Seit dem 09. April 2010 gibt es eine neue stabile Version von OpenWRT namens Backfire. Ich habe meine selbst kompilierte Firmware letztes Wochenende durch die aktuelle Stable ersetzt. was relativ problemlos ging. Wichtig in dem Zusammenhang war nur folgendes: Ich hatte bei der Aktualisierung über die Weboberfläche anfangs gesagt, das er die Konfigurationsdateien übernehmen sollte, was er auch ordentlich tat. Aber ich konnte dann keine weitere Software installieren — die Partition war schon voll. Erst nachdem ich die Werkseinstellungen geladen und den Router neu gestartet hatte, war ein Einspielen von Software möglich.

Ab der Version Backfire ist es nun möglich die Weboberfläche von OpenVPN direkt zu installieren — leider aber funktioniert die Integration von OpenVPN immer noch nicht so vollautomatisch, wie ich mir das gewünscht hatte. Wer also OpenVPN wie ich auf einem OpenWRT-Router nutzen möchte, für den gelten immer noch die manuellen Anpassungen wie hier beschrieben.

Zuerst muss ein neues Netzwerk-Interface für den VPN-Tunnel angelegt werden:

uci set network.vpn=interface
uci set network.vpn.proto=none
uci set network.vpn.auto=1
uci set network.vpn.ifname=tun0
uci commit network

Anschließend eine neue Firewall Zone eingerichtet:

uci add firewall zone
uci set firewall.@zone[2].name=vpn
uci set firewall.@zone[2].forward=ACCEPT
uci set firewall.@zone[2].input=ACCEPT
uci set firewall.@zone[2].output=ACCEPT
uci commit

Und abschließend wird definiert, zwischen welchen Firewall Zonen überhaupt Traffic fließen darf.

uci add firewall forwarding
uci set firewall.@forwarding[1].dest=vpn
uci set firewall.@forwarding[1].src=lan
uci commit

Wer mehr darüber erfahren will, was man mit UCI alles anstellen kann, den kann ich nur auf die Befehlsreferenz verweisen.

Nun fehlen nur noch die Firewall-Einträge

iptables -A input_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT
iptables -A output_rule -o tun+ -j ACCEPT

dies alles in die Datei /etc/firewall.user eingetragen und schon funktioniert der VPN-Tunnel wie er soll.

Nachdem ich, wie in dem Artikel OpenWRT und eigenes Image bauen beschrieben, meine Kompilierungsumgebung für OpenWRT gebaut und mein erstes eigenes Image für meinen Router kompiliert habe, möchte ich jetzt zeigen, wie man sich ein neueres Image kompilieren kann.

OpenWRT wird ständig weiterentwickelt — Fehler werden ausgemerzt, neue Funktionen werden eingebaut. Der Quellcode, gerade in dem Trunk-Zweig, ist also in ständiger Veränderung. Es verändert sich, neben den einzelnen Paketen von OpenWRT und LuCI auch das Basissystem andauernd. Wenn man also ein neues Image erstellen will, ist es angeraten immer die neuesten Entwicklungen einzuspielen. Es kann natürlich, davor sei hier gewarnt, sein, das bestimmte Dinge nicht funktionieren — eben aufgrund der ständigen Arbeiten am Quellcode. Wenn man aber die neuesten Entwicklungen haben möchte, muss man dies bewusst in Kauf nehmen.

Nun aber zu den Abläufen. Zuerst wechseln wir (das Ganze als Nicht-Root-User) in das Verzeichnis, indem OpenWRT liegt

cd openwrt

Anschließend aktualisieren wir das Basissystem

svn up

um danach die Paketliste zu aktualisieren

./scripts/feeds update

und schließlich die aktualisierten Pakete zu installieren

./scripts/feeds install -a -p

Und schon kann man sich mit einem

make V=99

ein neues Image bauen oder aber mit

make menuconfig && make V=99

die bestehende Konfiguration verändern und anschließend neu bauen lassen.

Wer kennt das nicht? Da experimentiert man mit virtuellen Maschinen rum und jedes Mal wenn man eine VM neu installiert bekommt man die obige Fehlermeldung. Bisher habe ich mit vi in der  Datei ~/.ssh/known_hosts die entsprechende Zeile gelöscht.

Mit folgender Befehls-Zeile

sed -i -e 10d ~/.ssh/known_hosts

kann man schnell die Zeile 10 der entsprechenden Datei löschen.

