© mch67, 123RF

Open WRT 15.05 erscheint zu einem Zeitpunkt, an dem sowohl der Einsatz freier Routerfirmware als auch die freie Routerwahl unter Beschuss stehen. Das Linux-Magazin folgt dem System mit Blicken.

Für die Teilnehmer-Endgeräte, die deutsche Internetnutzer in der Regel von ihrem Provider erhalten, um ins Internet zu gelangen, hat sich der Begriff Router eingebürgert. Deutlich jünger und vor allem kontroverser ist hingegen der Begriff Routerzwang. Er verweist auf ein aktuelles Problemfeld, das – grob vereinfacht – darin besteht, dass die Internetanbieter in Deutschland am liebsten ihren Kunden den Zugriff auf die Routeroberfläche verweigern würden.

Das geschieht vordergründig mit den besten Intentionen, entpuppt sich aber bei genauerem Hinsehen als Versuch, Sicherheitsprobleme auf Kosten der Enduser zu lösen und zugleich Geld zu verdienen (siehe Kasten “Routerzwang”). Tatsächlich bringt häufig die Industrie selbst ihre Nutzer in Gefahr, indem sie Sicherheitslücken viel zu spät schließt.

Auch in den USA stehen Router unter Beschuss. Hier versucht zurzeit eine Regulierungsbehörde, die Federal Communications Commission (FCC, [2]), den Nutzern die Kontrolle über WLAN-Technik zu entziehen, damit diese nicht mit den Frequenzen herumspielen. Dagegen regt sich Protest auf vielen Seiten (siehe Kasten “FCC und die Router”).

Dass sich gerade die Open-Source-Community gegen solche Pläne stellt, ist kein Wunder. Einerseits geht es ihr ja darum, die Kontrolle über die Software in den genutzten Geräten zu be- und erhalten. Andererseits bedrohen die gegenwärtigen Pläne beliebte und hilfreiche Projekte rund um freie Firmware.

In Deutschland bietet zum Beispiel der Freifunk e.V. [3] eine kostenlose dezentrale Infrastruktur für Internetnutzer an und setzt dabei massiv auf das freie Embedded-System Open WRT [4]. Aber auch diverse Forschungsprojekte nutzen die Distribution sowie Konferenz- und Hotelbetreiber, die aus relativ primitiven Geräten mehr rausholen möchten.

Open WRT

Das Open-WRT-Projekt existiert seit 2004 und läuft neben CPE- und WLAN-Routern auch auf Smartphones und Pocket-Rechnern [5]. Die Distribution unterstützt etliche Architekturen und bringt ihren eigenen Softwarezoo mit, der aus Tausenden Paketen besteht. Für das im Artikel getestete Gerät existieren beispielsweise 1907 Pakete, die ein Open-WRT-Device dann wahlweise in einen Open-VPN-Knoten oder in eine Asterisk-Telefonanlage verwandelt.

Bedienen lässt sich Open WRT über die Kommandozeile, aber auch über eine grafische Oberfläche namens Luci, die als Standard-GUI zum Einsatz kommt. Als Alternative kreist noch Gargoyle [6] in der Warteschleife. Auch zu Open WRT selbst gibt es Alternativen, zu nennen wären etwa DDR WRT [7] sowie Freetz [8] für Fritz-Router.

Durchgeschüttelt

Den Codenamen Chaos Calmer für die neue Version leiht sich das Projekt vom gleichnamigen Cocktail auf Basis von Gin und Curaçao. Das Rezept erscheint auf der Kommandozeile, sobald sich der User beim Open-WRT-System anmeldet (Abbildung 1).

Abbildung 1: Per SSH lässt sich der Router problemlos verwalten und spuckt sogar noch das Rezept für einen leckeren Cocktail aus.

Zu den Neuerungen in Version 15.05 gehören der aktualisierte Kernel in Version 3.18 sowie Support für Jails, um die mit Rootrechten laufenden Prozesse im Zaum zu halten. Zudem unterstützt sie gehärtete Builds und einen rudimentären Support für Seccomp, der im Kernel noch nicht aktiviert ist. Pakete signiert sie seit Neuem auf Basis des Ed25519-Signatur-Systems.

Daneben unterstützt Open WRT wieder eine Handvoll Geräte besser, wozu 3G- und 4G-Modems zählen. Das »brcm2708« -Image läuft jetzt auch auf dem Raspberry Pi 2. Des Weiteren haben die Entwickler die Netfilter-Performance erhöht, der Netzwerkstack kommt neuerdings besser mit Multicore-Systemen zurecht.

Erwähnenswert sind auch der optimierte Umgang mit DNSSEC und die Unterstützung fürs Smart Queue Management (SQM) im Paket »luci-app-sqm« . Letztere soll Verzögerungen verhindern, die auftreten, wenn der Router zu viele Daten puffert. Auch der Support für selbst verwaltete Netzwerke auf Basis des Home Networking Control Protocol [9] soll jetzt besser klappen.

Und wie läuft’s?

Die Tester haben das neue Image auf dem TP-Link TL-WR841N v9 installiert, der im Netz weniger als 20 Euro kostet. Wie erwähnt bringt Open WRT zahlreiche Images mit, also gilt es zunächst, das passende herauszufinden. Glücklicherweise gibt es vom Projekt eine praktische Übersichtstabelle mit integrierter Suchfunktion [14], die alle Modelle und die dazu passenden Images auflistet. Ein Klick auf das Image in der Spalte »Device Page« führt dann zu weiterführenden Informationen zum Gerät, die auch einen Link zu den Images enthalten.

Für besagten Router, aber nicht nur für diesen, gibt es zwei Imagevarianten. Die mit »factory« im Namen dient dazu, die Custom-Firmware des Routers zu überschreiben. Sie kommt bei fabrikneuen Routern zum Einsatz, auf denen noch die Originalfirmware läuft. Mit der »sysupgrade« -Variante lassen sich Geräte aktualisieren, auf denen bereits Open WRT läuft.

Das Upgrade verlief im Test reibungslos. Der Nutzer schließt den Router per Netzwerkkabel an seinen Rechner an, schaltet ihn ein und ruft die URL »http:// 192.168.1.1« im Browserfenster auf. Beim TP-Link lauten Standardlogin und -Passwort »admin« und »admin« , unter »System Tools | Firmware Upgrade« lässt sich das Image einspielen (Abbildung 2).

Abbildung 2: Das Open-WRT-Image ist im Handumdrehen auf den Router gespielt.

Luftdicht verpackt

Open WRT bringt einige Standardeinstellungen mit, die seine Benutzer kennen sollten. Die wohl wichtigste: Das WLAN ist per Default nicht aktiviert (»/etc/config/wireless« ). Dafür bringt Open WRT eine vorkonfigurierte Masquerading-Bridge zwischen WLAN und LAN auf der einen und WAN auf der anderen Seite mit und überbrückt LAN und WLAN in der Datei »/etc/config/network« . IPv4-Forwarding ist auch aktiv (»/etc/sysctl.conf« ).

Nach dem ersten Login ist das Passwort zu ändern, danach aktiviert der Nutzer das WLAN über »Network | Wifi« . Dort lässt sich die Sendeleistung für das Drahtlosnetzwerk (»Edit | Device Configuration | General Setup« ) ebenso festlegen wie einige fortgeschrittene Features für Netzwerke mit mehreren Hidden Stations. Verwenden viele räumlich getrennte Nutzer so ein Netzwerk, kontrolliert der Admin über die Request-to-Clear- und Clear-to-Send-Angaben sowie den Fragmentation Threshold die Kollisionen zwischen versteckten Sendestationen. Wer keine Hidden Stations braucht, sollte auf die Optionen verzichten, da sie mehr Overhead im Netzwerk erzeugen.

Über »Edit | Interface Configuration | General Setup« stellt der Routerbetreiber ein, in welchem Modus er sein Gerät betreiben möchte. Zur Wahl stehen: »Access Point« , »Client« , »Ad-Hoc« , »802.11s« , »Pseudo Ad-Hoc« , »Monitor« , »Access Point (WDS)« sowie »Client (WDS)« . Mit WDS ist das Wireless Distribution System gemeint, das dafür sorgen soll, dass mehrere Accesspoints kooperieren. Der Standard ist jedoch so vage definiert, dass Implementierungen häufig nur funktionieren, wenn derselbe Hersteller im Einsatz ist.

Hat der Betreiber den »Access-Point« -Modus gewählt und unter »Wireless Security« das WLAN-Passwort angegeben, sichert er die Angaben über »Save & Apply« . Nun erscheint eine Übersicht samt dem neuen Interface.

Maskerade

Nun kann sich der Betreiber mit dem Open-WRT-Router verbinden, ins Internet gelangt er aber noch nicht. Um die Sprachpakete zu aktualisieren oder überhaupt neue Software zu installieren, braucht der Router einen Internetzugriff. Der Nutzer kann ihn per Netzkabel an den Accesspoint anschließen, das ist aber nicht immer die beste Lösung.

Die voreingestellte Masquerading-Bridge erweist sich als Glücksfall: Mit ihr verbindet der Admin den Router über ein paar Mausklicks drahtlos mit dem Accesspoint (Abbildung 3). Er erzeugt im Masquerade-Modus ein zweites IPv4-Subnetz mit Internetanbindung, zugleich entsteht eine demilitarisierte Zone.

