OpenWRT – Raspberry Pi Firewall und Schutz vor den Provider-Routern
Dieser Beitrag wurde 139385 mal angezeigt.
Hy Leute,
schon etwas her das ich was geschrieben habe. Aber zur Zeit tut sich für mich nichts interessantes an der Miner Front.
Daher habe ich mich mal mit einem Thema beschäftigt, was in der letzten Zeit wohl immer wichtiger wird.
Bei den meisten Providern ist es mittlerweile so, das man einen Router gestellt bekommt und diesen selber nicht mehr administrieren kann.
Sprich, man ist nicht der eigene Herr über den Router. Die Provider können ins eigene Intranet schauen und „schnüffeln“ ohne das es dem Anwender auffällt oder bewusst wird. Dies ist keine Unterstellung. Jedoch muss man vorsichtig sein und man darf hier niemanden mehr trauen.
Nun der Provider kann über seinen Router auf das komplette Intranet zugreifen. Spannend, den wenn man beim Support eines solchen Anbieters in der Hotline ist und mal etwas quer fragt, kommt man auch mal an die Info, „Nachdem wir Ihren Router neu gestartet haben….“ UPS, was? Ihr könnt „MEINEN“ Router neu starten? … Haben wir gesehen das folgende Einstellungen oder Geräte dazu führen könnten das es nicht so ganz läuft wie wir uns das vorstellen ….
Da muss man erst mal schlucken und ich hoffe das es nicht soweit kommen muss. Aber das führt genau zu dem Problem, der Provider kann sehen, welche Geräte im Intranet sind und wenn dieser lieber die WLAN Funktion seines Routers bezahlt haben will, könnte es mal vorkommen das der eigene Router, der sich dahinter befindet, plötzlich nicht mehr erkannt wird.
Sollte, hätte, könnte…. DARF NICHT PASSIEREN!
Hier kann man sich jedoch gegen schützen. Früher war der Splitter der Übergabepunkt. Heute nimmt sich ein Provider das Recht, das der Router dieser Punkt ist, und erhält somit die Kontrolle. Und aus der Vergangenheit wissen wir, dass gerne mal Geheimdienste in solche Netze einbrechen, da die Geräte meist mangelhaft gegen Angriffe geschützt sind.
Mit OpenWRT und einem Raspberry Pi, kann man jedoch verhindern, dass die Gauner ins eigene Intranet kommen um so Daten von angeschlossenen Geräten stehlen können.
Als Ausgang benutze ich dieses Tutorium auf englisch.
Was benötigen wir, um uns so eine „Firewall“ einzurichten?
- Raspberry Pi
- Image mit OpenWRT als Betriebssystem
- Debugkabel
- 8 GBs oder mehr SD Karte
- Mini-USB Netzteil für die Spannungsversorgung
- Stabiles Pi-Case
- Intellinet Hi-Speed USB 2.0 auf Fast Ethernet Mini-Adapter schwarz oder direkt hier und wenn gerade nicht verfügbar, diese alternative.
- 2 LAN Kabel (z.b. CAT6)
(Ich würde mich freuen wenn Ihr die Artikel, über meinen Partner-Shop bei Amazon kauft, reguläre Amazon Preise, keine Nachteile und ihr unterstützt meine Seite damit 😉 )
Step 1
Als erstes besorgen wir uns ein angepasstes Image: openwrt-raspi
Dieses installieren wir auf z.b. eine 8GB SD Karte.
Hierfür gibt es das Tool Win32DiskImager-0.9.5-binary.
Mit diesem Tool ist es möglich, das Image auf eine SD-Karte bootfähig zu schreiben.
- Entpackt das *.img
- Schließt euren Kartenleser an euren Rechner an und steckt eine SD Karte ein (min. 4GB, besser 8 GB oder mehr)
- und öffnet das Programm Win32DiskImager.
- Wählt nun das Image aus und das entsprechende Laufwerk und klickt auf “Write”
Alle Daten werden dabei auf der SD Karte gelöscht.
Step 2
Nachdem wir das Image in unseren PI gesteckt haben, können wir den Pi mittels Debug Kabel booten.
