Heimrouter-Kochbuch/ Einsatzbeispiele/ Basis WLAN

Beschreibung Bearbeiten

Skizze eines einfachen Aufbaus, indem DSL Internet für ein internes Netzwerk und Gästen zur Verfügung stellt.

Dieses Szenarium setzt auf das Basis-Szenarium - Grundsätzliche Einstellungen. Dort wurde ein OpenWRT-Router wie folgt eingerichtet:

Es besteht eine Verbindung zum Internet
Das interne Netzwerk über Ethernet-Ports ist eingerichtet
Der Webzugang zur Konfigurationsoberfläche ist mit TLS abgesichert

In diesem Szenarium wird dieser Zustand wie folgt erweitert:

Es wird ein internes WLAN-Netz erstellt, das mit dem internen Netz lan verbunden ist.
Es wird ein Gast-WLAN erstellt, aus dem keine Verbindung zu den internen Geräte möglich ist.
Die WLAN-Netzwerke werden zeitlich ausgeschaltet.

Einrichtung Bearbeiten

Vorbereitung Bearbeiten

Das interne Netzwerk lan wird unter Network/Interface kontrolliert, ob dieses Netzwerk als bridged eingerichtet ist. Dies bedeutet, dass zu diesem Interface mehrere physikalische Schnittstellen zugeordnet werden können.

Unter Network/Interface wird das Netzwerk lan editiert. Es erscheint der Konfigurationsdialog für die Schnittstelle lan. Der Reiter Physical Settings zeigt die Konfigurationen für die physische Adapter. Die Option Bridge interface sollte ausgewählt sein. Diese Einstellung wird übernommen und aktiviert.

WLAN einrichten Bearbeiten

Schnittstellen-Topologie: Das Interface lan beinhaltet eth0.1 und wlan

Die WLAN-Netzwerke werden unter Network/Wireless verwaltet. Zu jedem Adapter wird bereits ein Eintrag in der Übersicht dargestellt, wobei für 2,4GHZ und 5GHz separate Adapter angezeigt werden. Ein WLAN-Netz gehört zu einem Adapter. Soll ein WLAN-Netzwerk sowohl im 2.4GHz-Band als auch im 5GHz-Band verfügbar sein, muss für jeden Adapter ein neuer Eintrag erzeugt werden. Die Schritte sind hierbei weitgehend identisch.

WLAN-Netzwerk hinzufügen Bearbeiten

Neben jedem Adapter wird mit der Aktion Add ein neues WLAN-Netzwerk für diesen Adapter (Frequenzband) angelegt und es wird der Konfigurationsdialog angezeigt. Dieser Konfigurationsdialog ist zweigeteilt: Oben sind die Geräteeinstellungen angeordnet, im unteren Bereich die Netzwerkeinstellungen.

WLAN-Geräteeinstellungen Bearbeiten

Die Vorgaben von OpenWRT können prinzipiell direkt akzeptiert werden. Für WLAN stehen verschiedene Kanäle zur Verfügung. Im Bereich Operating frequency kann entweder ein fester Kanal vorgegeben werden. Steht hier die Auswahl auf auto wird die Kanalwahl dem Betriebssystem überlassen. Das Betriebssystem scant die Frequenzbelegung und sucht direkt einen Kanal aus, bei dem möglichst wenig Kollisionen mit benachbarten WLAN-Netzen zu erwarten ist.

Tipp:	Die Wahl der WLAN-Frequenz kann der Router nur anhand der Situation an seinem Standort treffen. Sollte im Einzugsbereich an einer wichtigen Stelle Kollisionen mit benachbarten Netzwerken vorliegen, muss am Router die Kanalwahl manuell getroffen werden.

Wichtiger sind die erweiterten Einstellungen (advanced settings). Dort wird das Landeskürzel eingetragen. Anhand des Landeskürzel wird der Treiber einzelne Einstellungen vornehmen, um das WLAN gesetzeskonform betreiben zu können. Bei Betrieb in Deutschland wird das Kürzel DE verwendet. Die weiteren Einstellungen können zunächst direkt übernommen werden.

WLAN-Schnittstelleneinstellung Bearbeiten

Im unteren Bereich mit der Interface Configuration erfolgen die für Geräte relevanten Einstellungen, damit eine Verbindung aufgebaut werden kann. Es ist direkt der Reiter Allgemeine Einstellungen (General settings) ausgewählt.

Die Schnittstelle wird als Access Point definiert. Dies bedeutet, dass der Router über Funk ein Netzwerk bekannt gibt. Der Name des Netzwerkes wird als ESSID eingetragen (in diesem Beispiel wlan). Unter diesem Namen finden mobile Geräte den Zugang.

Die WLAN-Schnittstelle wird im nächsten Punkt dem internen Netzwerk lan zugeordnet.

Ob der WLAN-Name bekannt gegeben wird oder versteckt werden soll (hide ESSID) ist mittlerweile Geschmacksache. Es ist kein Sicherheitsgewinn, den WLAN-Namen zu verstecken^[1].

Die Sicherheitseinstellungen erfolgen im Reiter Wireless Security. Als Verschlüsselungsmethode (Encryption) ist WPA2-PSK (WPA2 mit Pre Shared Key) ausgewählt, die zudem mit strong security gekennzeichnet ist. Bei dieser Methode wird weiter unten ein Password eingestellt, welches auch auf den mobilen Geräten eingegeben werden muss. Aktuell ist es die sicherste Methode, die OpenWRT für Heimanwender zur Verfügung stellt. Die als schwach gekennzeichneten (weak) Methoden (WEP-basiert) sollten für das interne Netz nicht verwendet werden.

	Die als schwach gekennzeichneten Methoden werden nicht für das normale, interne Netzwerk verwendet. Existieren noch alte Geräte, die nur mit WEP arbeiten, dann wird für diese Geräte ein separates Netzwerk eingerichtet, das vom internen Netzwerk getrennt ist.

	Ein offenes Netzwerk (No encryption) wird im Privathaushalt nicht verwendet. Die Sicherheitsgefahren für die eigenen Geräten sind von normalen Privatadministratoren nicht zu bewältigen. Zudem bestehen durch böswillige Nutzung des Internetanschlusses auch ernsthafte rechtliche Gefahren durch Abmahnungen.^[2]

Als Cipher ist auto voreingestellt und wird nur geändert, wenn dies wirklich notwendig ist (z.B. wenn eine Methode als unsicher gilt).

Die weiteren Einstellungen unter diesem Reiter können zunächst so beibehalten werden. Diese sind nur interessant, wenn mehrere Access Points verwendet werden soll oder es ernsthafte Schwierigkeiten bei der WLAN-Qualität gibt.

Im Reiter MAC-Filter ist der Filter ausgeschaltet. Heutzutage bringt ein MAC-Filter keinen Sicherheitsgewinn, so dass die Einrichtung nicht lohnt.

Im Reiter Advanced Setting ist zunächst nur die Option Isolate Clients interessant, die gesetzt wird. Dies verhindert, dass mobile Geräte direkt untereinander kommunizieren dürfen.

Tipp:	Wenn Gäste der Zugang zum WLAN gewährt wird, ist damit zu rechnen, dass auch mal Geräte mit böswilliger Nutzlast (Trojaner) vorhanden sind, welche versuchen, Geräte im gleichen Netzwerk anzugreifen. Die Option Isolate Clients verhindert zumindest im ersten Schritt, dass Geräte angegriffen werden.

Die Option Short preamble kann aktiviert werden. Sollten einzelne Geräte mit dieser Einstellung nicht zuverlässig funktionieren oder ist an einzelnen Standorten die WLAN-Verbindung schlecht, kann das Deaktivieren dieser Option die Verbindung stabilisieren.

Änderungen aktivieren Bearbeiten

Die bisher gemachten Einstellungen sind auf dem Router aktuell nur gespeichert, aber noch nicht aktiviert. Oben rechts erscheint blau hinterlegt die Liste an Änderungen, die noch nicht aktiv sind. Mit der Aktion Save & Apply werden diese Änderungen aktiviert. Kurz danach sollten mobile Geräte mit dem neuen WLAN verbinden dürfen.

Gast-WLAN einrichten Bearbeiten

WLAN einrichten Bearbeiten

Die obigen Schritte zum Einrichten eines WLAN's werden wiederholt. Es wird ein neues WLAN zugefügt (Aktion Add neben dem Adapter). Die Geräte-Einstellungen (Device Settings) werden identisch zu bestehenden WLAN-Netzen eingerichtet.

Als ESSID wird Guest verwendet mit einem einfach zu merkenden, langen Passwort.

Tipp:

Das Passwort für das Gast-WLAN sollte möglichst lang und einfach sein, z.B. Strasse und Wohnort. Um die Komplexität zu erhöhen, kann der letzte Buchstaben großgeschrieben werden. Dieses Passwort darf an keiner anderen Stelle verwendet werden und sollte auch an nicht ähnlich genug sein. Ein Angriff mit Brute-Force wird durch ein langes Passwort erschwert. Auch ein Angriff mit Wörterbuchangriff wird erschwert, da mehrere Wörter hintereinander gesetzt werden.

Das Gast-WLAN wird einem neuen Netzwerk Guest zugeordnet. Wird die Auswahlbox betätigt, erscheint ganz unten ein leeres Feld, mit dem direkt ein neues Interface mit dem Namen Guest angelegt.

Als Verschlüsselung kann hier WPA/WPA2-PSK ausgewählt werden, was auch ältere Mobilgeräte den Zugang zum Gast-WLAN ermöglicht. Unter den erweiterten Einstellungen wird ebenfalls die Option Isolate Clients ausgewählt, damit die Mobilgeräten untereinander nicht kommunizieren können.

Zum Abschluss werden die Einstellungen gesichert und aktiviert.

Firewall-Regel anlegen Bearbeiten

Unter Network/Firewall wird eine neue Firewall-Zone angelegt. Wird die Firewall-Übersicht geöffnet, erscheinen im unteren Bereich bereits die vorhandenen Zonen mit den Kommunikationspfaden, die erlaubt sind.

Mit der Aktion Add wird eine neue Zone angelegt. Diese erhält den Namen Guest und wird über das Auswahlfeld Covered network dem Netzwerk Guest zugeordnet.

In dem Auswahlfeld Allow forward fo destination zone wird die Internet-Schnittstelle wan ausgewählt. Das Auswahlfeld Allow forward from source zone bleibt leer.

Unter dem Reiter Advanced Settings gibt es das Feld Covered devices, das ähnlich zu dem Feld Covered network in den Allgemeineinstellungen ist. Für die meisten Anwendungen reicht es, wenn dieses Feld leer bleibt; somit wird für diese Firewall-Regel das Covered device herangezogen.

Unter dem Reiter Advanced iptables arguments lassen sich noch zusätzliche Bedingungen eintragen, welche Pakete aus dem Gastnetz in das Internet erfüllen müssen. Mit folgendem Argument im Feld Extra destination arguments werden nur Verbindungen mit HTTPS-Verbindungen oder SSH-Verbindungen zugelassen. Andere Verbindungen werden nicht durchgelassen.

-p tcp -m multiport --dports 22,443

Auch wenn diese Erweiterung der Firewall-Regeln für das Gastnetz w:Filesharing unterbindet, kann es verschiedene Programme auf Mobilgeräten einschränken. Vor allem E-Mail-Programme und Instant Messenger werden mit dieser Regel nicht funktionieren. Wenn einzelne Gäste derart als Sicherheitsgefahr angesehen werden, sollte grundsätzlich überlegt werden, ob tatsächlich ein Gastnetz notwendig ist.

Für normale Heimanwendungen werden diese Regeln zunächst nicht notwendig sein. Bei Einsatz in Vereinsheimen beispielsweise kann diese Erweiterung sinnvoll sein, wenn nicht nur HTTPS, sondern auch die gängigen Instant Messenger berücksichtigt werden.

Gast-Netzwerk konfigurieren Bearbeiten

Bis jetzt wurde ein neues WLAN für Gäste erzeugt, das über eine neue Firewall-Regel Zugang nur zum Internet bekommt.

Devices connected to different physical interfaces of a bridges interface get IP adresses from same subnet.

Bei der Erzeugung des WLAN wurde implizit ein neues Interface Guest erzeugt, das zum Abschluss noch konfiguriert wird. Dies erfolgt über die Seite Network/Interfaces. Dort wird das neue Interface aufgeführt. In der Konfiguration wird dem Interface eine statische IP-Adresse (Beispiel 192.168.44.2) zugewiesen. In der DHCP-Konfiguration lässt sich noch der Adressbereich einstellen, welcher für Gastgeräte verwendet werden soll.

Abschluss Bearbeiten

Obige Anleitungen beschreiben, wie einer einfachen OpenWRT-Konfiguration noch WLAN-Netzwerke sowohl für eigene Geräte als auch für Gäste zugefügt werden. Die eigenen Geräte sind im gleichen Netzwerk wie die stationären Geräte. Ein Netzwerkdrucker, -scanner bzw. Multifunktionsgerät ist damit über Ethernet als auch WLAN erreichbar. Ebenso wird hier ein NAS-Server aus beiden Netzen geteilt.

Gäste haben auf Geräte im internen Netzwerk keinen Zugriff, sondern ausschließlich Zugriff aufs Internet.

Erweiterungen Bearbeiten

WPA3 einrichten Bearbeiten

Für das aktuelle WPA3 wird eine Bibliothek benötigt, welche aus Platzgründen nicht in das Firmware-Image aufgenommen wird. OpenWRT ist bemüht, eine möglichst große Breite an verfügbaren Geräten zu unterstützen. Auch soll ein Gerät auch für viele Jahre auf einem aktuellen Stand gehalten werden können. Bei der Version 19.07 wurden dann die Mindestanforderungen erhöht, so dass mindestens 8MB an Flash-Speicher benötigt wird.

Die im Standard-Image enthaltene WLAN-Bibliothek unterstützt maximal WPA2. Zur Installation von WPA3 gibt es zwei Varianten, eine saubere und eine dreckige: Für beide Varianten empfiehlt es sich, die Installation über eine Ethernet-Verbindung vorzunehmen und nicht mit einem per WLAN verbundenen Rechner.

Es versteht sich, dass die saubere Variante zu verwenden ist. Aber die unsaubere Variante ist durchaus im Internet zu finden.

Saubere Installation von WPA3 Bearbeiten

Im Bereich System/Software wird die Aktion Update lists ausgeführt.
Unter dem Reiter Installed wird nach dem Paket wpad-basis gesucht und entfernt.
Unter dem Reiter Available wird nach dem Paket wpad-openssl oder wpad-wolfssl gesucht und installiert.
Der Router wird neu gestartet

Unsaubere Installation von WPA3 Bearbeiten

Im Bereich System/Software wird die Aktion Update lists ausgeführt.
Unter dem Reiter Available wird nach dem Paket wpad-openssl oder wpad-wolfssl gesucht und installiert. Im Dialog wird die Option Overwrite files from other package(s) ausgewählt.
Der Router wird neu gestartet

Konfiguration Bearbeiten

Nach dem Neustart steht für jede SSID jetzt die Methoden von WPA3 zur Verfügung.

Firewall-Regeln Bearbeiten

Die angesprochenen Firewall-Regeln für das Gastnetz sind nur rudimentär. OpenWRT bietet mit einer Weboberfläche für Iptables den vollständigen Funktionsumfang der Kerneleigenen Firewall. Einige Funktionen müssen über zusätzliche Pakete installiert werden (system/software). Dann lassen sich Regeln unter dem Reiter Traffic Rules erstellen.

Soll für Gäste nur einzelne Dienste erlaubt werden, dann wird zunächst unter den allgemeinen Einstellungen für die Firewall-Zone Guest die Input-Regel auf Drop gesetzt. Alle vom Gastnetz eingehenden Pakete werden gelöscht, wenn keine Regel dies explizit erlaubt. Dies geschieht über Regeln im Reiter Traffic Rules.

Eine neue Regel, um ein Dienst für Gäste zu erlauben wird über die Aktion Add erstellt. Als Source zone wird das Gast-Netz ausgewählt und für die Destination zone der Internetzugang. Im Feld Name wird eine eindeutige Bezeichnung dieser Regel vergeben.

Als Protocol wird in der Regel TCP und/oder UDP ausgewählt. Die übrigen Protokolle werden nicht von Benutzer verwendet. Für alle Gäste wird das Feld Source address leer gelassen. Damit greift die Regel für alle Geräte im Gastnetz. Der Source port würde festlegen, von welchen Ports die Anfrage kommen darf. Da dies bei anfragendem Rechner quasi zufällig ist, wird hier kein Port festgelegt.

Soll ein Gast nur Zugriff auf bestimmte Webseiten haben, können deren IP-Adressen unter Destination address eingetragen werden. Die meisten Webseiten verwenden allerdings eine Reihe von IP-Adressen, so dass die Pflege dieses Feldes aufwendig wäre.

Dagegen lässt sich über Destination port einstellen, welche Dienste aufgerufen werden dürfen. Für Server sind für Dienste die zu verwendeten Ports standardisiert, hier eine Liste der Webdienste. Webserver verwenden Port 80 (unverschlüsselt) und 443 (TLS-verschlüsselt). Wird in diesem Feld nur Port 443 eingetragen, gilt diese Regel auf Netzwerkverkehr, um Zugriff auf TLS-verschlüsselte Webseiten zu gewähren.

Die Action wird auf accept gesetzt.

Damit gilt diese Regel auf alle Pakete aus dem Gastnetz für alle Geräte, welche auf TLS-Seiten zugreifen wollen und erlaubt den Zugriff.

Alle anderen Verbindungen, die andere Ports zur Kommunikation verwenden (z.B. Instant Messenger) werden nicht zugelassen. Die kann über zusätzliche Regeln für jeden Dienst erfolgen.

WLAN schalten Bearbeiten

Über die Software-Verwaltung können Zusatzpakete installiert werden (zum Beispiel wifischedule), mit denen die WLAN-Adapter zeitgesteuert ausgeschaltet werden können. So lässt sich das WLAN in der Nacht ausschalten.

Mit dem Paket wifitoggle kann das WLAN über eine einstellbare Taste am Router ein bzw. ausgeschaltet werden.

Referenzen Bearbeiten

[1] ttps://de.wikipedia.org/wiki/Service_Set#Versteckte_Netze

[2] ttps://www.heise.de/newsticker/meldung/BGH-erleichtert-Verfolgung-illegaler-Uploads-in-Tauschboersen-3771176.html

[1]

[2]