OpenWRT - ein heißer Kandidat

Gute Unterstützung für all das bietet OpenWRT, eine Open-Source-Lösung für Firewalls und Access Points. Sie wird ständig verbessert und regelmäßig mit Sicherheitsupdates versorgt. Zu den größten Stärken gehören die Flexibilität und Erweiterbarkeit. Sie läuft auf zahlreichen Geräten und ist eine ideale Option - nicht nur für kreative Projekte wie dieses.

Für das Routing stehen mehrere Optionen zur Wahl. OpenWRT beherrscht neben den klassischen Protokollen viele weitere Alternativen, darunter batman-adv, bmx6, bmx7 oder babeld.

Wir werden ein konkretes Beispiel betrachten. Anpassungen sind je nach Umgebung möglich oder sogar notwendig. Da nicht alle Eventualitäten berücksichtigt werden können, haben wir versucht, das Szenario möglichst generisch zu halten. Die Konfiguration der Knoten hängt dem Artikel an. Sie dient als Orientierungshilfe und sollte in dieser Form nicht eins zu eins übernommen werden.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
Diagram Haus A, Haus B (Bild: Jochen Demmer)

Wahl der Hard- und Software für ein Nachbarschaftsnetz

Die Liste der durch OpenWRT unterstützten Geräte ist lang. Knoten A ist hier ein TP-Link Archer C7 v2. Knoten B ein Ubiquiti Unifi Mesh AC. Beide Geräte laufen auf der zurzeit aktuellen Version 21.02.1.

Möchte man in Haus B auch kabelgebundene Geräte in den skizzierten Segmenten unterbringen, muss man mit einem VLAN-Trunk und einem VLAN-fähigen Switch arbeiten. Dieses Youtube-Video zeigt, wie VLAN und Bridging mit der in 21.02 eingeführten Distributed Switch Architecture (DSA) funktionieren.

DSA ist eine relative junge Methode, um Switching-Funktionen zu steuern. Sie wird noch nicht für alle OpenWRT-Targets angeboten.

Als Verschlüsselungsmethode für die Funkverbindung setzen wir auf das seit einiger Zeit verfügbare WPA3. Um sie nutzen zu können, sind Anpassungen an den lokalen Paketen nötig.

  1. opkg remove wpad-mini
  2. opkg remove wpad-basic
  3. opkg remove wpad-basic-wolfssl
  4. opkg install wpad-wolfssl

Teilnehmer segmentieren

Von Beginn an sollte man mehrere Netzsegmente einplanen:

  • LAN (geschützte, eigene Geräte)
  • GÄSTE
  • DMZ ( Server / NAS o.Ä)
  • MESH (Anbindung zu Nachbarn)

In Haus A ist eine Anbindung zum Internet vorhanden. Der Provider verteilt eine IPv4-Adresse auf Knoten A und einen IPv6-Präfix der Länge 56 (2100::/56). In den meisten Fällen ist dieser dynamisch. Kleinere Präfixe wie /48 bieten mehr Raum, größere wie /60 oder gar /64 hingegen nicht genügend Platz für Netze dieser Art. In jedem Fall hilft ein IP-Rechner weiter.

Mit einem dynamischen Präfix sieht man sich mit zusätzlichen Herausforderungen konfrontiert. Sollte ein Serverbetrieb gewünscht sein, der auch aus dem Internet erreichbar ist, bietet sich Dynamic DNS nach RFC 2136 an. OpenWRT verfügt über zusätzliche Pakete, Stichwort: ddns. Statische Präfixe kommen mit einfachen DNS-Einträgen für die Serversysteme aus.

Über DHCPv6 Prefix Delegation gibt Knoten A an Knoten B den Präfix 2108::/61 aus. Knoten B kann damit 8 Netze erzeugen (2108::/64 bis 210f::/64).

WAN-Interface Knoten A (Upstream):

  1. config interface 'wan'
  2. option device 'eth0.2'
  3. option proto 'dhcp'
  4. config interface 'WAN6'
  5. option proto 'dhcpv6'
  6. option device '@wan'
  7. option reqaddress 'try'
  8. option reqprefix '56'

Mesh-Interface Knoten A (Downstream):

  1. config interface 'mesh'
  2. option proto 'static'
  3. option ipaddr '10.125.1.1'
  4. option netmask '255.255.255.0'
  5. option type 'bridge'
  6. option device 'wlan1'
  7. option ip6assign '60'

Mesh-Interface Knoten B (Upstream):

  1. config interface 'mesh'
  2. option device 'wlan1'
  3. option proto 'dhcp'
  4. config interface 'MESH6'
  5. option proto 'dhcpv6'
  6. option device '@mesh'
  7. option reqaddress 'try'
  8. option reqprefix '61'

Neben den sogenannten Global-Unicast-Adressen verteilt jeder OpenWRT für seine Teilnehmer Unique-Local-Adressen. Dies sind lokale Adressen, vergleichbar mit denen nach RFC 1918. Um zwischen den Standorten zu kommunizieren, sollte man diese wählen, da der Präfix statisch ist. Die per Prefix Delegation verteilten öffentliche Adressen erhalten automatisiert Routingeinträge. Für die Unique-Local-Adressen sind manuelle Einträge nötig.

