OpenWRT - ein heißer Kandidat

Gute Unterstützung für all das bietet OpenWRT, eine Open-Source-Lösung für Firewalls und Access Points. Sie wird ständig verbessert und regelmäßig mit Sicherheitsupdates versorgt. Zu den größten Stärken gehören die Flexibilität und Erweiterbarkeit. Sie läuft auf zahlreichen Geräten und ist eine ideale Option - nicht nur für kreative Projekte wie dieses.

Stellenmarkt
  1. (Junior) User Interface Design (m/w/d)
    Agentur Siegmund GmbH, Stuttgart
  2. Facheinkäufer*in (IT/TK und Consulting)
    GASAG AG, Berlin
Detailsuche

Für das Routing stehen mehrere Optionen zur Wahl. OpenWRT beherrscht neben den klassischen Protokollen viele weitere Alternativen, darunter batman-adv, bmx6, bmx7 oder babeld.

Wir werden ein konkretes Beispiel betrachten. Anpassungen sind je nach Umgebung möglich oder sogar notwendig. Da nicht alle Eventualitäten berücksichtigt werden können, haben wir versucht, das Szenario möglichst generisch zu halten. Die Konfiguration der Knoten hängt dem Artikel an. Sie dient als Orientierungshilfe und sollte in dieser Form nicht eins zu eins übernommen werden.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
Diagram Haus A, Haus B (Bild: Jochen Demmer)

Wahl der Hard- und Software für ein Nachbarschaftsnetz

Die Liste der durch OpenWRT unterstützten Geräte ist lang. Knoten A ist hier ein TP-Link Archer C7 v2. Knoten B ein Ubiquiti Unifi Mesh AC. Beide Geräte laufen auf der zurzeit aktuellen Version 21.02.1.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

Möchte man in Haus B auch kabelgebundene Geräte in den skizzierten Segmenten unterbringen, muss man mit einem VLAN-Trunk und einem VLAN-fähigen Switch arbeiten. Dieses Youtube-Video zeigt, wie VLAN und Bridging mit der in 21.02 eingeführten Distributed Switch Architecture (DSA) funktionieren.

DSA ist eine relative junge Methode, um Switching-Funktionen zu steuern. Sie wird noch nicht für alle OpenWRT-Targets angeboten.

Als Verschlüsselungsmethode für die Funkverbindung setzen wir auf das seit einiger Zeit verfügbare WPA3. Um sie nutzen zu können, sind Anpassungen an den lokalen Paketen nötig.

  1. opkg remove wpad-mini
  2. opkg remove wpad-basic
  3. opkg remove wpad-basic-wolfssl
  4. opkg install wpad-wolfssl

Teilnehmer segmentieren

Von Beginn an sollte man mehrere Netzsegmente einplanen:

  • LAN (geschützte, eigene Geräte)
  • GÄSTE
  • DMZ ( Server / NAS o.Ä)
  • MESH (Anbindung zu Nachbarn)

In Haus A ist eine Anbindung zum Internet vorhanden. Der Provider verteilt eine IPv4-Adresse auf Knoten A und einen IPv6-Präfix der Länge 56 (2100::/56). In den meisten Fällen ist dieser dynamisch. Kleinere Präfixe wie /48 bieten mehr Raum, größere wie /60 oder gar /64 hingegen nicht genügend Platz für Netze dieser Art. In jedem Fall hilft ein IP-Rechner weiter.

Amazon eero Pro 6 Tri-Band-Mesh-WiFi-6-System mit integriertem Smart Home-Hub von Zigbee

Mit einem dynamischen Präfix sieht man sich mit zusätzlichen Herausforderungen konfrontiert. Sollte ein Serverbetrieb gewünscht sein, der auch aus dem Internet erreichbar ist, bietet sich Dynamic DNS nach RFC 2136 an. OpenWRT verfügt über zusätzliche Pakete, Stichwort: ddns. Statische Präfixe kommen mit einfachen DNS-Einträgen für die Serversysteme aus.

Über DHCPv6 Prefix Delegation gibt Knoten A an Knoten B den Präfix 2108::/61 aus. Knoten B kann damit 8 Netze erzeugen (2108::/64 bis 210f::/64).

