OpenWRT – Raspberry Pi Firewall und Schutz vor den Provider-Routern

Dieser Beitrag wurde 139385 mal angezeigt.

Hy Leute,openwrt-logo

schon etwas her das ich was geschrieben habe. Aber zur Zeit tut sich für mich nichts interessantes an der Miner Front.
Daher habe ich mich mal mit einem Thema beschäftigt, was in der letzten Zeit wohl immer wichtiger wird.

Bei den meisten Providern ist es mittlerweile so, das man einen Router gestellt bekommt und diesen selber nicht mehr administrieren kann.
Sprich, man ist nicht der eigene Herr über den Router. Die Provider können ins eigene Intranet schauen und „schnüffeln“ ohne das es dem Anwender auffällt oder bewusst wird. Dies ist keine Unterstellung. Jedoch muss man vorsichtig sein und man darf hier niemanden mehr trauen.

Nun der Provider kann über seinen Router auf das komplette Intranet zugreifen. Spannend, den wenn man beim Support eines solchen Anbieters in der Hotline ist und mal etwas quer fragt, kommt man auch mal an die Info, „Nachdem wir Ihren Router neu gestartet haben….“ UPS, was? Ihr könnt „MEINEN“ Router neu starten? … Haben wir gesehen das folgende Einstellungen oder Geräte dazu führen könnten das es nicht so ganz läuft wie wir uns das vorstellen ….

Da muss man erst mal schlucken und ich hoffe das es nicht soweit kommen muss. Aber das führt genau zu dem Problem, der Provider kann sehen, welche Geräte im Intranet sind und wenn dieser lieber die WLAN Funktion seines Routers bezahlt haben will, könnte es mal vorkommen das der eigene Router, der sich dahinter befindet, plötzlich nicht mehr erkannt wird.

Sollte, hätte, könnte…. DARF NICHT PASSIEREN!

Hier kann man sich jedoch gegen schützen. Früher war der Splitter der Übergabepunkt. Heute nimmt sich ein Provider das Recht, das der Router dieser Punkt ist, und erhält somit die Kontrolle. Und aus der Vergangenheit wissen wir, dass gerne mal Geheimdienste in solche Netze einbrechen, da die Geräte meist mangelhaft gegen Angriffe geschützt sind.

 

Mit OpenWRT und einem Raspberry Pi, kann man jedoch verhindern, dass die Gauner ins eigene Intranet kommen um so Daten von angeschlossenen Geräten stehlen können.
Als Ausgang benutze ich dieses Tutorium auf englisch.

Was benötigen wir, um uns so eine „Firewall“ einzurichten?

(Ich würde mich freuen wenn Ihr die Artikel, über meinen Partner-Shop bei Amazon kauft, reguläre Amazon Preise, keine Nachteile und ihr unterstützt meine Seite damit 😉 )

Step 1

Als erstes besorgen wir  uns ein angepasstes Image: openwrt-raspi
Dieses installieren wir auf z.b. eine 8GB SD Karte.

Hierfür gibt es das Tool Win32DiskImager-0.9.5-binary.
Mit diesem Tool ist es möglich, das Image auf eine SD-Karte bootfähig zu schreiben.

  • Entpackt das *.img
  • Schließt euren Kartenleser an euren Rechner an und steckt eine SD Karte ein (min. 4GB, besser 8 GB oder mehr)
  • und öffnet das Programm Win32DiskImager.
  • Wählt nun das Image aus und das entsprechende Laufwerk und klickt auf “Write”

Win32_Disk_Imager

Alle Daten werden dabei auf der SD Karte gelöscht.

Step 2

Nachdem wir das Image in unseren PI gesteckt haben, können wir den Pi mittels Debug Kabel booten.

Dazu schließen wir das Debug Kabel zuerst am Pc an und schauen in dem Geräte und Drucker Manager welchen COM Port belegt wurde.

  • Nun starten wir Putty und geben die entsprechenden Daten ein damit wir uns zu unseren Raspberry verbinden können.
  • Wir setzen die “Connection type” auf: Serial
  • Speed auf 115200
  • Wer Putty vorher schon einmal verwendet hat, sollte darauf achten das UTF-8 eingestellt ist.
  • Anschließend klicken wir auf “Open”. Putty wartet nun auf eine Verbindung.

new_putty_connection_window

Nun schließen wir das Kabel, an. Schaut euch dazu das Bild an:
gpio_closeup

 Step 3

Ihr solltet nun sehen, wie der Pi bootet. Nachdem das Bild stehen geblieben ist, Drückt ihr einmal die Entertaste. Somit seit ihr nun schon eingeloggt.

  

Nun schließt ihr das Netzwerkkabel an den Pi sowie euren Router an. wichtig ist, das ihr Zugang zu diesem Netzwerk habt. Da ihr sonst nicht auf den Pi kommt.
Der Anschluss wird direkt erkannt und durch eine kleine Meldung bekanntgegeben.

Nun könnt ihr ifconfig eingeben.
Damit bekommt ihr eine Auflistung aller angeschlossenen Netzwerkadapter sowie deren Daten. Für uns ist die Netzwerkadresse wichtig. Diese benötigen wir für den nächsten Step.

Step 4

Im Beispiel hat unser Pi die Adresse 192.168.0.17 bekommen. Diese geben wir jetzt in unserem Browser ein um uns das erste mal mit unserem OpenWRT zu verbinden und um die Einstellungen vorzunehmen.

OpenWRT_Boot_04Im Standard ist unser Root Passwort leer. Dieses sollten wir direkt nach der Installation setzen.
Dazu loggt ihr euch mit dem User root und einem leeren Passwort ein.