Dazu schließen wir das Debug Kabel zuerst am Pc an und schauen in dem Geräte und Drucker Manager welchen COM Port belegt wurde.
- Nun starten wir Putty und geben die entsprechenden Daten ein damit wir uns zu unseren Raspberry verbinden können.
- Wir setzen die “Connection type” auf: Serial
- Speed auf 115200
- Wer Putty vorher schon einmal verwendet hat, sollte darauf achten das UTF-8 eingestellt ist.
- Anschließend klicken wir auf “Open”. Putty wartet nun auf eine Verbindung.
Nun schließen wir das Kabel, an. Schaut euch dazu das Bild an:
Step 3
Ihr solltet nun sehen, wie der Pi bootet. Nachdem das Bild stehen geblieben ist, Drückt ihr einmal die Entertaste. Somit seit ihr nun schon eingeloggt.
Nun schließt ihr das Netzwerkkabel an den Pi sowie euren Router an. wichtig ist, das ihr Zugang zu diesem Netzwerk habt. Da ihr sonst nicht auf den Pi kommt.
Der Anschluss wird direkt erkannt und durch eine kleine Meldung bekanntgegeben.
Nun könnt ihr ifconfig eingeben.
Damit bekommt ihr eine Auflistung aller angeschlossenen Netzwerkadapter sowie deren Daten. Für uns ist die Netzwerkadresse wichtig. Diese benötigen wir für den nächsten Step.
Step 4
Im Beispiel hat unser Pi die Adresse 192.168.0.17 bekommen. Diese geben wir jetzt in unserem Browser ein um uns das erste mal mit unserem OpenWRT zu verbinden und um die Einstellungen vorzunehmen.
Im Standard ist unser Root Passwort leer. Dieses sollten wir direkt nach der Installation setzen.
Dazu loggt ihr euch mit dem User root und einem leeren Passwort ein.
Wechselt anschließend auf System und Administrator und speichert dies direkt ab.
Step 5
Damit unser USB Lan Adapter auch erkannt wird, müssen wir einen Treiber dafür nach installieren.
Geht dazu auf System -> Software klickt als erstes auf Update List und sucht nach mcs7830 mit find package
Unter Available packages (mcs7830) solltet ihr nun ein Packet finden das könnt ihr mit einem klick auf Install auf euren Pi hauen.
Step 6
Damit wir nun unsere beiden LAN Schnittstellen nutzen können, müssen wir ein zusätzliches WAN Interface installieren.
Dazu klicken wir auf Network -> Interfaces
Hier befindet sich vorerst nur eine Schnittstelle. Die LAN Schnittstelle.
Wir klicken nun auf Add new interface
- Als Namen geben wir WAN ein
- Als Protokoll : DHCP client
Wenn unser Router seine IP Adressen automatisch vergibt. Das ist im Standard immer der Fall. Sonst wählen wir Static address - Als Schnittstelle wählen wir nun unser neues eth1 Interface aus.
Damit bestimmen wir schon mal, dass diese Seite an den 2ten Router oder Rechner kommt. - Nun öffnen wir die Reiterseite „Firewall Settings“ und wählen unsere WAN Schnittstelle aus.
- und Submit , Save&Apply zum speichern der Einstellungen.
Es befinden sich nun 2 Schnittstellen in der Übersicht.
Step 7
Als nächstes müssen wir die Einstellungen so ändern, das wir den Traffic über den Pi leiten können.
Dazu müssen wir unserer Lan Schnittstelle sagen, das dieser eine feste IP Adresse beziehen soll.
- Dazu klicken wir auf Network -> Interfaces
- Bei LAN eth0 auf Edit
- Das Protokoll ändern wir auf Static address
- Geben eine Feste IP Adresse im IP-Raum unseres Routers ein, IPv4 address am besten sehr niedrig. z.b. 192.168.1.1
- Als Netmask : 255.255.255.0
- Das Gateway lasst ihr leer.
- Und Broadcast ebenfalls leer lassen.
- Save & Apply
Wenn alles richtig läuft, wird die Verbindung nun getrennt. Ihr könnt den Pi nun unter der neuen IP Adresse finden. Hier könnt ihr euch nun wieder einloggen. Ich habe unter DHCP Advanced Settings noch den Hacken bei Dynamic DHCP sowie bei Force gesetzt. Ist aber kein muss.
