Original-URL des Artikels: https://www.golem.de/news/turris-omnia-im-test-ein-router-zum-basteln-1611-124437.html    Veröffentlicht: 15.11.2016 12:02    Kurz-URL: https://glm.io/124437

Turris Omnia im Test

Ein Router zum Basteln

Der OpenWRT-Router Turris Omnia soll nicht nur mehr Sicherheit bieten als andere Router, sondern auch durch seine Hardware und seine Erweiterbarkeit punkten. Wir haben getestet, ob das Gerät den hohen Kaufpreis rechtfertigt.

Der Open-Source-Router Turris Omnia schaffte es vor einem Jahr, mehr als eine Million US-Dollar über Indiegogo zu sammeln. Nach anfänglichen Schwierigkeiten mit Zulieferern kann das Projekt mit der Auslieferung beginnen. Die Indiegogo-Sponsoren haben ihre Geräte bereits erhalten. Jetzt steht der Turris Omnia auch über entsprechende Onlineshops dem breiten Publikum zur Verfügung. Der Router soll sich besonders durch seine kräftige Hardware und seine Erweiterbarkeit hervorheben. Das Projekt schafft damit, ein Alltagsgerät mit Bastelhardware zu vereinen.

Besonderen Fokus setzt das Turris-Projekt auf Sicherheit: Eine verteilte Firewall meldet Anomalien an einen zentralen Server. Die dort gesammelten Daten sollen dazu dienen, möglichst schnell entsprechend angepasste Firewall-Regeln wieder an die Router zu verteilen und so auf Angriffe durch Botnetze oder Malware zu reagieren. Auf dem Router läuft eine angepasste Version von OpenWRT, passend Turris OS genannt. Die Hardware soll kräftig genug sein, um Virtualisierung zu ermöglichen, die in Form von Linux-Containern (LXC) bereitgestellt wird. Um genügend Entropie für die Verschlüsselung zu erzeugen, haben die Turris-Entwickler einen Kryptochip integriert.

Kräftige Hardware

Unser Testgerät hat 8 GByte internen Flashspeicher und 1 GByte RAM. Intern arbeitet der Marvell-Armada-385-Zweikernprozessor mit ARMv7-Architektur. Benchmarks mit Sysbench legen nahe, dass die CPU des Turris Omnia der des Raspberry Pi 3 überlegen ist. Im Single-Thread-Test liegt der Turris Omnia bei 103 Sekunden, das Raspberry Pi 3 hingegen bei 182 Sekunden. Im Multi-Thread-Test mit zwei Kernen liegt der Turris Omnia mit 62 Sekunden ebenfalls vor dem Raspberry Pi 3 mit 91 Sekunden.

Für die Netzwerkanbindung stellt das Turris Omnia sechs Gigabit-Ports bereit. Die Ports lassen sich auf dem Turris Omnia bislang aber nicht per LACP zusammenfügen. Einer ist für den Anschluss an das WAN reserviert. Darüber lässt sich der Turris Omnia etwa mit einem Router eines ISPs verbinden. Für das WLAN stehen in unserem Testgerät zwei Hardwaremodule bereit. Eines bietet 802.11b/g/n und funkt im 2,4-GHz-Band. Das zweite funkt im 5-GHz-Band und bietet 802.11n/a/ac.

Gut vernetzt

Insgesamt gibt es drei Antennen. Damit lässt sich das Datendurchsatzpotenzial der Funkeinheiten per Multi-User-MIMO gleichermaßen auf mehrere Clients verteilen. Die 5-GHz-Einheit kann 3 x 3 MU-MIMO, das 2,4-GHz-Modul schafft 2 x 2 MU-MIMO. Alternativ zum Gigabit-WAN-Port kann auch der SFP-Anschluss etwa per Glasfaser nutzen und zumindest nominal einen Datendurchsatz von 5 GBit/s erzielen. Auf dem Mainboard gibt es zusätzlich noch einen Slot für eine Mini-SIM-Karte. Der kann mit einem optional erhältlichen LTE-PCI-E-Modul genutzt werden.

Wer kein LTE-Modul verbauen will, kann den verbleibenden PCI-E-Anschluss stattdessen mit mSATA-Speicher ausstatten. Zusätzlicher Speicher kann über die zwei USB-3.0-Steckplätze auf der Vorder- und Rückseite zur Verfügung gestellt werden. So lässt sich der Router auch als NAS verwenden.