Wie ich schon hier und hier geschrieben habe, nutze ich auf meinem Router OpenWRT. Hauptziel meiner anderen Artikel war, aufzuzeigen, wie man sich ein eigenes Image für den Router bauen kann. In diesem Artikel möchte ich nun zeigen, wie man sich ein OpenWRT Image bauen kann mit dem man OpenVPN über eine Weboberfläche konfigurieren und steuern kann.

Auf dem Host-System, auf dem man das Image kompiliert, muss man nach

make menuconfig

zuerst das richtige Paket installieren

Nach dem das Image wie in dem Artikel OpenWRT und eigenes Image bauen kompiliert ist und das Image auf dem Router installiert wurde, kann man über die Weboberfläche auf den Router zugreifen.

Im Administrations-Menü unter Services findet man den Menüpunkt openvpn.

Ich denke, die Weboberfläche ist selbsterklärend und werde deswegen nicht näher darauf eingehen. Hier kann man die Konfiguration seines VPN-Tunnels vornehmen — egal ob der Router als VPN-Server oder VPN-Client fungieren soll. Nachdem man seine OpenVPN Konfiguration zusammengestellt hat und den VPN Tunnel aufbaut, wird man feststellen, das es noch nicht richtig funktioniert. Es fehlen noch einige kleine Details, damit man auf das hinter dem OpenVPN-Router liegende Netzwerk zugreifen kann, da zur Zeit die Firewall das VPN-Netz noch nicht kennt.

Zuerst muss ein neues Netzwerk-Interface für den VPN-Tunnel angelegt werden:

uci set network.vpn=interface
uci set network.vpn.proto=none
uci set network.vpn.auto=1
uci set network.vpn.ifname=tun0
uci commit network

Anschließend eine neue Firewall Zone eingerichtet:

uci add firewall zone
uci set firewall.@zone[2].name=vpn
uci set firewall.@zone[2].forward=ACCEPT
uci set firewall.@zone[2].input=ACCEPT
uci set firewall.@zone[2].output=ACCEPT
uci commit

Und abschließend wird definiert, zwischen welchen Firewall Zonen überhaupt Traffic fließen darf.

uci add firewall forwarding
uci set firewall.@forwarding[1].dest=vpn
uci set firewall.@forwarding[1].src=lan
uci commit

Wer mehr darüber erfahren will, was man mit UCI alles anstellen kann, den kann ich nur auf die Befehlsreferenz verweisen.

Nun fehlen nur noch die Firewall-Einträge

iptables -A input_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT
iptables -A output_rule -o tun+ -j ACCEPT

dies alles in die Datei /etc/firewall.user eingetragen und schon funktioniert der VPN-Tunnel wie er soll.

Konntet Ihr das nachvollziehen? Was ist möglicherweise noch unklar? Habt Ihr Verbesserungsvorschläge? Dann nutzt bitte die Kommentarfunktion.

Wie ich schon geschrieben hatte, bin ich ein Fan des OpenWRT-Projektes. Um die Neuerungen schneller nutzen zu können, wie zum Beispiel die Weboberfläche für OpenVPN, kompiliere ich mir in unregelmäßigen Abständen selbst eine neue Firmware um diese auf meinen ASUS-Router auszuprobieren. Ich habe aber leider nur den einen Router und mit dem Flashen und anschließendem Neukonfigurieren ist natürlich auch meine Internetleitung tot. Da man OpenWRT nicht nur auf kleinen Hardware-Routern sondern z.B. auch auf x86-Plattformen laufen lassen kann, probiere ich gerade mal aus was man machen muss um OpenWRT als virtuelle Maschine laufen zu lassen.

Zuerst muss man auf der Maschine, die die Firmware kompiliert, neben den schon beschrieben Voraussetzungen noch die Programme nachinstallieren, die nach der fertigen Kompilierung der Pakete diese als fertiges VM-Image zusammenbauen. Es gibt folgende Image-Versionen, die gebaut werden können:

Soll das fertige Image in VirtualBox laufen, dann muss folgendes gemacht werden:

Neue Quelle für APT/Aptitude

echo "deb http://download.virtualbox.org/virtualbox/debian lenny non-free" >> /etc/apt/sources.list

Herunterladen des public keys

wget -q http://download.virtualbox.org/virtualbox/debian/sun_vbox.asc -O- | apt-key add -

Aktualisieren der Paketliste

aptitude update

Installieren von VirtualBox

aptitude install virtualbox

Aber Achtung: Bei einem frischen Debian Lenny wurden 171MB heruntergeladen, da viele zusätzliche Pakete benötigt wurden.

Soll das spätere Image unter VMware laufen dann muss Qemu installiert werden:

aptitude install qemu

Nun kann mit

make menuconfig

sich wie gewünscht das Firmware Image zusammenbauen.

