OpenWRT - ein heißer Kandidat

Gute Unterstützung für all das bietet OpenWRT, eine Open-Source-Lösung für Firewalls und Access Points. Sie wird ständig verbessert und regelmäßig mit Sicherheitsupdates versorgt. Zu den größten Stärken gehören die Flexibilität und Erweiterbarkeit. Sie läuft auf zahlreichen Geräten und ist eine ideale Option - nicht nur für kreative Projekte wie dieses.

Für das Routing stehen mehrere Optionen zur Wahl. OpenWRT beherrscht neben den klassischen Protokollen viele weitere Alternativen, darunter batman-adv, bmx6, bmx7 oder babeld.

Wir werden ein konkretes Beispiel betrachten. Anpassungen sind je nach Umgebung möglich oder sogar notwendig. Da nicht alle Eventualitäten berücksichtigt werden können, haben wir versucht, das Szenario möglichst generisch zu halten. Die Konfiguration der Knoten hängt dem Artikel an. Sie dient als Orientierungshilfe und sollte in dieser Form nicht eins zu eins übernommen werden.

Wahl der Hard- und Software für ein Nachbarschaftsnetz

Die Liste der durch OpenWRT unterstützten Geräte ist lang. Knoten A ist hier ein TP-Link Archer C7 v2. Knoten B ein Ubiquiti Unifi Mesh AC. Beide Geräte laufen auf der zurzeit aktuellen Version 21.02.1.

Möchte man in Haus B auch kabelgebundene Geräte in den skizzierten Segmenten unterbringen, muss man mit einem VLAN-Trunk und einem VLAN-fähigen Switch arbeiten. Dieses Youtube-Video zeigt, wie VLAN und Bridging mit der in 21.02 eingeführten Distributed Switch Architecture (DSA) funktionieren.

DSA ist eine relative junge Methode, um Switching-Funktionen zu steuern. Sie wird noch nicht für alle OpenWRT-Targets angeboten.

Als Verschlüsselungsmethode für die Funkverbindung setzen wir auf das seit einiger Zeit verfügbare WPA3. Um sie nutzen zu können, sind Anpassungen an den lokalen Paketen nötig.

opkg remove wpad-mini
opkg remove wpad-basic
opkg remove wpad-basic-wolfssl
opkg install wpad-wolfssl

Teilnehmer segmentieren

Von Beginn an sollte man mehrere Netzsegmente einplanen:

• LAN (geschützte, eigene Geräte)
• GÄSTE
• DMZ ( Server / NAS o.Ä)
• MESH (Anbindung zu Nachbarn)

In Haus A ist eine Anbindung zum Internet vorhanden. Der Provider verteilt eine IPv4-Adresse auf Knoten A und einen IPv6-Präfix der Länge 56 (2100::/56). In den meisten Fällen ist dieser dynamisch. Kleinere Präfixe wie /48 bieten mehr Raum, größere wie /60 oder gar /64 hingegen nicht genügend Platz für Netze dieser Art. In jedem Fall hilft ein IP-Rechner weiter.

Amazon eero Pro 6 Tri-Band-Mesh-WiFi-6-System mit integriertem Smart Home-Hub von Zigbee

Mit einem dynamischen Präfix sieht man sich mit zusätzlichen Herausforderungen konfrontiert. Sollte ein Serverbetrieb gewünscht sein, der auch aus dem Internet erreichbar ist, bietet sich Dynamic DNS nach RFC 2136 an. OpenWRT verfügt über zusätzliche Pakete, Stichwort: ddns. Statische Präfixe kommen mit einfachen DNS-Einträgen für die Serversysteme aus.

Über DHCPv6 Prefix Delegation gibt Knoten A an Knoten B den Präfix 2108::/61 aus. Knoten B kann damit 8 Netze erzeugen (2108::/64 bis 210f::/64).

WAN-Interface Knoten A (Upstream):

config interface 'wan'
        option device 'eth0.2'
        option proto 'dhcp'
config interface 'WAN6'   
        option proto 'dhcpv6'
        option device '@wan'     
        option reqaddress 'try'   
        option reqprefix '56'

Mesh-Interface Knoten A (Downstream):

config interface 'mesh'          
        option proto 'static'  
        option ipaddr '10.125.1.1'
        option netmask '255.255.255.0'
        option type 'bridge'          
        option device 'wlan1'         
        option ip6assign '60'

Mesh-Interface Knoten B (Upstream):

config interface 'mesh'
        option device 'wlan1'
        option proto 'dhcp'
config interface 'MESH6'
        option proto 'dhcpv6'
        option device '@mesh'
        option reqaddress 'try'
        option reqprefix '61'

Neben den sogenannten Global-Unicast-Adressen verteilt jeder OpenWRT für seine Teilnehmer Unique-Local-Adressen. Dies sind lokale Adressen, vergleichbar mit denen nach RFC 1918. Um zwischen den Standorten zu kommunizieren, sollte man diese wählen, da der Präfix statisch ist. Die per Prefix Delegation verteilten öffentliche Adressen erhalten automatisiert Routingeinträge. Für die Unique-Local-Adressen sind manuelle Einträge nötig.

Knoten A nutzt als Präfix fd3f:bafb:0c4a::/48 und hat im Mesh die Link-Local-Adresse fe80::c66e:1fff:feea:c0d6/64. Knoten B nutzt fd27:c108:9f24::/48 und die Adresse fe80::f692:bfff:fe2d:df02/64.

Firewall

So wie man das Heimnetz für den unbefugten Zugriff aus dem Internet absichert, möchte man das auch für die Zugriffe untereinander regeln. Die Funkstrecke wird in OpenWRT einer eigenen Firewall-Zone zugeordnet, für die sich Regeln granular aufstellen lassen. Haus B verfügt über keinen eigenen Internetzugang. Seine Mesh Verbindung dient als Internet-Uplink und wird deswegen als WAN-Zone gekennzeichnet. Bei dort eingehenden Verbindungen lässt sich nur über die IP-Adresse unterscheiden, ob sie vom Nachbarn oder aus dem Internet kommen.

Der Paketfilter auf Knoten A ist so konfiguriert, dass alle aus dem Internet eingehenden Pakete für Mesh-Teilnehmer frei durchgeleitet werden. Der Administrator der OpenWRT-Firewall in Haus B möchte Regeln selber festlegen können. Gäste der einzelnen Häuser dürfen untereinander beliebig kommunizieren. Dazu werden in OpenWRT Firewall Forwardings definiert.