Mühelos eingerichtet

Die erste Einrichtung des Turris Omnia ist auch für Einsteiger zu bewältigen. Unseren Router haben wir per LAN-Kabel an der WAN-Buchse an unseren Telekom-Router angeschlossen und anschließend ebenfalls per LAN-Kabel über einen der LAN-Ports mit einen Laptop verbunden. Der Turris-Router verwendet zunächst die IP-Adresse 192.168.1.1, unser Telekom-Router hingegen die IP-Adresse 192.168.2.1, so dass keine Adresskonflikte entstehen konnten. Auf unserem Laptop öffneten wir die IP-Adresse 192.168.1.1 des Turris-Routers im Browser und wurden mit der Turris-eigenen Konfigurationsoberfläche Foris zunächst in englischer Sprache begrüßt. Als Alternativen stehen aktuell Deutsch und Tschechisch zur Verfügung.

Als Erstes müssen wir ein Administrator-Kennwort setzen. Unten befindet sich eine Checkbox, in der wir das eingegebene Kennwort auch für die Expertenkonfiguration setzen können. Die erweiterte Konfigurationsoberfläche, mit der tief in die Einstellungen des Routers eingegriffen werden kann, heißt Luci und stammt vom OpenWRT-Projekt. Mehr dazu aber später. Die Turris-Entwickler versicherten uns, dass Einsteiger beim normalen Gebrauch Luci nicht verwenden müssen. Und tatsächlich bietet Foris alle notwendigen Einstellungen, um den Router für den ersten Gebrauch einzurichten.

Sicherheit per DNSSEC

Nach der Eingabe des Kennworts erfolgt in Foris die DHCP-Einrichtung, die neben der voreingestellten automatischen Konfiguration auch die Vergabe einer statischen IP-Adresse ermöglicht. Darüber hinaus kann der Turris-Router auch direkt an ein Modem des Providers angeschlossen werden. Dafür lassen sich über die optionale PPPoE-Konfiguration die Zugangsdaten des ISPs eingeben.

Standardmäßig nutzt der Turris-Router DNSSEC. Dafür stellt das Turris-Projekt einen eigenen DNS-Server bereit. In der Konfigurationsoberfläche weist das Projekt auf mögliche Schwierigkeiten bei DNSSEC hin, etwa wenn der ISP den streitbaren Standard nicht vollständig unterstützt.

Noch mehr Probleme könnten Benutzer aber bekommen, wenn sie DNSSEC nicht verwenden, heißt es dort weiter. Das Turris-Projekt empfiehlt sehr selbstbewusst, DNSSEC in jedem Fall zu verwenden und sich mit möglichen Verbindungsproblemen an den ISP zu wenden. Trotzdem gibt es einen Schalter in Foris, mit dem DNSSEC ausgeschaltet werden kann. Wir haben in unserem zweiwöchigen Test beide Optionen gleichermaßen verwendet und hatten weder mit noch ohne DNSSEC Probleme.

Zweimal WLAN

Spätestens bei der Einrichtung des WLANs fällt auf, dass es zwei Module gibt, die unabhängig voneinander konfiguriert werden können. In Foris ist WPA2 zwingend. In der OpenWRT-Konfigurationsoberfläche Luci können Wagemutige später auch ein offenes WLAN konfigurieren. Auf WPS haben die Turris-Entwickler verzichtet - nach eigenen Angaben wegen Sicherheitsbedenken. Schick ist hingegen die Möglichkeit, die WLAN-Zugangsdaten per QR-Code zu übertragen, was bei unserem Test mit Smartphones problemlos gelang. Die Vorgaben für Kanalbreite und Netzwerkkanal sind auf den maximalen Datendurchsatz und möglichst störungsfreien Betrieb gesetzt, lassen sich in Foris aber auch ändern.

Unsere Tests mit Iperf ergaben allerdings mäßige Datenraten. Bei einem aktuellen Honor 8 erreichten wir bei 802.11 ac bei 80 MHz durchschnittlich 200 MBit/s, bei einem Macbook Air von 2013 waren es etwa 150 MBit/s. Absolute Werte bei WLAN-Messungen sind aber ohnehin mit Vorsicht zu genießen, in unserer Testumgebung wimmelt es nur so vor Access Points. Bei direkter LAN-Verbindung per Kabel erreichten wir hingegen nahezu die maximale Übertragungsgeschwindigkeit.

Von Turris überwacht

Als Besonderheit bietet das Turris-Projekt eine verteilte Firewall. Dabei wird der Datenverkehr zwischen Router und Internet optional an die Organisation cz.nic übertragen. Dort wird er nach Anomalien untersucht. Zudem werden auch Informationen des tschechischen Computer Security Incident Response Teams (Cert) hinzugezogen. Verdächtiger Datenverkehr wird dann durch neue Firewall-Regeln gefiltert, die zeitnah an die Router übertragen werden.

Damit der Benutzer an dem Projekt teilnehmen kann, muss er sich beim Turris-Projekt per E-Mail registrieren. Anschließend kann er dort auf der Webseite seine übertragenen Daten einsehen. Dort erfährt er auch, ob von einem an den Router angeschlossenen Rechner oder Gerät verdächtiger Datenverkehr ausgeht. Ähnliches bietet etwa die Telekom bereits seit Jahren. Kunden, auf deren Router verdächtiger Datenverkehr registriert wird, erhalten gegebenenfalls eine entsprechende E-Mail vom Internetanbieter und sogar telefonische Hilfe.