Knoten A nutzt als Präfix fd3f:bafb:0c4a::/48 und hat im Mesh die Link-Local-Adresse fe80::c66e:1fff:feea:c0d6/64. Knoten B nutzt fd27:c108:9f24::/48 und die Adresse fe80::f692:bfff:fe2d:df02/64.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)

Firewall

So wie man das Heimnetz für den unbefugten Zugriff aus dem Internet absichert, möchte man das auch für die Zugriffe untereinander regeln. Die Funkstrecke wird in OpenWRT einer eigenen Firewall-Zone zugeordnet, für die sich Regeln granular aufstellen lassen. Haus B verfügt über keinen eigenen Internetzugang. Seine Mesh Verbindung dient als Internet-Uplink und wird deswegen als WAN-Zone gekennzeichnet. Bei dort eingehenden Verbindungen lässt sich nur über die IP-Adresse unterscheiden, ob sie vom Nachbarn oder aus dem Internet kommen.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
OpenWRT Firewall (Bild: Jochen Demmer)

Der Paketfilter auf Knoten A ist so konfiguriert, dass alle aus dem Internet eingehenden Pakete für Mesh-Teilnehmer frei durchgeleitet werden. Der Administrator der OpenWRT-Firewall in Haus B möchte Regeln selber festlegen können. Gäste der einzelnen Häuser dürfen untereinander beliebig kommunizieren. Dazu werden in OpenWRT Firewall Forwardings definiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Heimnetze: Die Masche mit dem NachbarnAus Punkt zu Punkt wird Masche 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


486dx4-160 31. Mai 2022

kann einfach Freifunk verwenden. Die Access Points meshen automatisch und VPN hat man...

mxcd 30. Mai 2022

Wozu das im Artikel skizzierte Setup nützt, erchließt sich kaum. Sinnvoller erschiene...

berritorre 27. Mai 2022

Ja, als zum lernen ist das ganz sicher eine sehr spannende Geschichte. Für die Vernetzung...

berritorre 27. Mai 2022

Bei mir sind es andere Gründe. Der Admin unseres Email-Servers in Deutschland hat...



Aktuell auf der Startseite von Golem.de
Gigatron TTL zusammengebaut
Viel löten, viel Spaß, kein Mikroprozessor

Der Gigatron TTL ist ein 8-Bit-Computer mit Video-Output, auf dem sich Spiele spielen lassen - und das ohne Mikroprozessor. Wir haben das Kit mit großer Begeisterung zusammengebaut.
Ein Test von Tobias Költzsch

Gigatron TTL zusammengebaut: Viel löten, viel Spaß, kein Mikroprozessor
Artikel
  1. KI-Chatbot: Googles Bard soll für bessere Antworten Code ausführen
    KI-Chatbot
    Googles Bard soll für bessere Antworten Code ausführen

    Um Fragen nach Berechnungen oder Logik besser zu beantworten, soll Googles KI-Bot Bard nun wieder wie ein Computer funktionieren.

  2. Whistleblower: USA sollen intaktes außerirdisches Fluggerät besitzen
    Whistleblower
    USA sollen intaktes außerirdisches Fluggerät besitzen

    Klingt schräg, aber der Whistleblower ist ungewöhnlich glaubwürdig: Die USA sollen mehrere außerirdische Fluggeräte haben.

  3. Freelancer in der IT: Schön, lukrativ, aber alles andere als easy
    Freelancer in der IT
    Schön, lukrativ, aber alles andere als easy

    Viele junge Entwickler wollen lieber Freelancer sein als angestellt. Doch das hat mehr Haken, als man denkt. Wir haben Tipps für den Einstieg.
    Ein Ratgebertext von Rene Koch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Corsair Crystal 570X RGB Mirror 99€, be quiet! Pure Base 500 59€, Patriot Viper VENOM RGB DDR5-6200 32 GB 109€ • Acer XZ322QUS 259€ • Corsair RM750x 108€ • Corsair K70 RGB PRO 135€ • PS5-Spiele & Zubehör bis -75% • Chromebooks bis -32% • NBB: Gaming-Produkte bis -50% [Werbung]
    •  /