Am Besten arbeitet man sich von oben nach unten.

Als target system wählt man x86 aus, subtarget und target profile bleiben auf Generic. Bei target images muss man sich entscheiden, wofür man das Image braucht: VMware oder VirtualBox.

Anschließend müssen noch die OpenWRT-Pakete ausgewählt und beim Beenden des Programms die Konfiguration gespeichert werden. Danach

make

ausgeführt. Nach einer langen Zeit liegt im Unterverzeichnis bin eine Verzeichnis mit dem x86-Image. Dieses Image kann man sich auf seinen Rechner kopieren. Wie man eine virtuelle Maschine für OpenWRT zu erstellt möchte ich am Beispiel von VMware Fusion zeigen.

Mit dem Erstellen einer neuen VM öffnet sich der Assistent

Mit dem Fortfahren »Ohne Datenträger« öffnet sich eine Dialog zur Auswahl des gerade kompilierten Images

Als Nächstes gibt man das zu installierende Betriebssystem an

Anschließend kann man die Einstellungen der VM noch anpassen.

RAM

allzu viel RAM braucht OpenWRT nicht und man möchte es ja so reel wie möglich machen.

Netzwerkkarten

Hier kommt es auf die Reihenfolge an, da OpenWRT die erste Netzwerkkarte als eth0 für LAN und die zweite als eth1 für WAN nimmt.

Je nach Reihenfolge sieht die Zuordnung wie folgt aus:

Meine VM sieht abschließend so aus

Nun kann man die VM das erste Mal starten.

Nun muss zuerst die Netzwerkkonfiguration vorgenommen werden:

uci delete network.lan.ipaddr
 
uci delete network.lan.netmask
 
uci set network.lan.proto=dhcp
 
uci commit network

Nun kann man vom Host-Computer aus auf die OpenWRT-VM zugreifen.

Genau aus diesem Grund habe ich mir einen Router gekauft, auf den ich OpenWRT installiert habe. OpenWRT ist ein kleines Linux, welches auf so abgespeckter Hardware abgestimmt ist. Vorteil des Ganzen ist auch, das die Konsolenzugriffsvariante ssh genutzt wird — mein Sprungbrett in mein lokales Netzwerk.

Aber von Anfang an:  Zu der Installation von OpenWRT auf einen handelsüblichen Router werde ich jetzt nix schreiben — da gibt es einige Anleitungen.  Sollte aber der Bedarf sein, so sagt mir bitte Bescheid und ich reiche das nach.

Router von Außen erreichbar machen

Damit der Router (und damit das Netzwerk dahinter) im Internet erreichbar ist, muß zuerst ein eineindeutiger Name für den Router registriert werden. Dazu nutzt man am Besten einen der vielen dynamischen DNS-Dienste wie dyndns.org und Co. Als Nächstes installiert man sich in OpenWRT (Menü System/Software) das Paket luci-app-ddns und damit wird automatisch das Paket ddns-scripts mit ausgewählt.

Nun kann man unter Services/Dynamic DNS seine Account-Daten eingeben

Damit wird bei jedem IP-Wechsel der DNS-Dienst aktualisiert.

Nun muß noch für den SSH-Dienst der Port ins Internet geöffnet werden. Das geschieht im Menü Network/Firewall/Traffic Control

Damit ist die Grundlage geschaffen. Man kann sich nun aus dem Internet auf den Port 22 der dynamischen IP mit Hilfe des dynamischen DNS-Eintrags einwählen.

SSH-Tunnel definieren

Je nach SSH-Client gibt es verschiedene Möglichkeiten, wie genau man solch einen SSH-Tunnel definieren kann. Das Grundprinzip ist aber jedes Mal gleich:

Ich definiere einen lokalen Port (also einen nicht benutzten Port) auf meinem Rechner, ganz gleich welcher Port das ist und leite diesen Port um, so das er durch den SSH-Tunnel geleitet wird und am anderen Ende des SSH-Tunnels wieder auseinandergepflückt wird und an das richtige definierte Endgerät weitergeleitet wird.

Ein Beispiel: Ich möchte per VNC von meinem Windows-Rechner  auf meinen iMac zu Hause zugreifen. Was benötige ich dafür?

1. Den dynamischen DNS-Namen meines Routers.
2. Die IP des iMacs in meinem Netzwerk zu Hause.
3. Den Port des Dienstes, auf den ich zugreifen will.
4. Einen freien lokalen Port auf meinem lokalen Rechner.

