Inhaltsverzeichnis

  1. Was ist das hier
  2. Daten fuer die Faxe-Administration
  3. Installation der Firmware
    1. Auswahl der Firmware
    2. Hochladen der Firmware
    3. Einloggen
    4. Installation des Web-Interface
    5. Nutzung des Web-Interface
  4. Konfiguration
    1. VLAN dmz
    2. weitere Einstellungen
    3. Zugriff auf den Server
  5. Regelmäßige Backups
  6. Klonen eines Routers

Was ist das hier

Diese Seite beschreibt die Einrichtung eines Linksys WRT54G zur Nutzung als Router zum Schutz des Faxe-Servers. Sowohl die Einrichtung der Firmware, als auch die anschließenden Anpassungen, sowie die Vorgehensweise beim Klonen eines Routers werden erklärt.

Daten fuer die Faxe-Administration

lokale IP des Faxe-Servers

192.168.1.25

zweites lokales IP-Netz des Routers

192.168.0.0/24

Installation der Firmware

Auswahl der Firmware

Die Firmware OpenWRT ist die gebräuchlichste Firmware für Linksys WRT54G und etwa 20 andere Router-Modelle.

Zur Zeit dieser Anleitung war die Version Kamikaze 7.09 aktuell.

Die passende Variante für den Linksys WRT54G heisst brcm-2.4 (mit dem 2.4er-Kernel läuft Wifi).

Idealerweise solltest du die trx-Datei wählen. Falls bisher noch dir originale Hersteller-Firmware auf dem Gerät läuft, dann ist die entsprechende bin-Datei hilfreich, um das Web-Interface zum Upload zu nutzen. Siehe OpenWRT-Wiki

Hochladen der Firmware

Dazu gibt es verschiedene Möglichkeiten. Die wohl üblichste Variante basiert auf der Verwendung eines tftp-Clients beim Boot-Vorgang des Routers (z.B. atftp und tftp).

Einloggen

Solange kein Passwort gesetzt ist, kannst du dich per telnet einloggen: 

telnet 192.168.1.1

Danach tippst du in der Router-Shell einfach passwd zum Passwort-Setzen.

Nach dem nächsten Reboot klappt der Login dann nur noch per ssh.

Installation des Web-Interface

Seit kamikaze (also nach der white-russian-Serie) von OpenWRT ist kein Web-Interface mehr in der Firmware direkt enthalten.

Das unabängige Begleitprojekt X-WRT entwickelt eine sehr gut auf OpenWRT ausgerichtete Oberfläche. Dazu musst du folgende Zeile in deine /etc/ipkg.conf eintragen: 

src webif http://downloads.x-wrt.org/xwrt/kamikaze/7.09/brcm-2.4/packages

(für andere Versionen von kamikaze musst du die URL anpassen)

Und schon geht es los: 

ipkg update
ipkg install webif

Nutzung des Web-Interface

Browse zu http://192.168.1.1 und ändere die Netzwerkeinstellungen nach deinem Geschmack. Die angeforderte Authentifikation besteht aus root und dem dazugehörigen Systempasswort.

Konfiguration

VLAN dmz

Zur Separierung des Servers vom umgebenden Netz verwenden wir ein VLAN. Dazu einfach unter Network -> Networks ein neues Netz dmz anlegen und mit einer statischen IP (192.168.1.1) versehen.

Unter Network -> Interfaces kann dann ein Switch-Port (Nr. 1 bis 4) vom VLAN lan entfernt und zum VLAN dmz hinzugefügt werden. Der P0rt 5 muss in allen VLANs aktiviert sein - er stellt die Verbindung zwischen ihnen her - andernfalls wird aus einem VLAN ein separater Switch ohne Verbindung zum Router.

weitere Einstellungen

Die übrigen Netzwerk-Einstellungen sollten recht offensichtlich sein. Insbesondere die Port-Weiterleitungen für den Server sind natürlich wichtig.

Zugriff auf den Server

Soweit ich nichts falsch verstehe, müssen für zusätzliche Zonen separate Regeln manuell gesetzt werden, um einen Zugriff in das Netz und aus dem Netz heraus zu ermöglichen.

Dazu unter System -> Startup folgende Zeilen eintragen: 

iptables -A FORWARD -i br-lan -o eth0.2 -j ACCEPT
iptables -A FORWARD -i eth0.2 -o ppp0 -j ACCEPT
iptables -t nat -A PREROUTING -i br-lan -d 87.234.214.77 -j DNAT --to-destination 192.168.1.25

Damit kommt der Server aus der dmz in das Internet. Außerdem werden Anfragen aus dem zweiten lokalen Netz zum Server zugelassen und sogar umgeleitet, falls die öffentliche IP angesprochen wird.

Regelmäßige Backups

Bei jeder relevanten Änderung sollte mensch unter System -> Backup & Restore ein Backup des Entire Flash. Die jeweils aktuelle Version sollte in unsere Versionsverwaltung unter https://svn.systemausfall.org/svn/sao/private/router-backups (zugriffsbeschränkt).

Klonen eines Routers

Einfach ein Backup des gesamten Flash (siehe oben) erstellen und diese unter System -> Backup & Restore auf den neuen Router hochladen. Falls der neue Router noch eine Original-Firmware haben sollte, dann ist wohl das Hochladen per tftp oder das vorläufige Installieren einer kompatiblen bin-Variante von OpenWRT (siehe oben) empfehlenswert.

FaxeRouterWRT (zuletzt geändert am 2012-06-13 21:26:21 durch anonym)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.