OpenWRT_Boot_05Wechselt anschließend auf System und Administrator und speichert dies direkt ab.

Step 5OpenWRT_Boot_06

Damit unser USB Lan Adapter auch erkannt wird, müssen wir einen Treiber dafür nach installieren.
Geht dazu auf System -> Software klickt als erstes auf Update List und sucht nach mcs7830 mit find package

 Unter Available packages (mcs7830) solltet ihr nun ein Packet finden das könnt ihr mit einem klick auf Install auf euren Pi hauen.

 

Step 6

Damit wir nun unsere beiden LAN Schnittstellen nutzen können, müssen wir ein zusätzliches WAN Interface installieren.
Dazu klicken wir auf Network -> Interfaces

Hier befindet sich vorerst nur eine Schnittstelle. Die LAN Schnittstelle.OpenWRT_Boot_07

Wir klicken nun auf Add new interface

  • Als Namen geben wir WAN ein
  • Als Protokoll : DHCP client
    Wenn unser Router seine IP Adressen automatisch vergibt. Das ist im Standard immer der Fall. Sonst wählen wir Static address
  • Als Schnittstelle wählen wir nun unser neues eth1 Interface aus.
    Damit bestimmen wir schon mal, dass diese Seite an den 2ten Router oder Rechner kommt.
  • Nun öffnen wir die Reiterseite „Firewall Settings“ und wählen unsere WAN Schnittstelle aus.
  • und Submit ,  Save&Apply zum speichern der Einstellungen.OpenWRT_Boot_08

 

 Es befinden sich nun 2 Schnittstellen in der Übersicht.

 

 

Step 7OpenWRT_Boot_09

Als nächstes müssen wir die Einstellungen so ändern, das wir den Traffic über den Pi leiten können.
Dazu müssen wir unserer Lan Schnittstelle sagen, das dieser eine feste IP Adresse beziehen soll.

  • Dazu klicken wir auf Network -> Interfaces
  • Bei LAN eth0 auf Edit
  • Das Protokoll ändern wir auf Static address
  • Geben eine Feste IP Adresse im IP-Raum unseres Routers ein, IPv4 address am besten sehr niedrig. z.b. 192.168.1.1
  • Als Netmask : 255.255.255.0
  • Das Gateway lasst ihr leer.
  • Und Broadcast ebenfalls leer lassen.
  • Save & Apply

Wenn alles richtig läuft, wird die Verbindung nun getrennt. Ihr könnt den Pi nun unter der neuen IP Adresse finden. Hier könnt ihr euch nun wieder einloggen. Ich habe unter DHCP Advanced Settings noch den Hacken bei Dynamic DHCP sowie bei Force gesetzt. Ist aber kein muss.

  • Zur Sicherheit sollte ihr nun den Pi einmal neustarten. Dazu geht ihr auf System -> Reboot und klickt auf Perform reboot

Im Putty Fenster könnt ihr nun sehen das der Pi neu bootet. Loggt euch danach wieder auf dem Pi per Browser ein.

Step 8

Nun können wir unsere Firewall sowie unseren eigenen DNS / DHCP Server starten.

Dazu klicken wir auf System -> Startup hier sind unsere beiden benötigten Dienste noch deaktiviert und mit einem Roten X gekennzeichnet.
Mit einem klick auf „Disabled“ aktivieren wir die beiden Dienste.

OpenWRT_Boot_10

Step 9

Damit haben wir unseren OpenWRT soweit vorbereitet für den Start. Nun kommt der „kniff„.

Ihr könnt den Pi nun fertig anschließen. Entfernt das Debug Kabel und nehmt die Netzwerk Kabel vom Internet-Router ab.
Nun verbindet ihr das LAN-Kabel das am USB-Adapter ist, mit euren Router der nach außen ins Internet kommt.
Der normale LAN Anschluss kommt an euren zweiten Router/WLAN-Router.
Achtet darauf das dieser Router den DHCP Server deaktiviert hat, den diesen stellt ja nun der Raspberry Pi.

Nehmt den Pi wieder unter Spannung über den Mirco-USB Anschluss. Dieser bootet nun.
Ihr solltet nun mit eurem Rechner den Pi über die Statische IP Adresse erreichen können, wenn ja, habt ihr alles richtig gemacht und ihr habt euren Router fein hinter dem Raspberry Pi versteckt.Falls ihr beim ersten Aufruf keine Internet Seite öffnen könnt, liegt das daran, das zb. Windows noch den alten DHCP mit DNS gespeichert hat. Dieser antwortet natürlich nicht mehr. Startet einfach euren Rechner neu. Das hilft.

Nun kann der Provider nicht mehr sehen, welche Geräte sich in eurem LAN befinden.

RaspPi-OpenWRT

Nun schaut euch mal etwas um, und ggf. findet ihr eine optimale Einstellung wie man sich damit ordentlich absichert. Dies dürft ihr gerne als Kommentar hinterlassen.

Tipp:

Unter Status -> Realtime Graphs -> Traffic könnt ihr nun z.b. auch sehen was eure aktuelle Geschwindigkeit ist.

OpenWRT_Boot_11

Schlusswort 😉

Wenn euch dieses Tutorium gefallen hat, würde ich mich über ein paar Kommentare freuen sowie natürlich eine kleine Spende 😉
Nutzt dazu einfach den Spende Button oben im Beitrag 😉

 

Wie immer biete ich euch meine Hilfe an. Wer also gerne einen komplett eingerichteten Pi haben möchte darf sich gerne bei mir melden.

 Und wie immer gilt, Rechtschreibfehler dürfen behalten werden 😉

 

Beste Grüße und viel Spaß!

Euer Sven

 




45 Comments

Add a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.