<> ----- = Was ist das hier = Diese Seite beschreibt die Einrichtung eines Linksys WRT54G zur Nutzung als Router zum Schutz des Faxe-Servers. Sowohl die Einrichtung der Firmware, als auch die anschließenden Anpassungen, sowie die Vorgehensweise beim Klonen eines Routers werden erklärt. = Daten fuer die Faxe-Administration = || lokale IP des Faxe-Servers || 192.168.1.25 || || zweites lokales IP-Netz des Routers || 192.168.0.0/24 || ---- = Installation der Firmware = == Auswahl der Firmware == Die Firmware [[http://openwrt.org|OpenWRT]] ist die gebräuchlichste Firmware für Linksys WRT54G und etwa 20 andere Router-Modelle. Zur Zeit dieser Anleitung war die Version Kamikaze 7.09 aktuell. Die passende Variante für den Linksys WRT54G heisst ''brcm-2.4'' (mit dem 2.4er-Kernel läuft Wifi). Idealerweise solltest du die ''trx''-Datei wählen. Falls bisher noch dir originale Hersteller-Firmware auf dem Gerät läuft, dann ist die entsprechende ''bin''-Datei hilfreich, um das Web-Interface zum Upload zu nutzen. Siehe [[http://wiki.openwrt.org/OpenWrtDocs/Installing#head-40b613e9790c8eaa414d75f77fe919c2ad371791|OpenWRT-Wiki]] == Hochladen der Firmware == Dazu gibt es [[http://wiki.openwrt.org/OpenWrtDocs/Installing#head-76e6cbae21c39c506a74e7800f5ae7f93ed37d46|verschiedene Möglichkeiten]]. Die wohl üblichste Variante basiert auf der Verwendung eines tftp-Clients beim Boot-Vorgang des Routers (z.B. atftp und tftp). == Einloggen == Solange kein Passwort gesetzt ist, kannst du dich per telnet einloggen: {{{ telnet 192.168.1.1 }}} Danach tippst du in der Router-Shell einfach ''passwd'' zum Passwort-Setzen. Nach dem nächsten Reboot klappt der Login dann nur noch per ssh. == Installation des Web-Interface == Seit ''kamikaze'' (also nach der ''white-russian''-Serie) von OpenWRT ist kein Web-Interface mehr in der Firmware direkt enthalten. Das unabängige Begleitprojekt ''X-WRT'' entwickelt eine sehr gut auf OpenWRT ausgerichtete Oberfläche. Dazu musst du folgende Zeile in deine ''/etc/ipkg.conf'' eintragen: {{{ src webif http://downloads.x-wrt.org/xwrt/kamikaze/7.09/brcm-2.4/packages }}} (für andere Versionen von ''kamikaze'' musst du die URL anpassen) Und schon geht es los: {{{ ipkg update ipkg install webif }}} == Nutzung des Web-Interface == Browse zu http://192.168.1.1 und ändere die Netzwerkeinstellungen nach deinem Geschmack. Die angeforderte Authentifikation besteht aus ''root'' und dem dazugehörigen Systempasswort. = Konfiguration = == VLAN dmz == Zur Separierung des Servers vom umgebenden Netz verwenden wir ein WikiPedia:VLAN. Dazu einfach unter ''Network -> Networks'' ein neues Netz ''dmz'' anlegen und mit einer statischen IP (192.168.1.1) versehen. Unter ''Network -> Interfaces'' kann dann ein Switch-Port (Nr. 1 bis 4) vom VLAN ''lan'' entfernt und zum VLAN ''dmz'' hinzugefügt werden. Der P0rt 5 muss in allen VLANs aktiviert sein - er stellt die Verbindung zwischen ihnen her - andernfalls wird aus einem VLAN ein separater Switch ohne Verbindung zum Router. == weitere Einstellungen == Die übrigen Netzwerk-Einstellungen sollten recht offensichtlich sein. Insbesondere die Port-Weiterleitungen für den Server sind natürlich wichtig. == Zugriff auf den Server == Soweit ich nichts falsch verstehe, müssen für zusätzliche Zonen separate Regeln manuell gesetzt werden, um einen Zugriff in das Netz und aus dem Netz heraus zu ermöglichen. Dazu unter ''System -> Startup'' folgende Zeilen eintragen: {{{ iptables -A FORWARD -i br-lan -o eth0.2 -j ACCEPT iptables -A FORWARD -i eth0.2 -o ppp0 -j ACCEPT iptables -t nat -A PREROUTING -i br-lan -d 87.234.214.77 -j DNAT --to-destination 192.168.1.25 }}} Damit kommt der Server aus der ''dmz'' in das Internet. Außerdem werden Anfragen aus dem zweiten lokalen Netz zum Server zugelassen und sogar umgeleitet, falls die öffentliche IP angesprochen wird. = Regelmäßige Backups = Bei jeder relevanten Änderung sollte mensch unter ''System -> Backup & Restore'' ein Backup des ''Entire Flash''. Die jeweils aktuelle Version sollte in unsere Versionsverwaltung unter {{{https://svn.systemausfall.org/svn/sao/private/router-backups}}} (zugriffsbeschränkt). Tipp: Auf die Größe des Image achten. Wenns 0 byte groß ist, dann Backup manuell erstellen. Was genau beim backup passiert, das steht in /jffs/www/cgi-bin/webif/confman.sh. Einfach die Schritte einzeln aufrufen (ohne "2>/dev/null", damit die Fehlermeldung sichtbar wird), und ggf. an das aktuelle System anpassen. = Klonen eines Routers = Einfach ein Backup des gesamten Flash (siehe oben) erstellen und diese unter ''System -> Backup & Restore'' auf den neuen Router hochladen. Falls der neue Router noch eine Original-Firmware haben sollte, dann ist wohl das Hochladen per tftp oder das vorläufige Installieren einer kompatiblen ''bin''-Variante von OpenWRT (siehe oben) empfehlenswert.