WAN-Interface Knoten A (Upstream):

  1. config interface 'wan'
  2. option device 'eth0.2'
  3. option proto 'dhcp'
  4. config interface 'WAN6'
  5. option proto 'dhcpv6'
  6. option device '@wan'
  7. option reqaddress 'try'
  8. option reqprefix '56'

Mesh-Interface Knoten A (Downstream):

  1. config interface 'mesh'
  2. option proto 'static'
  3. option ipaddr '10.125.1.1'
  4. option netmask '255.255.255.0'
  5. option type 'bridge'
  6. option device 'wlan1'
  7. option ip6assign '60'

Mesh-Interface Knoten B (Upstream):

  1. config interface 'mesh'
  2. option device 'wlan1'
  3. option proto 'dhcp'
  4. config interface 'MESH6'
  5. option proto 'dhcpv6'
  6. option device '@mesh'
  7. option reqaddress 'try'
  8. option reqprefix '61'

Neben den sogenannten Global-Unicast-Adressen verteilt jeder OpenWRT für seine Teilnehmer Unique-Local-Adressen. Dies sind lokale Adressen, vergleichbar mit denen nach RFC 1918. Um zwischen den Standorten zu kommunizieren, sollte man diese wählen, da der Präfix statisch ist. Die per Prefix Delegation verteilten öffentliche Adressen erhalten automatisiert Routingeinträge. Für die Unique-Local-Adressen sind manuelle Einträge nötig.

Knoten A nutzt als Präfix fd3f:bafb:0c4a::/48 und hat im Mesh die Link-Local-Adresse fe80::c66e:1fff:feea:c0d6/64. Knoten B nutzt fd27:c108:9f24::/48 und die Adresse fe80::f692:bfff:fe2d:df02/64.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)

Firewall

So wie man das Heimnetz für den unbefugten Zugriff aus dem Internet absichert, möchte man das auch für die Zugriffe untereinander regeln. Die Funkstrecke wird in OpenWRT einer eigenen Firewall-Zone zugeordnet, für die sich Regeln granular aufstellen lassen. Haus B verfügt über keinen eigenen Internetzugang. Seine Mesh Verbindung dient als Internet-Uplink und wird deswegen als WAN-Zone gekennzeichnet. Bei dort eingehenden Verbindungen lässt sich nur über die IP-Adresse unterscheiden, ob sie vom Nachbarn oder aus dem Internet kommen.

  • Diagram Haus A, Haus B (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten 1 (Bild: Jochen Demmer)
  • OpenWRT statische Route Knoten2.png (Bild: Jochen Demmer)
  • OpenWRT Firewall (Bild: Jochen Demmer)
  • Diagramm Haus A, Haus C (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s (Bild: Jochen Demmer)
  • OpenWRT WLAN 802.11s Security (Bild: Jochen Demmer)
OpenWRT Firewall (Bild: Jochen Demmer)

Der Paketfilter auf Knoten A ist so konfiguriert, dass alle aus dem Internet eingehenden Pakete für Mesh-Teilnehmer frei durchgeleitet werden. Der Administrator der OpenWRT-Firewall in Haus B möchte Regeln selber festlegen können. Gäste der einzelnen Häuser dürfen untereinander beliebig kommunizieren. Dazu werden in OpenWRT Firewall Forwardings definiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Heimnetze: Die Masche mit dem NachbarnAus Punkt zu Punkt wird Masche 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


486dx4-160 31. Mai 2022 / Themenstart

kann einfach Freifunk verwenden. Die Access Points meshen automatisch und VPN hat man...

mxcd 30. Mai 2022 / Themenstart

Wozu das im Artikel skizzierte Setup nützt, erchließt sich kaum. Sinnvoller erschiene...

berritorre 27. Mai 2022 / Themenstart

Ja, als zum lernen ist das ganz sicher eine sehr spannende Geschichte. Für die Vernetzung...

berritorre 27. Mai 2022 / Themenstart

Bei mir sind es andere Gründe. Der Admin unseres Email-Servers in Deutschland hat...

Kommentieren



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Probefahrt mit Toyota bZ4X: Starker Auftritt mit kleinen Schwächen
    Probefahrt mit Toyota bZ4X
    Starker Auftritt mit kleinen Schwächen

    Das erste Elektroauto von Toyota kommt spät - und weist trotzdem noch Schwachpunkte auf. Der Hersteller verspricht immerhin schnelle Abhilfe.
    Ein Bericht von Franz W. Rother

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /