seeseekey.net - Invictus Deus Ex Machina

Die auf Linux basie­rende Rou­ter­dis­tri­bu­tion IPFire (http://www.ipfire.org/) besticht vor allem durch ihre Benut­zer­freund­lich­keit, was dazu führt das sie gerne und oft ein­ge­setzt wird. Zum Pro­jekt gehört dabei eine Wunsch­liste wel­che unter http://wishlist.ipfire.org/ zu fin­den ist.

Das IPFire Interface

Auf der Wunsch­liste kön­nen Pro­jekte finan­ziert wer­den, so das sie anschlie­ßend bevor­zugt imple­men­tiert wer­den. Vor allem der neuste Ein­trag in der Wunsch­liste ist inter­es­sant: „Tor — Pro­tec­ting Online Anony­mity“ — bei die­sem han­delt es sich um die Inte­gra­tion des Anony­mi­sie­rungs­netz­wer­kes Tor in IPFire, so das dass ganze für den Nut­zer anschlie­ßend trans­pa­rent abläuft. Dazu soll­ten ursprüng­lich knapp 1500 € gesam­melt wer­den, mitt­ler­weile sind es aber schon über 1600 €. Das bedeu­tet das wir uns in nächs­ter Zeit auf eine IPFire Ver­sion mit Tor­in­te­gra­tion freuen dür­fen, womit wir ein Schritt näher an benut­zer­freund­li­cher und frus­tra­ti­ons­freier Sicher­heit wären.

Einen Rou­ter mit der Linux Dis­tri­bu­tion IPFire, kann man sich ohne Pro­bleme zusam­men­bauen. Mitt­ler­weile gibt es aber auch spe­zi­elle Rou­ter wel­che um IPFire herum gebaut wur­den, wie z.B. die Modelle „IPFire Pro­fes­sio­nal“ und „IPFire Eco“ wel­che von „Light­ning Wire Labs“ ver­trie­ben wer­den. Das Eco Modell kos­tet dabei 649 Euro, das pro­fes­sio­nelle Modell für bis zu 1000 Benut­zer schlägt mit 1249 Euro zu buchen. Dane­ben wird auf http://www.lightningwirelabs.com/ auch den ent­spre­chende Sup­port geboten.

Es gibt Fälle da reicht der Rou­ter „X“ ein­fach nicht mehr und man wünscht sich etwas grö­ße­res, wie z.B. IPFire. Dabei han­delt es sich um eine Linux Rou­ter Dis­tri­bu­tion wel­che haupt­säch­lich in Deutsch­land ent­wi­ckelt wird. Diese kann dabei unter http://www.ipfire.org/ bezo­gen wer­den. Bevor man mit der Instal­la­tion beginnt, sollte man sich eine Linux Live CD sei­ner Wahl suchen und mit die­ser auf dem Rech­ner boo­ten, wel­cher spä­ter mit IPFire bestückt wer­den soll.

Der Grund für das ganze ist, das man vor der Instal­la­tion ermit­teln sollte, wel­che Netz­werk­karte wel­che MAC-Adresse trägt, sonst kann es bei der Kon­fi­gu­ra­tion der Seg­mente spä­ter zu fal­schen Zuwei­sun­gen kom­men. Der ein­fachste Weg die ent­spre­chende MAC-Adresse pro Karte zu ermit­teln ist es sämt­li­che Netz­werk­ka­bel abzu­zie­hen und dann nach­ein­an­der ein Kabel von Karte zu Karte umzu­ste­cken. In einem Netz­werk mit DHCP-Server kann man nun mit­tels „ifcon­fig“ sehen wel­che Karte eine IP bekom­men hat und die ent­spre­chende MAC-Adresse notieren.

Bei IPFire gibt es unter­schied­li­che Seg­mente in wel­che das Netz­werk unter­teilt wird. Diese sind dabei „Green“, „Blue“, „Orange“ und „Red“. „Green“ bezeich­net dabei das interne Netz hin­ter der Fire­wall, bei „Blue“ han­delt es sich um das WLAN Seg­ment, „Orange“ steht für das DMZ Seg­ment und „Red“ für das böse Inter­net (ein hier ansäs­si­ger Bit­strom­an­bie­ter nennt es auch „das vor­ge­la­gerte Netz“). In die­sem Bei­spiel soll es um die Kon­fi­gu­ra­tion einer Instal­la­tion mit allen vier Seg­men­ten gehen. IPFire ist an die­ser Stelle sehr fle­xi­bel und erlaubt auch klei­nere Kon­fi­gu­ra­tio­nen wie z.B. nur „Green“ und „Red“.