Daten würden vom Turris-Projekt lediglich über einen Zeitraum von zehn Tagen gespeichert, versicherte uns cz.nic-Chef Ondrej Filip. Die Firewall-Regeln könne ohnehin jeder in den Experteneinstellungen von Luci einsehen. Der Router funktioniere auch ohne diese Option. Auch Software-Updates erhalte der Router ohne Registrierung. Beide Optionen können bereits bei der ersten Einrichtung in der Konfigurationsoberfläche Foris aber auch abgeschaltet werden.

Besonderheit Turris OS

Wie bereits erwähnt, läuft auf dem Omnia-Router eine speziell angepasste Version von OpenWRT namens Turris OS. Die ist unter anderem notwendig, um die gesamte Hardware im Router zu unterstützen, besonders die CPU. Das Turris-Team setzt dafür auf den Linux-Kernel in Version 4.4.13, während die aktuelle Version 15.05.1 von OpenWRT noch die Kernel-Version 3.18.23 verwendet. Eigene Anpassungen will das Turris-Team, wenn möglich, wieder dem OpenWRT-Projekt zur Verfügung stellen.

Turris verwendet auch eigene Softwarequellen, die zumindest größtenteils die gleiche Software bieten wie das OpenWRT-Projekt selbst. Es gibt allerdings Einschränkungen in Form fehlender Software oder Treiber. Das fiel uns zunächst bei fehlenden Kernel-Modulen für unsere DVB-T-Karte auf. Während es in den offiziellen OpenWRT-Repositories durchaus Treiber für die - zugegebenermaßen betagte - Cinergy-T2-Karte gibt, fehlen sie beim Turris-Projekt ebenso wie Entwicklerwerkzeuge. Immerhin können Anfragen zu fehlenden Treibern im Forum hinterlegt werden.

Baustelle Firmware

DVB-T über den Router im Netzwerk zu verteilen, ist eine der beworbenen Funktionen, die in der Konfigurationsoberfläche Foris unter "Updater" ausgewählt werden können. Dort können auch automatische Updates deaktiviert werden, was die Turris-Macher jedoch nicht empfehlen. Die Entwickler des Turris-Projekts versichern, ihre Version von OpenWRT regelmäßig zu pflegen und kritische Aktualisierungen schnell bereitzustellen. Während unserer zweiwöchigen Testphase wurden zahlreiche Updates bereitgestellt, darunter auch eine umfangreiche Kernel-Aktualisierung.

Für die Möglichkeit, DVB-T vom Router ins heimische Netzwerk zu verteilen, wird die Anwendung Tvheadend installiert. Mehr als die Installation bietet die Benutzeroberfläche aber nicht. Es wird weder darauf hingewiesen, dass Tvheadend dann über die Ports 9981, 9982 oder 9983 erreichbar ist noch, ob die TV-Karte überhaupt erkannt wurde. Auch in der Expertenkonfiguration Luci gibt es keine Möglichkeit für entsprechende Einstellungen. Hier müssen sich Anwender stattdessen per SSH bei Turris OS einloggen und mit der Kommandozeile vorlieb nehmen.

Sprachprobleme

Das gilt ebenfalls für die optionale Möglichkeit, den Datenverkehr des Routers über den Anonymisierungsdienst Tor zu leiten. Es gibt zwar detaillierte Anleitungen dazu auf der Webseite des Projekts. Die sind jedoch größtenteils noch ausschließlich in tschechischer Sprache verfasst. Mit Hilfe von Googles Übersetzungsdienst gelang es uns, die teils langwierigen Konfigurationen dennoch zu meistern. Sie setzen zumindest im Falle von Tor erhebliches Linux-Wissen voraus.

In der erweiterten Konfigurationsoberfläche Luci lassen sich immerhin an den Router angeschlossene Webcams und der integrierte DLNA-Server oder kleine Honeypots mühelos einrichten. Bei der Bereitstellung von Musik über die DLNA-Server erlebten wir jedoch eine weitere Enttäuschung: In den Softwarequellen für Turris OS fehlen Bibliotheken für die Formate Mp3 oder M4a, lediglich die Open-Source-Formate Flac oder Ogg werden unterstützt.

Virtualisierung per Container

Um diese Einschränkungen zu umgehen, griffen wir auf die Virtualisierungsoption LXC zurück. Zu den LX-Containern, die Turris OS mit Vorlagen unterstützt, gehören unter anderem Debian 8 alias Jessie sowie die aktuellen Ubuntu-Versionen 16.04 und 16.10 alias Xenial Xerus und Yakkety Yak. Opensuse 13.2 und das stets aktuell gehaltene Opensuse-Tumbleweed gehören ebenso zur Auswahl wie Gentoo. Außerdem lassen sie das auf Sicherheit getrimmte Alpine Linux und das eigene Turris OS installieren.

