OpenVPN Server auf OpenWRT Router betreiben

Vor kurzem habe ich einen Blogpost geschrieben, wie ein OpenVPN Server auf einem DD-WRT Router betrieben werden kann. Klick. Da ich in letzter Zeit häufig Probleme mit DD-WRT auf meinem TP-Link WDR4300 Router hatte, habe ich mich entschieden, wieder auf OpenWRT zu wechseln. Die folgende Anleitung funktioniert genauso auf der aktuellen „LEDE“ Version. OpenWRT bzw. LEDE sind im Vergleich zu DD-WRT etwas komplizierter zu konfigurieren, da hier einiges direkt über die Kommandozeile gemacht werden muss. Dafür hat es den Vorteil, dass es sehr modular aufgebaut ist. In der Basisversion ist nur das Nötigste inklusive Webinterface mit dabei. Komponenten wie DynDNS oder OpenVPN müssen einzeln nachinstalliert werden.

„OpenVPN Server auf OpenWRT Router betreiben“ weiterlesen

Erste Version der Router Software LEDE veröffentlicht

Für den heimischen Router gibt es jede Menge Auswahlmöglichkeiten. Wer es gerne möglichst einfach hat, ohne auf gute Qualität zu verzichten, greift in der Regel zu AVM Produkten. Diese haben zwar ihren Preis, sind aber auch durchaus ihr Geld wert. Einen Router kann man auch schon für ein paar Euro kaufen. Die dabei eingesetzte Software hat aber in den wenigsten Fällen etwas mit Qualität zu tun. Um hier gegensteuern zu können, gibt es freie Router Distributionen wie DD-WRT, OpenWRT & Co. Damit lassen sich bestimmte Modelle mit einer anderen quelloffenen Firmware bespielen.

„Erste Version der Router Software LEDE veröffentlicht“ weiterlesen

OpenWRT mit SQM gegen Bufferbloat

Im eigenen Haushalt laufen immer mehr Dienste und Daten über das Internet. Audio, Video und Voice sorgen neben dem üblichen Surfen für ein relativ hohes Datenaufkommen. Das muss der heimische Internet Router erstmal verarbeiten bzw. verkraften. Je höher das zu übertragende Datenaufkommen ist, desto mehr muss der Router zwischenspeichern. Die Auswirkungen lassen sich mit „Das Internet ist langsam“ ganz gut beschreiben. Das hierfür verantwortliche Problem heisst Bufferbloat. Bufferbloat lässt sich jedoch mit SQM (Smart Queue Management) minimieren und damit ganz gut in den Griff bekommen.

„OpenWRT mit SQM gegen Bufferbloat“ weiterlesen

Statische IP Adressen unter OpenWRT

IP basierte Geräte infiltrieren mehr und mehr die privaten Haushalte. Neben klassischen Netzwerkgeräten wie Notebooks, Druckern, WLAN Access Points und Switches kommen immer mehr mobile Geräte in die eigenen vier Wände. Dazu gehören neben Smartphones und Tablets auch streaming Clients für Audio und Video Übertragung, Spielekonsolen, Smart Home Geräte, Küchengeräte und vieles mehr. Die Verwaltung hierfür obliegt dem heimischen Router. Für technisch versierte Anwender eignet sich hier die OpenSource Router Distribution OpenWRT. Diese lässt sich auf viele kostengünstige Plastikgeräte flashen, um neben der höhren Sicherheit auch den Funktionsumfang zu erweitern. Neben der logischen Trennung der Netze (Sicherheit, Performance) ist es oft auch hilfreich, wenn gewisse Geräte immer über die gleiche IP Adresse erreichbar sind. Natürlich lassen sich dafür auf den einzelnen Geräten statische IP Adressen konfigurieren. Dies macht es jedoch aufwändig, da jedes Gerät einzeln angefasst werden muss und schnell der Überblick verloren geht, wo welche IP Adresse vergeben wurde.

