Inhaltsverzeichnis
Was ist das hier
Diese Seite beschreibt die Einrichtung eines Linksys WRT54G zur Nutzung als Router zum Schutz des Faxe-Servers. Sowohl die Einrichtung der Firmware, als auch die anschließenden Anpassungen, sowie die Vorgehensweise beim Klonen eines Routers werden erklärt.
Daten fuer die Faxe-Administration
lokale IP des Faxe-Servers |
192.168.1.25 |
zweites lokales IP-Netz des Routers |
192.168.0.0/24 |
Installation der Firmware
Auswahl der Firmware
Die Firmware OpenWRT ist die gebräuchlichste Firmware für Linksys WRT54G und etwa 20 andere Router-Modelle.
Zur Zeit dieser Anleitung war die Version Kamikaze 7.09 aktuell.
Die passende Variante für den Linksys WRT54G heisst brcm-2.4 (mit dem 2.4er-Kernel läuft Wifi).
Idealerweise solltest du die trx-Datei wählen. Falls bisher noch dir originale Hersteller-Firmware auf dem Gerät läuft, dann ist die entsprechende bin-Datei hilfreich, um das Web-Interface zum Upload zu nutzen. Siehe OpenWRT-Wiki
Hochladen der Firmware
Dazu gibt es verschiedene Möglichkeiten. Die wohl üblichste Variante basiert auf der Verwendung eines tftp-Clients beim Boot-Vorgang des Routers (z.B. atftp und tftp).
Einloggen
Solange kein Passwort gesetzt ist, kannst du dich per telnet einloggen:
telnet 192.168.1.1
Danach tippst du in der Router-Shell einfach passwd zum Passwort-Setzen.
Nach dem nächsten Reboot klappt der Login dann nur noch per ssh.
Installation des Web-Interface
Seit kamikaze (also nach der white-russian-Serie) von OpenWRT ist kein Web-Interface mehr in der Firmware direkt enthalten.
Das unabängige Begleitprojekt X-WRT entwickelt eine sehr gut auf OpenWRT ausgerichtete Oberfläche. Dazu musst du folgende Zeile in deine /etc/ipkg.conf eintragen:
src webif http://downloads.x-wrt.org/xwrt/kamikaze/7.09/brcm-2.4/packages
(für andere Versionen von kamikaze musst du die URL anpassen)
Und schon geht es los:
ipkg update ipkg install webif
Nutzung des Web-Interface
Browse zu http://192.168.1.1 und ändere die Netzwerkeinstellungen nach deinem Geschmack. Die angeforderte Authentifikation besteht aus root und dem dazugehörigen Systempasswort.
Konfiguration
VLAN dmz
Zur Separierung des Servers vom umgebenden Netz verwenden wir ein VLAN. Dazu einfach unter Network -> Networks ein neues Netz dmz anlegen und mit einer statischen IP (192.168.1.1) versehen.
Unter Network -> Interfaces kann dann ein Switch-Port (Nr. 1 bis 4) vom VLAN lan entfernt und zum VLAN dmz hinzugefügt werden. Der P0rt 5 muss in allen VLANs aktiviert sein - er stellt die Verbindung zwischen ihnen her - andernfalls wird aus einem VLAN ein separater Switch ohne Verbindung zum Router.
weitere Einstellungen
Die übrigen Netzwerk-Einstellungen sollten recht offensichtlich sein. Insbesondere die Port-Weiterleitungen für den Server sind natürlich wichtig.
Zugriff auf den Server
Soweit ich nichts falsch verstehe, müssen für zusätzliche Zonen separate Regeln manuell gesetzt werden, um einen Zugriff in das Netz und aus dem Netz heraus zu ermöglichen.
Dazu unter System -> Startup folgende Zeilen eintragen:
iptables -A FORWARD -i br-lan -o eth0.2 -j ACCEPT iptables -A FORWARD -i eth0.2 -o ppp0 -j ACCEPT iptables -t nat -A PREROUTING -i br-lan -d 87.234.214.77 -j DNAT --to-destination 192.168.1.25
Damit kommt der Server aus der dmz in das Internet. Außerdem werden Anfragen aus dem zweiten lokalen Netz zum Server zugelassen und sogar umgeleitet, falls die öffentliche IP angesprochen wird.
Regelmäßige Backups
Bei jeder relevanten Änderung sollte mensch unter System -> Backup & Restore ein Backup des Entire Flash. Die jeweils aktuelle Version sollte in unsere Versionsverwaltung unter https://svn.systemausfall.org/svn/sao/private/router-backups (zugriffsbeschränkt).
Tipp: Auf die Größe des Image achten. Wenns 0 byte groß ist, dann Backup manuell erstellen. Was genau beim backup passiert, das steht in /jffs/www/cgi-bin/webif/confman.sh. Einfach die Schritte einzeln aufrufen (ohne "2>/dev/null", damit die Fehlermeldung sichtbar wird), und ggf. an das aktuelle System anpassen.
Klonen eines Routers
Einfach ein Backup des gesamten Flash (siehe oben) erstellen und diese unter System -> Backup & Restore auf den neuen Router hochladen. Falls der neue Router noch eine Original-Firmware haben sollte, dann ist wohl das Hochladen per tftp oder das vorläufige Installieren einer kompatiblen bin-Variante von OpenWRT (siehe oben) empfehlenswert.