- Zur Sicherheit sollte ihr nun den Pi einmal neustarten. Dazu geht ihr auf System -> Reboot und klickt auf Perform reboot
Im Putty Fenster könnt ihr nun sehen das der Pi neu bootet. Loggt euch danach wieder auf dem Pi per Browser ein.
Step 8
Nun können wir unsere Firewall sowie unseren eigenen DNS / DHCP Server starten.
Dazu klicken wir auf System -> Startup hier sind unsere beiden benötigten Dienste noch deaktiviert und mit einem Roten X gekennzeichnet.
Mit einem klick auf „Disabled“ aktivieren wir die beiden Dienste.
Step 9
Damit haben wir unseren OpenWRT soweit vorbereitet für den Start. Nun kommt der „kniff„.
Ihr könnt den Pi nun fertig anschließen. Entfernt das Debug Kabel und nehmt die Netzwerk Kabel vom Internet-Router ab.
Nun verbindet ihr das LAN-Kabel das am USB-Adapter ist, mit euren Router der nach außen ins Internet kommt.
Der normale LAN Anschluss kommt an euren zweiten Router/WLAN-Router.
Achtet darauf das dieser Router den DHCP Server deaktiviert hat, den diesen stellt ja nun der Raspberry Pi.
Nehmt den Pi wieder unter Spannung über den Mirco-USB Anschluss. Dieser bootet nun.
Ihr solltet nun mit eurem Rechner den Pi über die Statische IP Adresse erreichen können, wenn ja, habt ihr alles richtig gemacht und ihr habt euren Router fein hinter dem Raspberry Pi versteckt.Falls ihr beim ersten Aufruf keine Internet Seite öffnen könnt, liegt das daran, das zb. Windows noch den alten DHCP mit DNS gespeichert hat. Dieser antwortet natürlich nicht mehr. Startet einfach euren Rechner neu. Das hilft.
Nun kann der Provider nicht mehr sehen, welche Geräte sich in eurem LAN befinden.
Nun schaut euch mal etwas um, und ggf. findet ihr eine optimale Einstellung wie man sich damit ordentlich absichert. Dies dürft ihr gerne als Kommentar hinterlassen.
Tipp:
Unter Status -> Realtime Graphs -> Traffic könnt ihr nun z.b. auch sehen was eure aktuelle Geschwindigkeit ist.
Schlusswort 😉
Wenn euch dieses Tutorium gefallen hat, würde ich mich über ein paar Kommentare freuen sowie natürlich eine kleine Spende 😉
Nutzt dazu einfach den Spende Button oben im Beitrag 😉
Wie immer biete ich euch meine Hilfe an. Wer also gerne einen komplett eingerichteten Pi haben möchte darf sich gerne bei mir melden.
Und wie immer gilt, Rechtschreibfehler dürfen behalten werden 😉
Beste Grüße und viel Spaß!
Euer Sven
Hi Sven,
Danke für den Hinweis und die Anleitung. Funktioniert diese auch 1:1 mit dem Banana Pi? Dieser hat ja bereits 2 GigaBit Ethernet Ports und ist nicht auf den USB Adapter angewiesen?
Gruß, Kai
Moin Kai,
der BananaPi hat auch leider nur 1 LAN Anschluss. Hier wird also auch ein USB Adapter benötigt. Aktuell ist mir kein Board bekannt, das 2 LAN Anschlüsse hat.
Das Image wird wohl nicht auf dem BananaPi laufen. Aber du kannst es ja mal ausprobieren. Wenn die LED grün bleibt, nimmt er das Image nicht an.
Beste Grüße,
Sven
Das Image läuft – die led wird gar nie grün!
Muss das Microusbkabel auch angeschlossen sein oder reicht das USB zu TTL Kabel?
Wenn das Debug Kabel angeschlossen ist, bekommt der Pi darüber Strom.
Das reicht in der Regel aus.
Beste Grüße
Hallo Sven,
habe deine Anleitung befolgt, jedoch zieht der RPi keine Netzwerkadresse. Muss der RPi nicht vorher die SubNetmaske 255.255.255.0 bekommen?
Gerne würde ich dir ein Bild schicken, wie es bei mir aussieht. Schreib mir doch kurz eine Email. Ich schick dir dann das Bild.
Vielen Dank
Mfg
Micha
Das problem habe ich auch
Hallo, danke für den Artikel. Ist es auch möglich, den Pi per VPN (sowas wie hidemyass) auf das Internet zugreifen zu lassen und ihn trotzdem als Gateway zu nutzen?
Hallo Sven,
Du hast hier eine schöne Anleitung geschrieben! Vielen Dank!
Was ist an dem Image gegenüber den openwrt-Images modifiziert?
Und warum ist das Image so viel größer als das von openwrt?
fragt
Marcus
Das hängt alleine damit zusammen, das das Tool womit man die SD Karte kopiert, direkt die Größe der SD Karte nimmt und nicht die tatsächliche Größe.
Sonst ist alles gleich.
Beste Grüße,
Moin Sven,
ich habe das Image genommen welches du als Link angeboten hast.
Nur leider übernimmt er nicht die komplette SD Karten Größe. Deshalb wollte
ich fragen ob ich noch ein Befehl eingeben muss damit er den Rest der SD
auch nutzt.
Gruß Jörg
Hallo,
kann man auch einen anderen USB / LAN – Adapter nehmen.
MfG
Stephan Sonntag
Hy,
Sollte gehen.
Es muss nicht explizit der genannte sein.
Ich weiß nur, das es mit dem genannten 100%ig funktioniert 😉
Beste Grüße
Ich werde es ausprobieren und dann hier posten
1. Sehr gute anleitung! Danke dafür.
2. Mein banana pi läuft mit dem image von (Link entfernt) hervorragend.
3. Wie kann ich diesen Treiber für den usblan (Lenovo) installieren wenn
ich keine internetverbindung habe? *.ipk auf die sd kopieren und von dort?
4. Mein Fernseher bleibt dunkel.
5. Ich will cj-dns installieren, geht das?
MfG
Sers
Beim BananaPI ist der HDMI Anschluss deaktiviert. Und drum bleibt der TV auch dunkel (das gleiche Problem hatte ich auch) und nach nachdem ich GIDF gefragt habe. Fand ich auch die Loesung
Soll heissen Du musst beim Banana die SW via Console aufsetzen -> was keine grosse Sache ist.
Gruss DJ
Das ist so nicht korrekt.
Bei OpenWRT wird kein Signal auf den HDMI gelegt. Es gibt nur die reine Webbasierte Oberfläche.
Wenn du auf den Pi möchtest, musst du dich per Console oder per Port 80 auf dem Pi mit OpenWRT anmelden.
Beste.
Hey,
kannst du mir sagen was ich falsch mache bei mir möchte der Raspberry Pi b einfach nicht booten.
Ich habe dein Image gedownloadet und alles genau nach der Anleitung gemacht aber leider will der Pi einfach nicht.
Danke für deine Hilfe!
Hy, was bekommst du den mit dem Debug-Kabel angezeigt?
Bootet der Pi? Bekommst du überhaupt Feedback von dem Pi? Wenn da schon nichts kommt, kann es sein, das der Pi kaputt ist.
Wenn etwas kommt, und er einfach bei einem Step stehen bleibt, könnte es sein das die SD Karte kaputt ist.
Beste Grüße
Hallo,
tolle Anleitung, habe jedoch das Problem beim Raspberry Pi B2 das er die Netzwerkkarten nicht erkennt. Konsolenzugriff und Bootvorgang läuft einwandfrei.
Hast Du eine Idee, oder noch besser eine Lösung?
Vielen Dank in Vorraus!!
Ralf
Sorry,
hab meine Raspi`s verwechselt, das Problem tritt bei meinem B+ auf !!!
