Schlagwort-Archive: openwrt

OpenWRT und VLAN

Den schulischen APs der Reihe nach beizubringen, dass sie nun VLAN können und dass

  • auf Grau der AP verwaltet wird und hierbei seine IP vom grauen DHCP erhält,
  • Blau unser öffentliches Netz ist (HotSpot Authentifizierung),
  • auf Pink irgendwann in ferner Zukunft das Lehrernetz gefunden werden soll (mit Radius-Auth – man darf ja noch träumen)
  • und in Grün das interne Netz für die Laptops läuft, die ihre IP vom Schulserver erhalten,

war die Aufgabe. Dies auf der Oberfläche eines jeden APs einzeln zusammen zu klicken dauert viel zu lange. Also kopiert man sich die Konfiguration von einem funktionierenden AP auf alle anderen, bootet diese insgesamt zwei mal neu und voila – es tut.

Erst einmal VLAN ermöglichen:

Dann neu booten. Mit ifconfig angesehen soll es am Ende so aussehen:

Einmal /etc/config/network anpassen:

Und /etc/config/wireless anpassen:

Die DNS Dienste auf dem AP wegwerfen, weil der DNS zentral läuft (auf Schulserver oder auf dem grauen Server für die Infrastruktur):

Dann noch einmal neu booten und vor Ort testen, nachdem man die VLAN Einstellungen auch auf den Switches so angepasst hat, dass man seinen AP wieder findet.

WDR4900 WAF=0

wdr4900_leds

Oha. Der WAF beim TPLink WDR4900 ist sehr, sehr niedrig. Das liegt vor allem an den grell blauen LEDs des Geräts und dessen Unsitte auf dem Uplink dauernd zu blinken.

Zwar bietet OpenWrt theoretisch die Möglichkeit, die LEDs zu steuern – aber eben nur die, die vom System auch erkannt werden.

An vier von den blauen Dingern komm ich ran (und dann wären da noch zwei grüne für USB Aktivitäten) – aber eben nicht an die LEDs des Switches.

Jetzt hilft nur noch schwarzes Isolierband 🙁

wdr4900_leds [ODT] [180 kb]

wdr4900_leds [PDF] [180 kb]

OpenWRT auf TL-WDR4900 N900

Im Prinzip läuft bei der Installation von OpenWRT auf dem TPLink WDR4900 alles wie gewohnt: einfach rund.

Leider fällt bei diesem Router aber beim OpenWRT Release Barrier Breaker der Aufruf des Web-Interfaces Luci auf die Nase und meldet:

/usr/lib/lua/luci/dispatcher.lua:284: No valid theme found

Bei mir lag das daran, dass das Default Theme nicht installiert war, weil ich mir gleich das Paket luci-theme-bootstrap gezogen hatte.

Ein

opkg install luci-theme-openwrt

schafft Abhilfe.

Das Theme Bootstrap (svn-r9934-1) lässt sich aber bei mir auch im Anschluss hieran nicht aktivieren. In Luci wird es nicht einmal als Auswahlmöglichkeit angezeigt.

Resetting TP-Link TL-MR3020

… war wohl nix. Meine Anleitung von vorgestern zu OpenWRT auf dem kleinen Kästchen enthielt einen kleinen, aber tödlichen Fehler, den ich inzwischen behoben habe. Hierbei durfte ich dann gleich mal kennen lernen, wie man einen total verzockten MR3020 in den Auslieferungszustand zurücksetzt, wen OpenWRT installiert ist.

openwrt_reset

Ein

tcpdump -Ani eth0 port 4919 and udp

liefert auf dem Gerätchen schlicht … nix. So ist es etwas schwer, den richtigen Zeitpunkt abzupassen, an dem man den Geräteschalter drückt, um den MR3020 in den failsafe Modus zu versetzen.

Was aber half war ein ca. 60 sekündiges Dauergeklicke auf dem einzig vorhandenem Schalter nach einem Reboot durch Ziehen das Stromkabels. Man kann sich dann mit telnet wieder anmelden, mountet das Dateisystem und setzt das Ding wie in der oben verlinkten Anleitung zurück.