„Statische IP Adressen unter OpenWRT“ weiterlesen

OpenWRT SSH Zugriff per Public Key

Um sich standardmäßig an OpenWRT per SSH anzumelden, wird das root Passwort benötigt, welches auch für die Anmeldung am Webinterface Luci verwendet wird. Ist der Router auch über das Internet per SSH erreichbar, lässt sich der Zugang mit dem Public Key Verfahren absichern. Hierbei werden zwei asymmetrische Schlüssel erzeugt, die für die Anmeldung verwendet werden. Das Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel kommt immer auf das System, auf dem die Anmeldung ausgeführt werden soll. In diesem Fall ist das der OpenWRT Router. Der private Schlüssel wird nur auf den Systemen benötigt, von denen aus auf den Router zugegriffen werden soll. Als zusätzlicher Schutz wird der private Schlüssel mit einer Passphrase versehen. Diese muss bei der Anmeldung eingegeben werden. Somit wird aus dem Public Key Verfahren eine Zwei Faktor Authentifizierung, da neben dem Schlüssel auch die Passphrase benötigt wird.

„OpenWRT SSH Zugriff per Public Key“ weiterlesen

Alternative DNS Server unter OpenWRT

Wer mit seinem privaten Internetanschluß eine Webseite aufruft, tut dies in der Regel über eine URL (Uniform Resource Locator). Damit wird zum einen die Methode des Zugriffs (http / https etc..) angegeben und zum anderen die Adresse der aufzurufenden Seite. Damit die Anfrage jetzt auch beim richtigen Webserver ankommt, muss die eingegebene Adresse in die dafür vorgesehene IP Adresse umgewandelt werden. Dies geschieht über das DNS (Domain Name System). DNS ist wie ein Telefonbuch. Es weiß, welche IP Adresse zu welcher Domain gehört. Damit die Anfragen auch verarbeitet werden können, gibt es viele unterschiedliche Nameserver. Jeder Internetprovider hat in der Regel seine eigenen Nameserver und stellt diese seinen Kunden zur Verfügung.

„Alternative DNS Server unter OpenWRT“ weiterlesen

DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Gäste WLAN auf OpenWRT Access Point

Wer einen WLAN Access Point betreibt, möchte vielleicht auch ein extra Gäste WLAN einrichten, welches vom eigenen Heimnetzwerk getrennt ist. Gäste sollen schließlich nur Zugriff aufs Internet bekommen, ohne die heimischen Ressourcen sehen zu können. Einige Router bzw. Access Point Hersteller liefern so eine Funktionalität bereits mit der Standard Firmware mit. Bei der alternativen Open Source Router Firmware „OpenWRT“ lässt sich auch ein Gäste WLAN einrichten. Die Konfiguration hierfür muss jedoch in Handarbeit erledigt werden. Dieser Blogpost beschreibt die Einrichtung eines Gäste WLANs auf einem eigenständigen WLAN Access Point, der per Kabel mit dem Router verbunden ist. Die generelle Konfiguration eines WLAN Access Points ist im OpenWRT Wiki bereits gut beschrieben. Klick

„Gäste WLAN auf OpenWRT Access Point“ weiterlesen

Werbung direkt auf OpenWRT Router blocken

Werbung kann das Surfvergnügen schnell zunichte machen, da es auf diversen Seiten beinahe unmöglich ist, einen Text vernünftig zu lesen. Natürlich ist es nachvollziehbar, dass Seitenbetreiber für Ihre Arbeit entlohnt werden möchten. Wenn jedoch die monitären Gründe im Vordergrund stehen und ein Großteil einer Seite aus blinkenden Werbeflächen besteht, darf sich keiner wundern, wenn etwas dagegen unternommen wird. Für Browser gibt es schon längere Zeit entsprechende Add-ons, sogenannte „Ad Blocker“, die nervige Werbung unterdrücken sollen. Erst kürzlich habe ich über uBlock berichtet (Klick).

„Werbung direkt auf OpenWRT Router blocken“ weiterlesen

Zeitgesteuertes WLAN auf OpenWrt Router

OpenWrt Router lassen sich über das UCI „Unified Configuration Interface“ über die Kommandozeile konfigurieren. Die gewünschten Änderungen werden dabei direkt in die entsprechenden Konfigurationsdateien wie z.B. „/etc/config/network“ oder „/etc/config/firewall“ eingetragen. Der Vorteil von UCI ist, dass die Konfigurationsdateien für Änderungen nicht mehr geöffnet werden müssen. Gerade für eine automatisierte Konfigurationsänderung ist dies sinnvoll. Mit UCI lässt sich auch das WLAN konfigurieren. Soll z.B. nachts das WLAN deaktiviert werden, lässt sich das sehr leicht umsetzen.

„Zeitgesteuertes WLAN auf OpenWrt Router“ weiterlesen