seeseekey.net - Invictus Deus Ex Machina

Die auf Linux basierende Routerdistribution IPFire (http://www.ipfire.org/) besticht vor allem durch ihre Benutzerfreundlichkeit, was dazu führt das sie gerne und oft eingesetzt wird. Zum Projekt gehört dabei eine Wunschliste welche unter http://wishlist.ipfire.org/ zu finden ist.

Das IPFire Interface

Auf der Wunschliste können Projekte finanziert werden, so das sie anschließend bevorzugt implementiert werden. Vor allem der neuste Eintrag in der Wunschliste ist interessant: „Tor — Protecting Online Anonymity“ — bei diesem handelt es sich um die Integration des Anonymisierungsnetzwerkes Tor in IPFire, so das dass ganze für den Nutzer anschließend transparent abläuft. Dazu sollten ursprünglich knapp 1500 € gesammelt werden, mittlerweile sind es aber schon über 1600 €. Das bedeutet das wir uns in nächster Zeit auf eine IPFire Version mit Torintegration freuen dürfen, womit wir ein Schritt näher an benutzerfreundlicher und frustrationsfreier Sicherheit wären.

Einen Router mit der Linux Distribution IPFire, kann man sich ohne Probleme zusammenbauen. Mittlerweile gibt es aber auch spezielle Router welche um IPFire herum gebaut wurden, wie z.B. die Modelle „IPFire Professional“ und „IPFire Eco“ welche von „Lightning Wire Labs“ vertrieben werden. Das Eco Modell kostet dabei 649 Euro, das professionelle Modell für bis zu 1000 Benutzer schlägt mit 1249 Euro zu buchen. Daneben wird auf http://www.lightningwirelabs.com/ auch den entsprechende Support geboten.

Es gibt Fälle da reicht der Router „X“ einfach nicht mehr und man wünscht sich etwas größeres, wie z.B. IPFire. Dabei handelt es sich um eine Linux Router Distribution welche hauptsächlich in Deutschland entwickelt wird. Diese kann dabei unter http://www.ipfire.org/ bezogen werden. Bevor man mit der Installation beginnt, sollte man sich eine Linux Live CD seiner Wahl suchen und mit dieser auf dem Rechner booten, welcher später mit IPFire bestückt werden soll.

Der Grund für das ganze ist, das man vor der Installation ermitteln sollte, welche Netzwerkkarte welche MAC-Adresse trägt, sonst kann es bei der Konfiguration der Segmente später zu falschen Zuweisungen kommen. Der einfachste Weg die entsprechende MAC-Adresse pro Karte zu ermitteln ist es sämtliche Netzwerkkabel abzuziehen und dann nacheinander ein Kabel von Karte zu Karte umzustecken. In einem Netzwerk mit DHCP-Server kann man nun mittels „ifconfig“ sehen welche Karte eine IP bekommen hat und die entsprechende MAC-Adresse notieren.

Bei IPFire gibt es unterschiedliche Segmente in welche das Netzwerk unterteilt wird. Diese sind dabei „Green“, „Blue“, „Orange“ und „Red“. „Green“ bezeichnet dabei das interne Netz hinter der Firewall, bei „Blue“ handelt es sich um das WLAN Segment, „Orange“ steht für das DMZ Segment und „Red“ für das böse Internet (ein hier ansässiger Bitstromanbieter nennt es auch „das vorgelagerte Netz“). In diesem Beispiel soll es um die Konfiguration einer Installation mit allen vier Segmenten gehen. IPFire ist an dieser Stelle sehr flexibel und erlaubt auch kleinere Konfigurationen wie z.B. nur „Green“ und „Red“.

Wenn man mit der Installation beginnt werden ein paar grundsätzliche Dinge wie die Partitionierung, das Dateisystem und andere Kleinigkeiten abgefragt. Interessant wird es bei der Konfiguration der Netzwerke. Hier könnte eine Konfiguration für die vier Segmente exemplarisch so aussehen:

  • Green“ — IP: 192.168.1.1 — Subnetz: 255.255.255.0
  • Blue“ — IP: 172.16.18.1 — Subnetz: 255.255.255.0
  • Orange“ — IP: 172.16.19.1 — Subnetz: 255.255.255.0
  • Red“ — DHCP

Wichtig ist es hierbei darauf zu achten, das die gleiche Konfiguration, bzw. die gleichen IP Bereiche nicht für unterschiedliche Segmente benutzt werden sollten. So wird die Konfiguration IP: 192.168.1.1 — Subnetz: 255.255.255.0 dem grünen und blauen Segment zugewiesen, einige Probleme verursachen.

Das Webinterface von IPFire

Bei der Konfiguration der Segmente benötigen einige Verbindungsarten noch die Angabe eines DNS Servers, sowie eines Standardgateways. Nachdem das Setup abgeschlossen wurde ist das Webinterface von IPFire in diesem Beispiel unter:

https://192.168.1.1:444

zu erreichen. Hier kann dann eine erweiterte Konfiguration vorgenommen werden, um z.B. den entsprechenden WLAN Geräten („Blue“) Zugriff auf das Internet zu geben.

Weitere Informationen gibt es unter:
http://wiki.ipfire.org/de/installation/start
http://www.pro-linux.de/artikel/2/613/ipfire.html
http://de.wikipedia.org/wiki/IPFire

Manchmal ist es wie verhext, man hat ein Problem, kommt aber irgendwie nicht auf die richtige Lösung und urplötzlich schreibt jemand genau über dieses Problem. Toll :)

Im konkreten Fall geht es darum das nach einer Weile der WLAN Empfang meines Netbooks verschwand und er mich zur Eingabe des WLAN Passwortes auffordert. In diesem Fall lag es wohl daran das der Router nur eine bestimmte Anzahl von WLAN Verbindungen annimmt (Maximum Clients).

Da ich eine Tomatofirmware benutze kann man diesen Wert glücklicherweise problemlos anpassen. Und dann ist das Problem gelöst :) Natürlich ist die Frage wie sich das bei anderen „Standardroutern“ verhält. Ich bezweifle mal einfach das diese einem weitreichende Freiheiten geben…

Es gibt ja einige Router auf denen man Linux laufen lassen kann z.B. den Linksys WRT 54 GL. Meine Lieblingsfirmware ist in diesem Zusammenhang Tomato welches unter http://www.polarcloud.com/tomato zu finden ist. Gestern stellt ich mit erstaunen fest das es auch eine aufgebohrte Variante davon gibt welche auf den Namen TomatoVPN hört und unter http://tomatovpn.keithmoyer.com/ zu finden ist. Dort sind zusätzlich noch VPN (OpenVPN) Funktionalitäten vorhanden. Sehr schön :)

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Tomato_%28Firmware%29
http://de.wikibooks.org/wiki/Tomato_%28Firmware%29

Man nehme einen Linksys WRT54GL (z.B. bei http://www.alternate.de) und schon ist man in Besitz eines Routers auf dem man seine Lieblingsrouter Distribution aufspielen kann. Da gibt es eine ganze Menge: OpenWrt, FreeWrt und mein persönlicher Favorit Tomato. Tomato ist unter http://polarcloud.com/tomato zu funden und lässt sich über eine übersichtliche Webschnittstelle bedienen welche man unter http://www.christian-pfnuer.de/docs/WRT54x/Tomato.Firmware.v1.23vpn3.0000/ bewundern kann.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Tomato_(Firmware)
http://de.wikibooks.org/wiki/Tomato_(Firmware)
http://de.wikipedia.org/wiki/WRT54G