Moin,
bei mir erkennt er den USB-to-Ethernet Adapter nicht. Unter Wheezy funktioniert dieser problemlos. Installiere ich in openWRT die Treiber, erscheint dennoch kein neues Interface bei mir. Kann mir da wer helfen. Ansonsten eine top Anleitung! 🙂
Hallo Sven,
ich habe mir den Telekomrouter nicht andrehen lassen und habe mir eine Fritzbox 7330 gekauft 🙂
Besteht hier auch die Gefahr von „Sprich, man ist nicht der eigene Herr über den Router. Die Provider können ins eigene Intranet schauen und “schnüffeln” ohne das es dem Anwender auffällt oder bewusst wird.“ ?
Beste Grüße
Baschdi
Hallo Baschdi,
ja. Das Protokoll mit dem Dein Provider „hinter“ den Router schauen kann nennt sich TR-069.
Das kann man bei den FritzBoxen abschalten.
Bei meiner versteckt sich die Einstellung hinter „Internet->Zugangsdaten->Anbieter-Dienste“ und dort „Automatische Einrichtung durch den Dienstanbieter zulassen“ deaktivieren.
Das TR-069 war 2014 der Grund dafür das Millionen Router gehackt wurden.
Viele Grüße
Dave
Moin gibt es eine günstigere alternative zu den Intellinet Hi-Speed USB 2.0 auf Fast Ethernet Mini-Adapter schwarz ich perönlich finde 25,90 Euro hapich für den Adapter! (EUR 10,99 + EUR 14,91 Versandkosten
Auf Lager. Verkauft von ELECTROCORE)
2 LAN Kabel (z.b. CAT6)
Langt da nicht ein Standard Karbel ?
Was bedeutet genau WAN?
Habe mich durchglesen habe es aber nicht ganz verstanden . . .
Ist der Raspberry PI 512MB inordnung von der Geschwindigkeit oder doch lieber der Raspberry PI 1GB mit 1GB/s LAN Port ?
Hallo Sven,
top Anleitung, aber leider will weder mein PiB+ noch mein Pi2 mit dem von Dir bereitgestellten OpenWRT-Image booten. Habe auch mehrere SD-Karten getestet. Irgendeine Idee? Mit anderen Images (z.B. Raspberry) starten beide problemlos.
Vielen Dank vorab für Deine Hilfe.
Hy, welche Meldung bekommst du den beim Bootvorgang? Könnte sein, das dieses zum Image inkompatible ist.
Beste Grüße
Hi, ich bekomme leider gar keine Meldung. Der Cursor im Putty-Fenster blinkt nur still vor sich hin… Grüße
Hi!
Hab alles wie beschrieben gemacht…Am USB Port hängt ein Hama. Soweit funktioniert soweit alles.
Ich bin bei Vodafone und habe eine Easybox 802.
Wenn ich das DSL Kabel vom Router in den USB Port(WAN) und das Kabel vom Computer(PC) in den Raspberry Lan Port stecke bekomme ich keine Internetverbindung zustande. Wenn ich die Easybox aufrufe kommt keine ADSL Verbindung.
Hab schon alle möglichen Verbindungen gesteckt…immer das gleiche. Ich vermute das irgend eine Einstellung nicht stimmt…aber welche!??
Gruß Olli
Zunächst dachte ich du wolltest dich gegen die Gefahr schützen:
A)“und wenn dieser (Provider) lieber die WLAN Funktion seines Routers bezahlt haben will, könnte es mal
vorkommen das der eigene Router, der sich dahinter befindet, plötzlich nicht mehr erkannt wird“
Wow, dachte ich Eingangs : Raspberry als Router, dahinter das Provider-Gerät.Ich fing an zu lesen:)
Nachdem ich die Anleitung gelesen habe ist mir klar gewesen, dass genau das die Anleitung nicht her gibt, sondern nur gegen: „..verhindern, dass die Gauner ins eigene Intranet kommen um so Daten von angeschlossenen Geräten stehlen können.“ (aber selbst das kann natürlich niemand garantieren)
Für den Leser, der -wie ich Eingangs- dachte irgendwelche Scriptkiddies, die weit verbreitete Router hacken, aussperren zu können hier die Erklärung: In diesem Artikel werden zwei Router benötigt (irgendwo in der Mitte des Textes steht das erst). Dazwischen hängt der Raspberry. D.h. der Router mit dem Ihr ins Netz geht ist weiterhin durch den Provider erreichbar. (genau das wollen wir aber doch nicht). D.h. der Provider kann hingegen des Arguments A) auch die Geräte hinter dem Router aussperren.(ja auch einen Raspberry und damit auch den Rest der am Pi hängt). Dennoch eine zweite dmz hinter dem Provider-Router ist besser als keine.
