässt sich auf viele kostengünstige Plastikgeräte flashen, um neben der höhren Sicherheit auch den Funktionsumfang zu erweitern. Neben der logischen Trennung der Netze (Sicherheit, Performance) ist es oft auch hilfreich, wenn gewisse Geräte immer über die gleiche IP Adresse erreichbar sind. Natürlich lassen sich dafür auf den einzelnen Geräten statische IP Adressen konfigurieren. Dies macht es jedoch aufwändig, da jedes Gerät einzeln angefasst werden muss und schnell der Überblick verloren geht, wo welche IP Adresse vergeben wurde.

„Statische IP Adressen unter OpenWRT“ weiterlesen

OpenWRT SSH Zugriff per Public Key

Um sich standardmäßig an OpenWRT per SSH anzumelden, wird das root Passwort benötigt, welches auch für die Anmeldung am Webinterface Luci verwendet wird. Ist der Router auch über das Internet per SSH erreichbar, lässt sich der Zugang mit dem Public Key Verfahren absichern. Hierbei werden zwei asymmetrische Schlüssel erzeugt, die für die Anmeldung verwendet werden. Das Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel kommt immer auf das System, auf dem die Anmeldung ausgeführt werden soll. In diesem Fall ist das der OpenWRT Router. Der private Schlüssel wird nur auf den Systemen benötigt, von denen aus auf den Router zugegriffen werden soll. Als zusätzlicher Schutz wird der private Schlüssel mit einer Passphrase versehen. Diese muss bei der Anmeldung eingegeben werden. Somit wird aus dem Public Key Verfahren eine Zwei Faktor Authentifizierung, da neben dem Schlüssel auch die Passphrase benötigt wird.

„OpenWRT SSH Zugriff per Public Key“ weiterlesen

WLAN Zugang per QR Code

Wer kennt es nicht? Familie, Freunde oder Bekannte sind zu Besuch und wollen „mal schnell“ was im Internet erledigen. Mobiles Internet ist oft rar oder schlecht in den eigenen vier Wänden verfügbar. Also muss das eigene WLAN herhalten. Für solche Anwendungsfälle empfiehlt sich, einen eigenen Gastzugang zu haben. Diese Funktionalität ist bei vielen Konsumergeräten bereits vorhanden. Eine Beschreibung für ein Gast WLAN in Verbindung mit OpenWRT oder LEDE gibt es hier: Klick. Egal ob es sich um das private oder das Netz für Gäste handelt, es ist immer wichtig die WPA2 Verschlüsselung mit einem ordentlichen Passwort zu versehen. Dies sorgt natürlich für Herausforderungen, wenn der Gastnutzer das vierzigstellige Passwort manuell eintippen muss.

„WLAN Zugang per QR Code“ weiterlesen

OpenVPN DNS Leak unter Windows

Wer OpenVPN unter Windows nutzt und sich darauf verlässt, dass nur die in der OpenVPN Konfiguration angegebenen DNS Server verwendet werden, sollte unter Umständen seine Konfiguration überprüfen. Windows verwendet nicht nur die DNS Server der aktiven VPN Netzwerkkarte, sondern versucht auch gleich alle anderen verfügbaren zu nutzen. Somit besteht die Gefahr eines DNS-Leaks. Mit der OpenVPN Version 2.3.9 wurde eine neue Option hinzugefügt, um das Problem zu verhindern. Es wird dann nur noch der DNS Server des VPN Adapters angesprochen. Die neue Option „block-outside-dns“ kann sowohl in die Server Konfiguration eingetragen werden, damit es auf jedem Client angewendet wird als auch in die Client Konfiguration.

„OpenVPN DNS Leak unter Windows“ weiterlesen

Alternative DNS Server unter OpenWRT

Wer mit seinem privaten Internetanschluß eine Webseite aufruft, tut dies in der Regel über eine URL (Uniform Resource Locator). Damit wird zum einen die Methode des Zugriffs (http / https etc..) angegeben und zum anderen die Adresse der aufzurufenden Seite. Damit die Anfrage jetzt auch beim richtigen Webserver ankommt, muss die eingegebene Adresse in die dafür vorgesehene IP Adresse umgewandelt werden. Dies geschieht über das DNS (Domain Name System). DNS ist wie ein Telefonbuch. Es weiß, welche IP Adresse zu welcher Domain gehört. Damit die Anfragen auch verarbeitet werden können, gibt es viele unterschiedliche Nameserver. Jeder Internetprovider hat in der Regel seine eigenen Nameserver und stellt diese seinen Kunden zur Verfügung.

„Alternative DNS Server unter OpenWRT“ weiterlesen

DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Gäste WLAN auf OpenWRT Access Point

Wer einen WLAN Access Point betreibt, möchte vielleicht auch ein extra Gäste WLAN einrichten, welches vom eigenen Heimnetzwerk getrennt ist. Gäste sollen schließlich nur Zugriff aufs Internet bekommen, ohne die heimischen Ressourcen sehen zu können. Einige Router bzw. Access Point Hersteller liefern so eine Funktionalität bereits mit der Standard Firmware mit. Bei der alternativen Open Source Router Firmware „OpenWRT“ lässt sich auch ein Gäste WLAN einrichten. Die Konfiguration hierfür muss jedoch in Handarbeit erledigt werden. Dieser Blogpost beschreibt die Einrichtung eines Gäste WLANs auf einem eigenständigen WLAN Access Point, der per Kabel mit dem Router verbunden ist. Die generelle Konfiguration eines WLAN Access Points ist im OpenWRT Wiki bereits gut beschrieben. Klick

„Gäste WLAN auf OpenWRT Access Point“ weiterlesen

Werbung direkt auf OpenWRT Router blocken

Werbung kann das Surfvergnügen schnell zunichte machen, da es auf diversen Seiten beinahe unmöglich ist, einen Text vernünftig zu lesen. Natürlich ist es nachvollziehbar, dass Seitenbetreiber für Ihre Arbeit entlohnt werden möchten. Wenn jedoch die monitären Gründe im Vordergrund stehen und ein Großteil einer Seite aus blinkenden Werbeflächen besteht, darf sich keiner wundern, wenn etwas dagegen unternommen wird. Für Browser gibt es schon längere Zeit entsprechende Add-ons, sogenannte „Ad Blocker“, die nervige Werbung unterdrücken sollen. Erst kürzlich habe ich über uBlock berichtet (Klick).

„Werbung direkt auf OpenWRT Router blocken“ weiterlesen

OpenVPN Client unter Linux einrichten

Um eine gesicherte Verbindung über OpenVPN aufzubauen, sind immer zwei Stellen erforderlich. Ein OpenVPN Server und ein oder mehrere OpenVPN Clients. Wie ein OpenVPN Server direkt auf einem Router installiert werden kann, habe ich hier beschrieben:
https://blog.doenselmann.com/openvpn-server-auf-dd-wrt-router-betreiben/
https://blog.doenselmann.com/openvpn-server-auf-openwrt-router-betreiben/
Der OpenVPN Client für Linux kann direkt aus den Paketquellen installiert werden.

„OpenVPN Client unter Linux einrichten“ weiterlesen