Container können über die Konfigurationsoberfläche Luci erstellt, gestartet und gestoppt werden. Die erweiterte Konfiguration, etwa das Setzen eines Root-Kennworts, eines Benutzers oder die Einrichtung des Netzwerks, erfolgt aber wieder über die Kommandozeile per SSH. Es gibt immerhin auf der Webseite eine kurze Einführung in die LX-Container in englischer Sprache. So gelang uns in einem Ubuntu-Container die Einrichtung eines DLNA-Servers für unsere Mp3s und einen Webserver.

Sicherheit für IoT

Die Turris-Macher wollen ihren Router aber auch als zentrale Schnittstelle für Heimautomation und IoT-Geräte wie Webcams sehen. Hier sollen die Sicherheitsfunktionen eine besondere Rolle spielen. Die Überwachung des Datenverkehrs durch Turris soll etwa verhindern, dass Botnetze auf infizierten Geräten unbemerkt ihr Unwesen treiben können.

An der Hauptplatine im Router gibt es Stiftleisten, die insgesamt zehn GPIO-Pins sowie eine I2C- und eine SPI-Schnittstelle liefern. Uart- und Jtag-Pins gibt es ebenfalls. So soll das Turris Omnia auch für Bastler geeignet sein, die ihre eigenen netzwerkfähigen Projekte umsetzen wollen. Dabei ist auch hilfreich, dass die Entwickler den Router als Open-Source-Hardware freigegeben haben, die Schaltpläne sind komplett auf der Webseite zu finden.

Verfügbarkeit und Fazit

Der Turris Omnia ist in zwei Versionen erhältlich. Sie unterscheiden sich lediglich durch die Größe des Arbeitsspeichers. Mit 1 GByte RAM kostet der Router etwa 285 Euro, mit 2 GByte RAM 330 Euro.

Fazit

Die Turris-Macher haben sich viel vorgenommen: einen sicheren Router mit ordentlicher Hardware, eine verteilte dynamische und stets aktuelle Firewall und dazu eine eigene Version von OpenWRT. Und der Turris Omnia soll sowohl für Einsteiger als auch für Experten geeignet sein. Das Versprechen hat das Turris-Projekt erfreulicherweise weitgehend erfüllt - wäre da nicht die Software.

Einsteiger können den Router mühelos anschließen und verwenden. Für ihre Sicherheit ist in den Standardeinstellungen gesorgt. Automatische Updates für Turris OS und die Firewall werden ohne Zutun eingespielt, der Turris Omnia kann getrost einmal eingerichtet und dann in die Ecke gestellt werden. Besonders für kleine Büros, Kneipen oder Pensionen, die Gast-WLANs zur Verfügung stellen wollen, ist der Turris Omnia gut geeignet. Für Anwender, die zu Hause bereits einen Router ihres ISPs verwenden, stellt sich dennoch die Frage, ob sie zusätzlich 300 Euro für einen zweiten Router ausgeben wollen.

Immerhin bietet der Turris Omnia ziemlich viele Funktionen, die auch für private Nutzer interessant sein können, darunter die Möglichkeit, den Router als NAS- oder DLNA-Server zu verwenden. Das setzt jedoch mindestens grundlegende Kenntnisse zu Linux und insbesondere zu OpenWRT beziehungsweise Turris OS voraus. Aber auch für Experten muss das Turris-Team noch einiges nachliefern. Bei einem Betriebssystem, das in erster Linie auf Sicherheit ausgerichtet ist, ist es zwar verständlich, dass Treiber und zusätzliche Software nur bedingt integriert werden können. Im Vergleich zum Funktionsumfang von OpenWRT hinkt Turris OS aber noch hinterher.

Immerhin ist Turris OS Open Source und lässt sich mit genügend Wissen auch selbst erweitern. Die LX-Container bieten darüber hinaus eine ausgereifte Alternative, wenn Turris OS mal nicht ausreicht. Wir hätten gerne noch mehr Zeit für Basteleien gehabt.

Für Bastler ist der Turris Omnia ein tolles Gerät, das nicht nur über kräftige Standardhardware verfügt, sondern auch fast beliebig erweitert werden kann. Das Turris-Team war nicht nur bei unserem Besuch äußerst hilfreich und hatte ein offenes Ohr für Wünsche, sondern versicherte, besonders Entwickler und Experimentierfreudige schnelle und umfangreiche Hilfe zu bieten. Aber auch Bastler dürften sich bei dem stolzen Preis den Kauf zweimal überlegen.  (jt)


© 1997–2019 Golem.de, https://www.golem.de/