Wenn man mit der Instal­la­tion beginnt wer­den ein paar grund­sätz­li­che Dinge wie die Par­ti­tio­nie­rung, das Datei­sys­tem und andere Klei­nig­kei­ten abge­fragt. Inter­es­sant wird es bei der Kon­fi­gu­ra­tion der Netz­werke. Hier könnte eine Kon­fi­gu­ra­tion für die vier Seg­mente exem­pla­risch so aussehen:

  • Green“ — IP: 192.168.1.1 — Sub­netz: 255.255.255.0
  • Blue“ — IP: 172.16.18.1 — Sub­netz: 255.255.255.0
  • Orange“ — IP: 172.16.19.1 — Sub­netz: 255.255.255.0
  • Red“ — DHCP

Wich­tig ist es hier­bei dar­auf zu ach­ten, das die glei­che Kon­fi­gu­ra­tion, bzw. die glei­chen IP Berei­che nicht für unter­schied­li­che Seg­mente benutzt wer­den soll­ten. So wird die Kon­fi­gu­ra­tion IP: 192.168.1.1 — Sub­netz: 255.255.255.0 dem grü­nen und blauen Seg­ment zuge­wie­sen, einige Pro­bleme verursachen.

Das Web­in­ter­face von IPFire

Bei der Kon­fi­gu­ra­tion der Seg­mente benö­ti­gen einige Ver­bin­dungs­ar­ten noch die Angabe eines DNS Ser­vers, sowie eines Stan­dard­gate­ways. Nach­dem das Setup abge­schlos­sen wurde ist das Web­in­ter­face von IPFire in die­sem Bei­spiel unter:

https://192.168.1.1:444

zu errei­chen. Hier kann dann eine erwei­terte Kon­fi­gu­ra­tion vor­ge­nom­men wer­den, um z.B. den ent­spre­chen­den WLAN Gerä­ten („Blue“) Zugriff auf das Inter­net zu geben.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://wiki.ipfire.org/de/installation/start
http://www.pro-linux.de/artikel/2/613/ipfire.html
http://de.wikipedia.org/wiki/IPFire

Manch­mal ist es wie ver­hext, man hat ein Pro­blem, kommt aber irgend­wie nicht auf die rich­tige Lösung und urplötz­lich schreibt jemand genau über die­ses Pro­blem. Toll :)

Im kon­kre­ten Fall geht es darum das nach einer Weile der WLAN Emp­fang mei­nes Net­books ver­schwand und er mich zur Ein­gabe des WLAN Pass­wor­tes auf­for­dert. In die­sem Fall lag es wohl daran das der Rou­ter nur eine bestimmte Anzahl von WLAN Ver­bin­dun­gen annimmt (Maxi­mum Clients).

Da ich eine Toma­to­firm­ware benutze kann man die­sen Wert glück­li­cher­weise pro­blem­los anpas­sen. Und dann ist das Pro­blem gelöst :) Natür­lich ist die Frage wie sich das bei ande­ren „Stan­dard­rou­tern“ ver­hält. Ich bezweifle mal ein­fach das diese einem weit­rei­chende Frei­hei­ten geben…

Es gibt ja einige Rou­ter auf denen man Linux lau­fen las­sen kann z.B. den Link­sys WRT 54 GL. Meine Lieb­lings­firm­ware ist in die­sem Zusam­men­hang Tomato wel­ches unter http://www.polarcloud.com/tomato zu fin­den ist. Ges­tern stellt ich mit erstau­nen fest das es auch eine auf­ge­bohrte Vari­ante davon gibt wel­che auf den Namen Toma­toVPN hört und unter http://tomatovpn.keithmoyer.com/ zu fin­den ist. Dort sind zusätz­lich noch VPN (OpenVPN) Funk­tio­na­li­tä­ten vor­han­den. Sehr schön :)

Wei­tere Infor­ma­tio­nen gibt es unter:
http://de.wikipedia.org/wiki/Tomato_%28Firmware%29
http://de.wikibooks.org/wiki/Tomato_%28Firmware%29

Man nehme einen Link­sys WRT54GL (z.B. bei http://www.alternate.de) und schon ist man in Besitz eines Rou­ters auf dem man seine Lieb­lings­rou­ter Dis­tri­bu­tion auf­spie­len kann. Da gibt es eine ganze Menge: Open­Wrt, Free­Wrt und mein per­sön­li­cher Favo­rit Tomato. Tomato ist unter http://polarcloud.com/tomato zu fun­den und lässt sich über eine über­sicht­li­che Web­schnitt­stelle bedie­nen wel­che man unter http://www.christian-pfnuer.de/docs/WRT54x/Tomato.Firmware.v1.23vpn3.0000/ bewun­dern kann.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://de.wikipedia.org/wiki/Tomato_(Firmware)
http://de.wikibooks.org/wiki/Tomato_(Firmware)
http://de.wikipedia.org/wiki/WRT54G