Hy,
Eigentlich sagt die Überschrift ja schon worum es geht 😉
Zudem muss eigentlich klar sein, das die wenigsten Provider ein LAN Anschluss für das Internet bieten.
Der ist aber für den Pi zwingend notwendig, nicht wahr?
Aber, ich habe gerade ein Beitrag auf Heise gelesen : http://www.heise.de/newsticker/meldung/Exploit-Kit-greift-ueber-50-Router-Modelle-an-2665387.html
Und hier kann man seinen „Provider Router“ sogar von einem selbst schützen. Da der Exploit den Router des Providers nicht findet und somit auch nicht dort eindringen kann.
Moin Svenm
schöne Anleitung, ich wollte mich am Wochenende mal ransetzen und diese ausprobieren.
Da ich derzeit kein Debug/ Konsolen Kabel habe wollte ich Fragen ob es auch ohne dieses Kabel
funktioniert. Also mit Anschluss an einen Monitor mit Tastatur.
Gruß Jörg
Mit Tastatur und Monitor,
ich glaube OpenWRT unterstützt dies an der Stelle nicht. Es gibt keine Ausgabe.
Müsstest du aber nochmal nachlesen.
Sonst halt per LAN.
Hallo,
Super Anleitung, damit sollte ich das auch hinkriegen.
Kann man das openwrt Paket auch mit dem Raspberry 2 verwenden? Ich habe sonst die Befürchtung meine 100 er Leitung auszubremsen.
Danke
Frank
Hy,
die Anleitung sollte auch auf dem Pi 2 funktionieren. Bei dem Raspberry kannst du aber nur 30Mbit erreichen. Nimm das Banana RPi-1 Board. Damit bekommst die volle Bandbreite. Anleitung ist verlinkt 😉
Wo verlinkt? Finde leider keine Anleitung die gezielt das BananaPi behandelt. Ansonsten erst mal vielen Dank, gutes Tutorial.
Hi Sven,
ich habe mir ne Banane geholt und in der Tat, das ist super schnell. Vielen Dank für den Tipp.
Jetzt gucke ich mal, wie ich damit wieder von außen in mein Netz komme. Seitdem ich Glasfaser hab‘ geht das nicht mehr. Die Fritzbox hat so ihre Probleme mit dem IP-V6, was die Deutsche Glasfaser liefert.
Jedenfalls bin ich jetzt einen Schritt weiter..
Viele Grüße
Frank
Hallo,
ich versuche verzweifelt das openwrt Image auf meinem Pi zum laufen zu bekommen aber egal welchen Rechner ich benutze (eigenen, Kollegen), der Pi bootet mit der bespielten SD Karte einfach nicht. Nur das rote Lämpchen leuchtet.
Hab das bespielen der SD Karte mit Win32 Disk Imager, Unetbootin und dem Terminal in Linux probiert, aber alles ohne Erfolg.
Es scheint, als ob dein Board kaputt ist.
Hallo Sven, daran hab ich auch schon gedacht. Jedoch funktioniert ein anderes Image ohne Probleme
mh, hast du vielleicht ein anderes Board? z.b. eine neuere Version? GGf. passt es deswegen nicht zusammen.
Hallo,
habe auch schon seit Monaten OpenWRT auf meinem alten Raspberry laufen. Alles funktioniert.
Nur leider habe ich das Problem, dass ich von den PC’s jetzt nicht mehr auf meinen DSL-Router zugreifen kann. (z.B. Updates installieren und so) OpenWRT / Privoxy scheint das zu blocken. Kann ich das irgendwie temporär freischalten, oder muss ich ein Laptop direkt an den DSL-Router anschließen?
Vielen Dank für die Anleitung!!
Meine Frage:
Kann man das alles auch ohne ein Debugkabel konfigurieren?
Hallo, ja das geht. Schaue einfach mal bei meinen neueren Anleitungen vorbei, dort ist der Weg beschrieben 😉