Abbildung 3: Der Accesspoint leitet den Traffic aus dem Internet an den Open-WRT-Router weiter, der ihn im neuen Subnetz verteilt. LAN-Host 1 kann Client 1 nicht erreichen.

In dieser simplen Variante des so genannten Client Mode haben die Rechner des ersten Subnetzes (»192.168.1.0/24« )keinen Zugriff auf die im zweiten (»192.168.2.0/24« ). In der DMZ ließe sich also relativ abgeschottet vom restlichen LAN ein Server betreiben. Es gibt mehrere Client-Modi, die das Open-WRT-Wiki genauer vorstellt [15]. Bei einigen landen zum Beispiel alle Clients in demselben Subnetz.

LAN im LAN

Unter »Network | Wifi« sollte nun also ein WLAN-Interface auftauchen, das im »Master« -Modus operiert und mit dem sich die Geräte im zweiten Subnetz verbinden. Um den Open-WRT-Router mit dem Accesspoint zu verbinden, klickt der Nutzer neben »Generic MAC80211« auf »Scan« . Es erscheinen die Netze in der Umgebung, ein »Join WLAN« wählt den gewünschten Accesspoint aus.

Das Häkchen neben »Replace Wireless Configuration« muss weg, da der User ein zweites Interface einrichten will, der Name des neuen Netzwerks lautet »wwan« und die »Firewall Zone« ist »wan« . Bei »WPA Passphrase« trägt er das Passwort des Accesspoint ein. Nach dem Klick auf »Submit« kann er das zweite Interface einrichten.

Dessen Name ist im nächsten Bildschirm bereits eingetragen (Abbildung 4), als Modus muss »Client« stehen, da der Open-WRT-Router ja zum Client des Accesspoint wird. Auch die »BSSID« des Accesspoint hat der Scan entdeckt und eingetragen. Es bleibt nichts weiter zu tun, als das Interface über »Save & Apply« zu aktivieren. Das sollte nun als zweites in der Übersicht auftauchen (Abbildung 5). Hat der Accesspoint erst Zugriff auf das Internet, lässt sich dieses auch über das Open-WRT-Gerät nutzen. Gelegenheit für ein paar Updates.

Abbildung 4: Das Interface meldet sich im »Client«-Modus beim Accesspoint mit der SSID »mars« an.

Abbildung 5: In der Übersicht beobachtet der Betreiber die beiden Interfaces im Einsatz.

Sprachbarrieren

Zunächst bringt der User dem Interface Deutsch bei. Dazu meldet er sich per SSH auf dem Router-Interface an und landet auf der Textkonsole. Wer will, kann für den SSH-Zugang unter »System | Administration« noch einen Public Key einfügen und die Möglichkeiten zur Passwortanmeldung deaktivieren. Über

opkg update
opkg install luci-i18n-base-de

aktualisiert der Nutzer die Paketliste und installiert ein deutsches Sprachpaket. Das Router-GUI erscheint dann auf Deutsch. Über den Paketmanager spielt er zudem Updates ein, um etwa Sicherheitslücken zu schließen. Die Schrittfolge lautet:

opkg update
opkg list-upgradable
opkg upgrade Paketname

Allerdings raten die Macher der Firmware davon ab und empfehlen, gleich neue Firmware-Images einzuspielen [16].

Ausblick

Tatsächlich gibt es Hoffnung, dass sich in Sachen Router der technische Sachverstand auf beiden Seiten des Atlantiks durchsetzt. Bei der FCC haben bereits einige Schwergewichte ihre Stimme gegen die geplanten neuen Regeln erhoben, darunter Sony und Boing. Ob das die FCC umstimmt, muss sich zeigen.

In Deutschland hat der Bundestag zu Redaktionsschluss das Gesetz gegen den Willen des Bundesrates auf den Weg gebracht [1], Änderungen sind bis zur endgültigen Verabschiedung allerdings noch möglich.

Von Open WRT profitieren vor allem sicherheitsbewusste User. Häufig sind die kommerziellen Anbieter nicht schnell genug, wenn es darum geht, Sicherheitslücken zu stopfen. Nutzer freier Firmware haben hier erheblich größere Einflussmöglichkeiten und patchen ihren Router notfalls selbst oder arbeiten zumindest temporär um schwerere Lücken herum. Nicht zuletzt punktet das freie Betriebssystem jedoch auch mit seinen zahlreichen Features (Open VPN, Asterisk), mit denen die vorinstallierte Firmware der konventionellen Router häufig nicht mithalten kann.