In meinem Beispiel ist das

1. test.dyndns.org
2. 192.168.1.10
3. VNC hat den Port 5900
4. den willkürlich gewählten Port 2900

Auf der Kommandozeile würde der Tunnel wie folgt aufgebaut

ssh -L 2900:192.168.1.10:5900 root@test.dyndns.org

Der Syntax lautet also

ssh -L LokalerPort:ZielIP:ZielPort Benutzername@Router

In meinem Beispiel könnte ich nun mir den Bildschirm des iMacs auf meinen Windows-PC holen.

Jetzt ist es der Phantasie überlassen, welche Sachen man darüber machen kann — Probiert Euch aus und schreibt doch mal, ob und wozu Ihr SSH-Tunnel nutzt.

Ich nutze schon seit Jahren Router, die ich mit der alternativen Firmware OpenWRT betreibe. Mir geht es dabei nicht darum, das ich den Herstellern misstraue, sondern primär darum, das mir OpenWRT die Möglichkeit lässt selbst zu entscheiden, welche Dienste ich auf dem Router anbieten will und welche nicht. Dazu kommt, das die Firewall deutlich besser konfigurierbar ist und das ich mich per SSH auf den Router und über darüber gesetzte Tunnel auch auf das Netzwerk dahinter Zugriff habe. Davon einmal ganz abgesehen ist es natürlich auch gut zu wissen, das die Macher hinter OpenWRT Sicherheitslöcher stopfen — ein Verhalten, was man sich von den Hardware-Herstellern wünschen würde. Ich bin bis dato immer gut mit den Routern der Firma ASUS gefahren — zuerst hatte ich einen Asus WL-500g Deluxe, später einen Asus WL-500g Premium. Der Vorteil dieser Router: Sie haben zwei USB 2.0-Ports — da kann man z.B. Festplatten dranhängen und diese als Netzwerkplatten freigeben.

Aber zurück zu OpenWRT: Mit der neuesten Version von OpenWRT Kamikaze 8.09.1 ist aber über die Weboberfläche LuCI keine Steuerungs– und Konfigurationsmöglichkeit von OpenVPN möglich. Deswegen kann aus dem OpenWRT-Forum der Tipp, es mit der Trunk-Version von OpenWRT zu probieren. Da es diese Versionen aber nicht als fertiges Image gibt, muss man diese selbst kompilieren.

Dazu habe ich mir in einer VM ein frisches Debian Lenny aufgesetzt und mit

apt-get install build-essential mercurial subversion cvs zlib1g-dev gawk bison flex libncurses5-dev unzip

die Basis geschaffen.

Update: Also entweder hat noch nie jemand versucht meine Anleitung nachzuvollziehen, Ihr wart zu faul was zu schreiben oder aber Ihr hattet schon fertige Debian-Installationen — in der Aufzählung der benötigten Pakete fehlte noch unzip. Ich habe die Befehlszeile mal vervollständigt.

Anschließend legt man sich am besten ein neues Unterverzeichnis an

mkdir openwrt

und wechselt in dieses Verzeichnis

cd openwrt

Jetzt kann man sich die OpenWRT-Dateien herunterladen

svn co svn://svn.openwrt.org/openwrt/trunk/ .

Wichtig dabei ist, das man dies alles als normaler Nutzer macht — nicht als root.

Da die LuCI-Weboberfläche für OpenVPN nur in den Trunk-Paketen ist, müssen die Quellen für die Pakete noch angepasst werden

echo "src-svn packages svn://svn.openwrt.org/openwrt/packages" >> feeds.conf
echo "src-svn luci http://svn.luci.subsignal.org/luci/trunk/contrib/package" >> feeds.conf

Jetzt noch die Paketliste aktualisieren

./scripts/feeds update

Und die Pakete für LuCI einbinden

./scripts/feeds install -a -p luci

Und schon kann man mit

make menuconfig

das Image vorbereiten — sprich die Auswahl machen, was alles in das Image hinein soll.

Abschließend ein

make

und nach ewig langer Zeit liegt ein Imagefile in dem Unterverzeichnis bin, welches geflasht werden möchte.

Links

http://openwrt.org/

http://de.asus.com/products.aspx?l1=29&l2=172&l3=743&l4=59&model=1121&modelmenu=1

http://de.asus.com/products.aspx?l1=12&l2=43&l3=0&l4=0&model=359&modelmenu=1

http://kamikaze.openwrt.org/8.09.1/

http://www.openvpn.net/index.php/open-source.html

https://forum.openwrt.org/viewtopic.php?pid=94844#p94844