OpenWRT auf TP-Link TL-MR3020

Für die freien Tage musste was zum Spielen ins Haus: ein TP-Link TL-MR3020 für rund 30€. Die Installation von OpenWRT gelingt nach Anleitung über die Browseroberfläche ohne Probleme. Nach zwei Reboots kann man sich über telnet einloggen und ein Passwort für root setzen. Telnet ist damit deaktiviert – in Zukunft kommt man über SSH auf den MR3020. Ein

opkg –help

zeigt die wichtigsten Befehle der Paketverwaltung an und die folgenden Befehle ziehen eine SSL verschlüsselte Browseroberfläche für die Konfiguration des Routers an Bord (und ein etwas hübscheres Design sowie deutsche Sprachpakete für dieselbe gleich mit):

opkg update

opkg install luci-theme-bootstrap

opkg install luci-i18n-german

opkg install luci-ssl

/etc/init.d/uhttpd restart

/etc/init.d/uhttpd enable

openwrt

Inzwischen habe ich zwei WLAN Netze auf dem kleinen Kästchen laufen – eines für Geräte, die in mein Heimnetz dürfen und dann ihre IP vom DHCP auf meiner Smoothwall erhalten (oben LAN genannt) und ein Netz für Gäste, an die der TPLink die IPs verteilt.

Dabei erhält der MR3020 die IP immer vom DHCP des Netzes, an das ich ihn stecke – hier im Heimnetz also vom DHCP auf der Smoothwall. Das ist für Netzwerker sicherlich eine grausige Vorstellung: Ein Router, der seine IP nicht statisch gesetzt bekommt, sondern vom DHCP erhält 🙁 Das hat für mich aber einen Vorteil, zu dem ich am Ende noch komme.

Im Hinterkopf zu behalten ist, dass mein Heimnetz nur rot und grün kennt. Ein dezidiertes blaues Netz für WLAN existiert hier nicht. Alle AccessPoints hängen demnach bei mir im grünen Netz.

Anyway: Aufgefallen ist mir bei der Fummelei, dass diese Anleitung bei OpenWRT bei mir nicht richtig passen wollte und an einigen Stellen verändert werden musste. Zu diesen Änderungen:

owrt_drahtlos

Zuerst wird eine neue WLAN Schnittstelle (hier: bdjl_guest) eingerichtet, die lediglich die WLAN Schnittstelle des Routers beinhaltet.

Das geht am schnellsten über /Netzwerk /Drahtlos /Hinzufügen.

owrt_schnittstellen

Dann wird der neuen WLAN Schnittstelle eine statische IP verpasst und der DHCP Server auf dieser aktiviert. Die entsprechenden Funktionen befinden sich unter /Netzwerk /Schnittstellen und dort nach einem Klick auf /Bearbeiten.

Schon hier kann man in den erweiterten Einstellungen dieser Schnittstelle eine eigene Firewall-Zone zuweisen – was ich tat.

owrt_zonen

Unter /Netzwerk /Firewall findet sich die Zone wieder – verweist aber zuerst auf REJECT. Hier muss der neuen Zone die Weiterleitung auf WAN zugeordnet werden, was über den Schalter /Bearbeiten möglich ist.

owrt_nat

Unter /Netzwerk /Firewall /Verkehrsregeln wird dann von der Gast-WLAN-Schnittstelle auf ETH0 (also LAN) ge-NAT-et.

Ausbruchsicher ist das evtl. nicht – selbst wenn Fing keine Geräte aus meinem Heimnetz findet. Aber – hey – es ist ein Gastnetz für meine Bude. Die Menschen sitzen dann auf meinem Sofa. Innenverteidigung ist meine Sache nicht und die Vorteile bleiben bestehen:

Ich erspare mir in Zukunft die lästige Aufnahme der MAC Adressen von Gastgeräten und viel Gefummel mit der Smoothwall, wenn Besuch kommt und mit dem eigenen Gerät nur online gehen will.

Außerdem müsste – das muss ich aber noch testen – mein TPLink auch in fremden Netzen funktionieren: Einstöpseln … und er erhält vom DHCP Server des fremden Netzes (in meinem Fall z.B. das Schulnetz) eine IP. Auf dem einen WLAN, das er aufzieht, kann ich dann so ins lokale Netz, als wäre ich mit meinem Laptop direkt angemeldet. Der TPLink benimmt sich wie ein AccessPoint. Auf dem anderen WLAN, dem WLAN für Gäste, kommt jeder Client rein, dem ich den WPA2 Key der kleinen Büchse mitteile … und taucht im internen Netz garnicht auf. Und da sich die MAC Adresse von eth0 leicht ändern lässt, kann man sich in fremden Netzen auch mal eine „leihen“ 😉