Wie ich schon hier und hier geschrieben habe, nutze ich auf meinem Router OpenWRT. Hauptziel meiner anderen Artikel war, aufzuzeigen, wie man sich ein eigenes Image für den Router bauen kann. In diesem Artikel möchte ich nun zeigen, wie man sich ein OpenWRT Image bauen kann mit dem man OpenVPN über eine Weboberfläche konfigurieren und steuern kann.

Auf dem Host-System, auf dem man das Image kompiliert, muss man nach

make menuconfig

zuerst das richtige Paket installieren

Nach dem das Image wie in dem Artikel OpenWRT und eigenes Image bauen kompiliert ist und das Image auf dem Router installiert wurde, kann man über die Weboberfläche auf den Router zugreifen.

Im Administrations-Menü unter Services findet man den Menüpunkt openvpn.

Ich denke, die Weboberfläche ist selbsterklärend und werde deswegen nicht näher darauf eingehen. Hier kann man die Konfiguration seines VPN-Tunnels vornehmen — egal ob der Router als VPN-Server oder VPN-Client fungieren soll. Nachdem man seine OpenVPN Konfiguration zusammengestellt hat und den VPN Tunnel aufbaut, wird man feststellen, das es noch nicht richtig funktioniert. Es fehlen noch einige kleine Details, damit man auf das hinter dem OpenVPN-Router liegende Netzwerk zugreifen kann, da zur Zeit die Firewall das VPN-Netz noch nicht kennt.

Zuerst muss ein neues Netzwerk-Interface für den VPN-Tunnel angelegt werden:

uci set network.vpn=interface
uci set network.vpn.proto=none
uci set network.vpn.auto=1
uci set network.vpn.ifname=tun0
uci commit network

Anschließend eine neue Firewall Zone eingerichtet:

uci add firewall zone
uci set firewall.@zone[2].name=vpn
uci set firewall.@zone[2].forward=ACCEPT
uci set firewall.@zone[2].input=ACCEPT
uci set firewall.@zone[2].output=ACCEPT
uci commit

Und abschließend wird definiert, zwischen welchen Firewall Zonen überhaupt Traffic fließen darf.

uci add firewall forwarding
uci set firewall.@forwarding[1].dest=vpn
uci set firewall.@forwarding[1].src=lan
uci commit

Wer mehr darüber erfahren will, was man mit UCI alles anstellen kann, den kann ich nur auf die Befehlsreferenz verweisen.

Nun fehlen nur noch die Firewall-Einträge

iptables -A input_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT
iptables -A output_rule -o tun+ -j ACCEPT

dies alles in die Datei /etc/firewall.user eingetragen und schon funktioniert der VPN-Tunnel wie er soll.

Konntet Ihr das nachvollziehen? Was ist möglicherweise noch unklar? Habt Ihr Verbesserungsvorschläge? Dann nutzt bitte die Kommentarfunktion.

Wie ich schon geschrieben hatte, bin ich ein Fan des OpenWRT-Projektes. Um die Neuerungen schneller nutzen zu können, wie zum Beispiel die Weboberfläche für OpenVPN, kompiliere ich mir in unregelmäßigen Abständen selbst eine neue Firmware um diese auf meinen ASUS-Router auszuprobieren. Ich habe aber leider nur den einen Router und mit dem Flashen und anschließendem Neukonfigurieren ist natürlich auch meine Internetleitung tot. Da man OpenWRT nicht nur auf kleinen Hardware-Routern sondern z.B. auch auf x86-Plattformen laufen lassen kann, probiere ich gerade mal aus was man machen muss um OpenWRT als virtuelle Maschine laufen zu lassen.

Zuerst muss man auf der Maschine, die die Firmware kompiliert, neben den schon beschrieben Voraussetzungen noch die Programme nachinstallieren, die nach der fertigen Kompilierung der Pakete diese als fertiges VM-Image zusammenbauen. Es gibt folgende Image-Versionen, die gebaut werden können:

Soll das fertige Image in VirtualBox laufen, dann muss folgendes gemacht werden:

Neue Quelle für APT/Aptitude

echo "deb http://download.virtualbox.org/virtualbox/debian lenny non-free" >> /etc/apt/sources.list

Herunterladen des public keys

wget -q http://download.virtualbox.org/virtualbox/debian/sun_vbox.asc -O- | apt-key add -

Aktualisieren der Paketliste

aptitude update

Installieren von VirtualBox

aptitude install virtualbox

Aber Achtung: Bei einem frischen Debian Lenny wurden 171MB heruntergeladen, da viele zusätzliche Pakete benötigt wurden.

Soll das spätere Image unter VMware laufen dann muss Qemu installiert werden:

aptitude install qemu

Nun kann mit

make menuconfig

sich wie gewünscht das Firmware Image zusammenbauen.

Am Besten arbeitet man sich von oben nach unten.

Als target system wählt man x86 aus, subtarget und target profile bleiben auf Generic. Bei target images muss man sich entscheiden, wofür man das Image braucht: VMware oder VirtualBox.

Anschließend müssen noch die OpenWRT-Pakete ausgewählt und beim Beenden des Programms die Konfiguration gespeichert werden. Danach

make

ausgeführt. Nach einer langen Zeit liegt im Unterverzeichnis bin eine Verzeichnis mit dem x86-Image. Dieses Image kann man sich auf seinen Rechner kopieren. Wie man eine virtuelle Maschine für OpenWRT zu erstellt möchte ich am Beispiel von VMware Fusion zeigen.

Mit dem Erstellen einer neuen VM öffnet sich der Assistent

Mit dem Fortfahren »Ohne Datenträger« öffnet sich eine Dialog zur Auswahl des gerade kompilierten Images

Als Nächstes gibt man das zu installierende Betriebssystem an

Anschließend kann man die Einstellungen der VM noch anpassen.

RAM

allzu viel RAM braucht OpenWRT nicht und man möchte es ja so reel wie möglich machen.

Netzwerkkarten

Hier kommt es auf die Reihenfolge an, da OpenWRT die erste Netzwerkkarte als eth0 für LAN und die zweite als eth1 für WAN nimmt.

Je nach Reihenfolge sieht die Zuordnung wie folgt aus:

Meine VM sieht abschließend so aus

Nun kann man die VM das erste Mal starten.

Nun muss zuerst die Netzwerkkonfiguration vorgenommen werden:

uci delete network.lan.ipaddr
 
uci delete network.lan.netmask
 
uci set network.lan.proto=dhcp
 
uci commit network

Nun kann man vom Host-Computer aus auf die OpenWRT-VM zugreifen.

Ich nutze schon seit Jahren Router, die ich mit der alternativen Firmware OpenWRT betreibe. Mir geht es dabei nicht darum, das ich den Herstellern misstraue, sondern primär darum, das mir OpenWRT die Möglichkeit lässt selbst zu entscheiden, welche Dienste ich auf dem Router anbieten will und welche nicht. Dazu kommt, das die Firewall deutlich besser konfigurierbar ist und das ich mich per SSH auf den Router und über darüber gesetzte Tunnel auch auf das Netzwerk dahinter Zugriff habe. Davon einmal ganz abgesehen ist es natürlich auch gut zu wissen, das die Macher hinter OpenWRT Sicherheitslöcher stopfen — ein Verhalten, was man sich von den Hardware-Herstellern wünschen würde. Ich bin bis dato immer gut mit den Routern der Firma ASUS gefahren — zuerst hatte ich einen Asus WL-500g Deluxe, später einen Asus WL-500g Premium. Der Vorteil dieser Router: Sie haben zwei USB 2.0-Ports — da kann man z.B. Festplatten dranhängen und diese als Netzwerkplatten freigeben.

Aber zurück zu OpenWRT: Mit der neuesten Version von OpenWRT Kamikaze 8.09.1 ist aber über die Weboberfläche LuCI keine Steuerungs– und Konfigurationsmöglichkeit von OpenVPN möglich. Deswegen kann aus dem OpenWRT-Forum der Tipp, es mit der Trunk-Version von OpenWRT zu probieren. Da es diese Versionen aber nicht als fertiges Image gibt, muss man diese selbst kompilieren.

Dazu habe ich mir in einer VM ein frisches Debian Lenny aufgesetzt und mit

apt-get install build-essential mercurial subversion cvs zlib1g-dev gawk bison flex libncurses5-dev unzip

die Basis geschaffen.

Update: Also entweder hat noch nie jemand versucht meine Anleitung nachzuvollziehen, Ihr wart zu faul was zu schreiben oder aber Ihr hattet schon fertige Debian-Installationen — in der Aufzählung der benötigten Pakete fehlte noch unzip. Ich habe die Befehlszeile mal vervollständigt.

Anschließend legt man sich am besten ein neues Unterverzeichnis an

mkdir openwrt

und wechselt in dieses Verzeichnis

cd openwrt

Jetzt kann man sich die OpenWRT-Dateien herunterladen

svn co svn://svn.openwrt.org/openwrt/trunk/ .

Wichtig dabei ist, das man dies alles als normaler Nutzer macht — nicht als root.

Da die LuCI-Weboberfläche für OpenVPN nur in den Trunk-Paketen ist, müssen die Quellen für die Pakete noch angepasst werden

echo "src-svn packages svn://svn.openwrt.org/openwrt/packages" >> feeds.conf
echo "src-svn luci http://svn.luci.subsignal.org/luci/trunk/contrib/package" >> feeds.conf

Jetzt noch die Paketliste aktualisieren

./scripts/feeds update

Und die Pakete für LuCI einbinden

./scripts/feeds install -a -p luci

Und schon kann man mit

make menuconfig

das Image vorbereiten — sprich die Auswahl machen, was alles in das Image hinein soll.

Abschließend ein

make

und nach ewig langer Zeit liegt ein Imagefile in dem Unterverzeichnis bin, welches geflasht werden möchte.

Links

http://openwrt.org/

http://de.asus.com/products.aspx?l1=29&l2=172&l3=743&l4=59&model=1121&modelmenu=1

http://de.asus.com/products.aspx?l1=12&l2=43&l3=0&l4=0&model=359&modelmenu=1

http://kamikaze.openwrt.org/8.09.1/

http://www.openvpn.net/index.php/open-source.html

https://forum.openwrt.org/viewtopic.php?pid=94844#p94844